Güvenlik Operasyon Merkezleri (SOC) bugün bunalmış durumda. Analistler her gün binlerce uyarıyla ilgilenerek yanlış pozitifleri takip etmek ve algılama kurallarını tepkisel olarak ayarlamak için çok zaman harcıyorlar. SOC’ler genellikle hangi uyarıların gerçekten kötü amaçlı olduğunu hızlı bir şekilde doğrulamak için gereken çevresel bağlamdan ve ilgili tehdit istihbaratından yoksundur. Sonuç olarak analistler, çoğunluğu zararsız olarak sınıflandırılan uyarıları manuel olarak tetiklemek için aşırı zaman harcıyor.
Bu kör noktaların ve uyarı yorgunluğunun temel nedenini ele almak, daha doğru araçların uygulanması kadar basit değildir. Bu geleneksel araçların çoğu oldukça doğrudur, ancak ölümcül kusurları bağlam eksikliği ve dar bir odaklanmadır; ağaçlar yerine ormanı gözden kaçırmak. Bu arada, gelişmiş saldırganlar, geleneksel reaktif araçların göremediği açıklardan yararlanarak, yaygın olarak bulunabilen bypass kitlerini kullanarak genellikle tespitten kaçarlar.
Bu araçların tümü kendi başlarına etkili olsa da, saldırganların yalnızca tek bir saldırı tekniği kullanmaması, yalnızca tek bir tür açığa çıkmadan yararlanmaması veya bir ortamı ihlal ederken tek bir CVE’yi silah haline getirmemesi nedeniyle sıklıkla başarısız olurlar. Bunun yerine saldırganlar, yararlı olduğu durumlarda bilinen CVE’leri kullanarak ve bir ortamda yanal olarak hareket etmek ve istenen hedeflere ulaşmak için kaçınma tekniklerini kullanarak birden fazla maruz kalmayı bir araya getirir. Bireysel olarak, geleneksel güvenlik araçları bu risklerden veya IoC’lerden bir veya daha fazlasını tespit edebilir, ancak derinlemesine entegre edilmiş sürekli bir risk yönetimi programından türetilen bağlam olmadan, güvenlik ekiplerinin aksi takdirde bağlantısız gibi görünen sinyalleri etkili bir şekilde ilişkilendirmesi neredeyse imkansız olabilir.
SecOps, Siber Güvenlik Yaşam Döngüsünün Her Aşamasında Avantaj Sağlıyor
Maruz kalma yönetimi platformları, maruz kalma zekasını doğrudan mevcut analist iş akışlarına aktararak SOC operasyonlarının dönüştürülmesine yardımcı olabilir. Elbette, saldırı yüzeyi görünürlüğüne ve birbirine bağlı risklere ilişkin içgörüye sahip olmak çok büyük bir değer sağlar, ancak bu sadece yüzeyseldir. Her ekibin çalıştığı üst düzey modellerdeki önemli örtüşmeler göz önüne alındığında, her ne kadar birlikte çalışmak yerine genellikle paralel olsa da, bu aslında pek de sürpriz olmamalı.
