[By Gabi Reish, Chief Business Development and Product Officer, Cybersixgill]
Günümüzün hızla genişleyen dijital ortamında, siber güvenlik ekipleri sürekli büyüyen, giderek karmaşıklaşan tehditler ve güvenlik açıklarıyla karşı karşıyadır. Gelişmiş tehdit istihbaratı, tespit ve önleme araçlarıyla cesurca mücadele etmeye çalışıyorlar. Ancak birçok güvenlik lideri, eylemlerinin etkili olduğundan emin olmadıklarını itiraf ediyor.
Yakın zamandaki bir araştırmada1Ankete katılanların yüzde 79’u, rakiplerinin eylemleri ve niyetleri hakkında bilgi sahibi olmadan kararlar aldıklarını ve yüzde 84’ü ise kuruluşlarının zayıf noktalarını ve risklerini anlamadan karar verdikleri için endişe duyduklarını söyledi.
Bu belirsizliğin nedeni ne? Beceri eksikliği kesinlikle bir faktördür. Uzun süredir devam eden bu gerçeklikten kaçış yok. 2022 raporuna göre2Nitelikli başvuru eksikliği nedeniyle yaklaşık 3,4 milyon güvenlik işi açıklanamıyor. Ancak hikayede personel sıkıntısından çok daha fazlası var.
Siber Tehdit İstihbaratı Paradoksu
Siber tehdit istihbaratı (CTI), rakipleri ve onların potansiyel eylemlerini gerçekleşmeden önce anlamaya ve buna göre hazırlanmaya çalışır. CTI, tehdit aktörleri, niyetleri, mekanizmaları, amaçlanan hedefleri ve bunu mümkün olduğunca kapsamlı bir şekilde yapmanın yolları hakkında bilgi toplar.
Siber güvenlik ekiplerinin eylemlerine güven duymamasının nedeni benim tabirimle CTI Paradoksu: Ne kadar çok şeye sahipseniz, o kadar az bilirsiniz. Bu ekipler, organizasyonlarıyla neyin alakalı neyin alakasız olduğunu ayırt edemedikleri için kolayca harekete geçemeyecekleri bilgilerle dolup taşıyor. Ek olarak, güvenlik açıklarını, tehditleri, izinsiz girişleri ve benzerlerini tespit etmek için tasarlanmış çok sayıda güvenlik aracına (güvenlik duvarları, erişim yönetimi, uç nokta koruması, SIEM, SOAR, XDR vb.) sahiptirler ve bunları net bir şekilde etkin bir şekilde çalıştıramazlar. öncelikler kümesi.
Bu konuyu açıklamak için, şirketim Cybersixgill yakın zamanda dünyanın dört bir yanından 100’den fazla CTI uygulayıcısı ve yöneticisiyle bir anket gerçekleştirdi. Katılımcıların neredeyse yarısının, ellerindeki CTI araçlarına rağmen hala zorluklarla karşılaştıklarını söylediklerini öğrendik. Sorunlar arasında verilerin çok büyük olması ve ilgisizliği, yararlı kaynaklara erişmenin zorluğu ve farklı çözümlerden elde edilen istihbaratı entegre etmenin karmaşıklığı yer alıyor.
O halde ankete katılan güvenlik profesyonellerinin yüzde 82’sinin3 CTI programlarını akademik bir egzersiz olarak görüyorlar. Bir ürün satın alıyorlar ancak onu kullanmak için hiçbir stratejileri veya planları yok.
Bu senaryo kulağa korkunç gelse de CISO’ların ve ekiplerinin CTI verilerini etkili bir şekilde kullanmalarına ve siber savunmalarını güçlendirmelerine yardımcı olacak seçenekler mevcut. İşte CTI Paradoksu’ndan çıkmak ve kuruluşunuzun siber saldırganları etkili ve verimli bir şekilde engellediğine dair güven kazanmak için bazı öneriler.
Etkili CTI’nin Dört Temeli
Temel olarak, iyi işleyen bir güvenlik departmanının iki şeye ihtiyacı vardır: Kuruluşlarıyla ilgili tehditler hakkında zamanında, doğru bilgiler ve bu tehditlere hızlı bir şekilde yanıt verme kapasitesi. Yapılacak ilk iş, kuruluşun benzersiz güvenlik kaygılarını yansıtan genel bir strateji tasarlamaktır. Daha sonra bu endişeleri tanıyan etkili CTI’ya ihtiyacınız var. Son olarak, ilgili öngörülere göre harekete geçmenize olanak tanıyan tespit ve önleme araçlarına ihtiyacınız var.
Daha spesifik olarak, CTI paradoksunu çözmek, dört temel üzerinden destek sağlayan CTI araçlarını kullanmak anlamına gelir:
- Veri – kuruluş için önemli olan siber tehditler hakkında bilgi
- Beceri setleri – ekibin bu tehditlere yanıt verme konusundaki uzmanlık düzeyine uygun araçlar
- Kullanım örnekleri – güvenlik ekibinin ilgilendiği istihbarat türleriyle eşleşen araçlar
- Uyumluluk – CTI çözümü ile güvenlik yığınının geri kalanı arasındaki uyum
Şimdi bu dört sütuna, kuruluşların nasıl ve neden sorun yaşıyor olabileceğine ve bunları çözmenin en iyi yollarına bakalım.
