[ This article was originally published here ]
SOC’den Hikayeler, AT&T SOC analist ekibi tarafından müşteriler için yürütülen ve raporlanan son gerçek dünya güvenlik olayı araştırmalarını açıklayan bir blog dizisidir.
Yönetici Özeti
Daha fazla otomasyona doğru ilerlerken, aşırı otomasyon riskini hatırlamalı veya en azından riskleri kabul etmek için bilinçli bir karar vermeliyiz. Bu, kontrol edilmeden bırakıldığında günlük iş operasyonlarını mahvedebilecek müdahale eylemlerinin otomatikleştirilmesinde özellikle önemlidir.
Soruşturma
alarm
Normal çalışma saatlerinden bir akşam sonra, bir sunucuda çalışmaya çalışan bir yazılım paketinin SentinelOne tarafından otomatik olarak hafifletildiğini belirten bir alarm geldi. Yazılım paketi, SentinelOne aracısı tarafından tespit edilmekten kaçmaya çalışıyormuş gibi davranan ve bu nedenle SentinelOne Yapay Zeka mantığı tarafından “Kötü niyetli” olarak derecelendirilen bir davranış sergiliyordu. Yazılım paketinin yürütmeye çalıştığı sunucuda bir “Koru” politikası uygulandığından, dinamik olarak algılanan “Kötü Amaçlı” derecelendirme için otomatik hafifletme adımları, işlemi sonlandırmayı ve karantinaya almayı içeriyordu.
SentinelOne’daki bir “politika” ayarı, uç nokta algılama ve yanıt aracının (EDR) her bir varlık grubu için gerçekleştirme iznine sahip olduğu tanımlanmış otomatik yanıt etkinliği düzeyidir. Bir “Algıla” politikası, inceleme sonrası müdahale eylemleri için yönetilebilecek bir uyarı oluştururken, “Koru” şeklinde bir politika ayarı, otomatik müdahale eylemleri alacaktır. Bu otomatik yanıt eylemlerinin izinsiz giriş düzeyi özelleştirilebilir, ancak tümü, duruma ilk önce bir kişi bakmadan otomatik bir eylem gerçekleştirir.
Aşağıdaki resim, süreç otomasyon yazılımı haline gelen kötü amaçlı yazılım için bir alarm içindir.
ancak yine de aşağıdaki günlük alıntısında gösterildiği gibi SentinelOne tarafından otomatik hafifletildi (işlem sonlandırıldı).
iş etkisi
Ertesi sabah, çalışma saatleri tüm hızıyla devam ederken müşteri, otomatik yanıt eyleminin sonucuyla ilgili endişeleriyle bize ulaştı. Müşteri, yazılım paketinin iş altyapılarının kritik bir parçası olduğunu ve yürütülmesinin asla durdurulmaması gerektiğini belirtti. Yazılım, SOC izlemeye başladığından beri önceki birkaç ayda aynı sunucuda çalışıyordu.
Müşteri, SentinelOne ajanının sunucuda birkaç ay çalıştıktan sonra neden aniden yazılım paketinin kötü niyetli olduğuna inandığını sorguladı. Bir süreci “Kötü Amaçlı”ya karşı “Şüpheli” veya iyi huylu olarak tanımlamanın ve derecelendirmenin ardındaki karar verme, tescilli bir mantık olduğundan, soruyu tam olarak yanıtlayamadık.
Söyleyebileceğimiz şey, fiyatına değecek herhangi bir EDR çözümünün uzlaşma göstergesi (IOC) imzalarını sürekli olarak güncelleyeceğidir. Herhangi bir değerli EDR çözümü, yalnızca statik algılamayı değil aynı zamanda davranışa dayalı dinamik algılamayı da içerecektir. SentinelOne söz konusu olduğunda, yürütme öncesi işlem sonlandırmasına da izin veren yürütme öncesi davranış analizi vardır. Ve elbette, bir sunucuda çalıştırılan herhangi bir yazılım paketi, güvenlik, verimlilik veya ürün özellik yükseltmeleri için güncellemelere tabidir.
Bir bütün olarak ele alındığında, korunmakta olan herhangi bir uç noktanın, dün IOC kurallarını tetiklemeyen ve bugün tehm’i tetikleyen güncellenmiş bir yazılım paketi potansiyeline sahip çok dinamik bir savaş alanı olduğu anlamına gelir. Ya da güncellenmemiş bir yazılım paketi, güncellenmiş makine öğrenimi IOC davranış analizi nedeniyle aniden potansiyel olarak kötü niyetli olarak tanımlanabilir. Ne zaman iyi huylu kabul edildiğini hatırlıyor musun?
Dersler öğrenildi
Gizlilik, bütünlük ve kullanılabilirlik arasında dengeleyici bir eylem olduğunu öğrendiğimiz gibi, anında otomatik yanıt eylemlerinin kullanımı ile yanıt eylemlerinden önce insan değerlendirmesinin daha yavaş akıl yürütmesi arasında kurulması gereken bir denge vardır. Bir EDR çözümü, uygulamaya programlandığı politikayı derhal ve hatasız bir şekilde, ancak acımasız bir şekilde uygulayacaktır. Bir insan değerlendirmesi daha uzun sürer, ancak önceki geçmişi, tetikleyici IOC’lerin geçerliliğini bağlam içinde ve bir yanıt eyleminin diğerine göre seçilmesinin genel işletmenizi nasıl etkileyebileceğine ilişkin nüansları dikkate alabilir.
Otomasyon, makine öğrenimi, yapay zeka ve benzerlerinin yeri var. Teknoloji geliştikçe faydaları şüphesiz artacaktır. Ancak insan unsuru her zaman gerekli olacaktır. Müşterilerimiz ve müşterilerimiz (insan olduğumuz için), otomatik izinsiz girişin asla dokunmayacağı kritik varlıkları ve iş süreçlerini tanımlamak için birlikte çalışmalıdır. Ayrıca, ortamınızda bu hızlı ve acımasız otomatik müdahale eylemlerinin bir avantaj olduğu alanı bulmak için birlikte çalışmalıyız. Ve her uygulamada ne kadar riske tahammül edebileceğimize karar vermek çok insani bir karardır.
reklam