Konuyu daha da ileriye taşımak için aşağıya tipik bir SOC iş akışı ile CTEM yaşam döngüsü arasında bir karşılaştırma ekledim:
| Tipik SOC Yaşam Döngüsü | Entegre Pozlama Yönetimi Nasıl Yardımcı Olur? | CTEM Yaşam Döngüsü |
|---|---|---|
|
Monitör İş için en önemli olan ve saldırganların büyük olasılıkla peşine düşeceği kritik varlıklara öncelik vererek, tüm saldırı yüzeyinin sürekli görünürlüğünü koruyun. |
Paylaşılan Saldırı Yüzeyi Görünürlüğü CMDB ve SOC araçlarıyla entegrasyon, saldırı yüzeyine ve kritik varlıklara ilişkin birleşik bir görünüm oluşturarak güvenlik ve BT ekiplerinin en önemli konularda uyum sağlamasını sağlar. |
Kapsam İşletme açısından en önemli kritik varlıkları tanımlayarak ve saldırı yüzeyinde sürekli görünürlüğü koruyarak risk yönetimi programının kapsamını ana hatlarıyla belirtin. |
|
Tespit etmek İdeal olarak erişim elde edilmeden veya kritik sistem ve veriler tehlikeye atılmadan önce, saldırı yüzeyindeki şüpheli ve kötü amaçlı etkinlikleri tespit edin. |
Tehdit Uyarılarını Bağlamsallaştırın Tespitler tetiklendiğinde analistler, varlığın risk durumunu ve şüpheli etkinliğin bilinen saldırı yollarıyla uyumlu olup olmadığını anında görür ve genel uyarıları hedefe yönelik incelemelere dönüştürür. |
Keşfetmek Saldırı yolları, güvenlik açıkları, yanlış yapılandırmalar, kimlik ve izin sorunları vb. dahil olmak üzere saldırı yüzeyindeki açıkları ortaya çıkarın. |
|
Triyaj Gerçek güvenlik olaylarını ve kötü amaçlı etkinlikleri ve iyi huylu anormal etkinlikleri belirlemek için güvenlik uyarılarını doğrulayın ve olay günlüklerini ilişkilendirin. |
Konumlandırma Doğruluğunu Artırın Yanlış olumsuzluk riskini azaltırken güvenlik uyarılarının gürültüsünü ortadan kaldırmak için varlık ve iş bağlamıyla daha bilinçli kararlar alın. |
Önceliklendir İyileştirme operasyonlarını en etkili ve yakın riske odaklamak için tehdit istihbaratına, çevreye ve iş bağlamına göre keşfedilen risklere öncelik verin. |
|
Araştırmak Bir güvenlik olayının patlama yarıçapını, temel nedenini ve etkisini belirlemek için tehdit istihbaratını, olay günlüklerini ve diğer bulguları derinlemesine inceleyin. |
Karmaşık Saldırı Zincirlerini Görselleştirin Soyut risk bulgularını doğrulanmış potansiyel saldırı senaryolarına dönüştürün. Analistler, tehdit aktörlerinin kritik tıkanıklıkları belirleyerek belirli riskleri nasıl bir araya getireceğini görselleştirebiliyor. |
Doğrula Keşfedilen risklerin gerçekten mevcut olduğunu, tehdit aktörleri tarafından erişilebilir olduğunu ve yama kullanılabilirliğine ve telafi edici kontrollere bağlı olarak gerçekten istismar edilebileceğini doğrulayın. |
|
Yanıtlamak İhlalin etkisini en aza indirmek ve ortamdaki tehdidi ortadan kaldırmak için harekete geçin. |
Hedefli Olay Müdahalesi İstismar edilebilir yolları anlamak, hassas kontrol altına alma ve iyileştirme sağlar, belirli risklere, aşırı izolasyon veya iş etkisi yaratmadan hızlı bir şekilde müdahale eder. |
Harekete Geçin İşlevler arası uyum sağlayarak, bildirim ve biletleme iş akışlarını otomatikleştirerek ve mümkün olduğunda güvenlik azaltımlarını uygulayarak ve yama uygulama iş akışlarını otomatikleştirerek risklerin verimli ve etkili bir şekilde iyileştirilmesini sağlayın. |
Proaktif ve reaktif ekiplerin üst düzey iş akışları arasındaki bu doğal uyum, hedeflenen tehdidin ve açığa çıkma yönetimi platformlarından elde edilen saldırı yüzeyi istihbaratının, bir tehdit araştırması öncesinde ve ortasında SOC ekipleri için nerede kullanılabileceğini görmeyi kolaylaştırır.