Veri
Sorun: Büyük miktarda veri toplamak bir şeydir. Güvenlik ekiplerinin neyin alakalı, neyin ikincil olduğunu bilmesi için bu verileri hassaslaştırmak başka bir şeydir. Küresel düzeydeki güvenlik tehditlerinin (hem gerçek hem de mecazi anlamda) farkında olmak iyi bir şey olsa da, şirketlerin saldırı yüzeyleriyle en alakalı tehditlere ve güvenlik açıklarına odaklanmaları ve bunları buna göre önceliklendirmeleri gerekiyor.
Çözüm: Her şeyi kullanıcıların üzerine yıkmak ve onlardan neyin alakalı, neyin gereksiz olduğunu filtrelemelerini beklemek yerine, bilgiyi analiz eden ve düzenleyen ürünlere odaklanın.
Bir çözüm için alışveriş yapıyorsanız, satıcının öncelikle yeraltı forumları ve pazar yerleri de dahil olmak üzere çok çeşitli kaynaklara erişerek potansiyel tehditlerin kapsamlı bir listesini hazırladığından ve bilgilerin sürekli olarak gerçek zamanlı olarak güncellendiğinden emin olun. Ancak satıcı, bu tehditleri otomatik olarak bağlamsallaştırmak ve önceliklendirmek ve böylece hızlı ve verimli bir şekilde yanıt vermek için aracı kullanarak listeyi yönetilebilir bir düzeye indirmenize de izin vermelidir.
Beceri setleri
Sorun: Güvenlik ekipleri bazen kendilerini siber güvenlik becerilerine uymayan araçlarla çalışırken bulurlar. Ham, son derece ayrıntılı bilgilere erişim sağlayan bir araç, daha genç bir uygulayıcı için fazla karmaşık olabilir. Başka bir araç, ileri seviyede çalışan bir güvenlik ekibi için fazla basit olabilir ve yeterli müdahale için yeterli bilgiyi sağlayamayabilir.
Çözüm: Takımların kendi beceri setleriyle eşleşen veya onları tamamlayan CTI araçlarını kullanması gerekir. Ayrıca kuruluşunuzun güvenlik olgunluğuna ve veri iştahına uygun, ihtiyaçlarınıza göre ne çok yüksek ne de çok düşük araçları seçmek istersiniz. İdeal olarak kullandığınız araç, özellikle tehdit istihbaratı verilerine yönelik üretken yapay zekayı içerir.
Kullanım örnekleri
Sorun: Kuruluşlar, birincil kullanım durumlarıyla ilgisi olmayan bilgiler alabilir. CTI satıcıları genellikle marka koruması, üçüncü taraf izleme, kimlik avı, jeopolitik sorunlar ve daha fazlası gibi bir düzine veya daha fazla istihbarat kullanım durumunu ele alır. Kuruluşunuzun güvenlik endişeleriyle ilgisi olmayan bir kullanım senaryosunu ele almak için istihbarat almak yararlı değildir.
Çözüm: Kullanım senaryosu ihtiyaçlarınızı karşılayan ve açık, ilgili ve bu kullanım senaryolarına özel bilgiler sağlayan bir çözüm bulun. Örneğin, kuruluşunuz özellikle fidye yazılımına maruz kalıyorsa, fidye yazılımı tehditleri hakkında en iyi, en güncel bilgileri sunanı bulun.
Uyumluluk
Sorun: Siber tehdit istihbaratını yeterli düzeyde ele almak için bir kuruluşun, gelen verileri tüketebilmesi, bu verileri güvenlik yığınının diğer öğeleriyle (SIEM, SOAR, XDR ve kuruluş için yararlı olan diğer araçlar) entegre edebilmesi ve hızlı bir şekilde harekete geçebilmesi gerekir. . Araçlar arasındaki bu uyumluluk olmadan kuruluşlar tehditleri yeterince hızlı bir şekilde azaltamayabilir. Ek olarak, bilgileri bir alandan diğerine manuel olarak taşımak, CTI aracının en sonunda göz ardı edilmesine neden olacak kadar zahmetli hale gelebilir.
Çözüm: Bu ortamda, tehditlere karşı mümkün olduğunca otomatik yanıtlara güvenmeniz gerekir; bu nedenle, edindiğiniz CTI aracının güvenlik ekosisteminizle sorunsuz bir şekilde entegre olduğundan emin olun. Güvenlik yığınınızın geri kalanıyla bilgileri kolayca paylaşmak için gereken API’lere sahip bir araç isteyeceksiniz. CTI aracının kuruluşunuz için en önemli güvenlik araçlarıyla senkronize olacağından emin olmak için satıcının uyumluluk listesini kontrol edin.
CTI Paradoksunun çözümsüz kalması gerekmiyor. Bir kuruluşun kullanım durumlarıyla ilgili, seçilmiş, bağlama uygun hale getirilmiş tehdit istihbaratı, çok fazla veriden kaynaklanan felci ortadan kaldırır. Bunları uygulayan güvenlik ekiplerine uygun, iyi entegre edilmiş araçlar, kuruluşlara hızlı ve verimli bir şekilde tespit etmek ve yanıt vermek için gereken savunma mekanizmalarını sağlar.
Tehdit istihbaratı ile kurumsal durumunuz ve gereksinimleriniz konusunda akıllı davranarak şüphe ve belirsizlikten açıklığa, odaklanmaya ve etkili yönlendirmeye geçebilirsiniz.
Gabi Reish, iş geliştirme ve ürün sorumlusu Sibersixgill, ürün yönetimi ve ürün/çözüm pazarlaması da dahil olmak üzere BT/ağ endüstrilerinde 20 yıldan fazla deneyime sahiptir.
Reklam