Sihir, ekipler kendi yeteneklerini entegre ettiğinde gerçekten gerçekleşmeye başlar. SOC analistlerinin en çok ihtiyaç duyduğu zamanda ve yerde bağlamsal tehdit istihbaratı sağlamak için EDR’ler, SIEM’ler ve SOAR araçlarına sahip risk yönetimi platformları. Bu, ekiplerin keşfedilen riskleri belirli MITRE ATT&CK teknikleriyle otomatik olarak ilişkilendirmesine olanak tanır ve her kuruluşun benzersiz saldırı yüzeyiyle anında ilgili olan eyleme geçirilebilir tehdit istihbaratı oluşturur.
Hemen düzeltilemeyen riskler için ekipler, tespit mühendisliği ve tehdit avcılığı faaliyetlerine bilgi sağlamak amacıyla bu istihbarattan yararlanabilir. Bu, risk istihbaratının algılama güncellemelerini bilgilendirdiği, uyarı önceliklendirmesini ve araştırmayı iyileştirdiği ve otomatik yanıtı ve öncelikli düzeltmeyi desteklediği sürekli bir geri bildirim döngüsü oluşturur.
Maruziyet Zekasıyla Zenginleştirilmiş SOC İş Akışlarına Daha Derin Bir Bakış
Geleneksel tespit araçları, imzalara ve davranış kalıplarına dayalı olarak uyarılar üretir ancak çevresel bağlamdan yoksundur. Sürekli risk yönetimi, her uyarıda yer alan sistemler, yapılandırmalar ve güvenlik açıkları hakkında gerçek zamanlı bağlam sağlayarak bunu dönüştürür.
- Bir tespit başlatıldığında, SOC analistleri etkilenen sistemde hangi risklerin mevcut olduğunu, mevcut konfigürasyon göz önüne alındığında hangi saldırı tekniklerinin uygun olduğunu, potansiyel patlama yarıçapının neye benzediğini ve bu uyarının bilinen saldırı yollarına nasıl uyduğunu hemen anlar.
- Analistler her uyarının gerçek risk potansiyelini anında değerlendirebildiğinde, uyarı önceliklendirmesi önemli ölçüde daha verimli hale gelir. Maruz kalma yönetimi, genel şiddet puanlarına dayalı olarak önceliklendirme yapmak yerine, ortama özgü bir risk bağlamı sağlar.
- Soruşturma sırasında sürekli risk yönetimi, analistlere, bir saldırganın daha geniş bir kampanyanın parçası olarak mevcut uyarıdan nasıl yararlanabileceğini tam olarak gösteren ayrıntılı saldırı yolu analizi sağlar. Bu, gerçek ağ topolojisine, erişim ilişkilerine ve sistem yapılandırmalarına dayalı olarak tüm geçerli saldırı yollarının anlaşılmasını içerir.
- Aynı zamanda bir ihlalin temel nedeninin araştırılmasını da içerir ve analistlerin bir saldırganın izleyeceği en olası ihlal noktalarını ve yolları belirlemesine yardımcı olur.
- Müdahale faaliyetleri, maruz kalma istihbaratı tarafından yönlendirildiğinde daha kesin hale gelir. SOC ekipleri, iş operasyonlarını kesintiye uğratabilecek geniş kapsamlı kontrol önlemleri yerine, istismar edilen belirli risklere yönelik cerrahi müdahaleler uygulayabilir.
- İyileştirme aşaması, olaya anında müdahalenin ötesine geçerek sistematik maruziyetin azaltılmasına kadar uzanır; yalnızca acil olayı değil, aynı zamanda bunu mümkün kılan temel koşulları da ele alan bildirimleri otomatik olarak oluşturur. İyileştirme faaliyetleri tamamlandığında, güvenlik açıklarını ortaya çıkarmak için kullanılan test süreçlerinin aynısı, uygulanan değişikliklerin gerçekten işe yaradığını ve riskin azaldığını doğrulamak için kullanılabilir.
SecOps iş akışına entegre edilen sürekli risk yönetimi sayesinde her olay, gelecekteki tespit ve müdahale yeteneklerini güçlendiren bir öğrenme fırsatına dönüşür. Kırmızı ekip oluşturma ve doğrulama testleri sırasında hangi risklerin başarılı saldırılara yol açtığını anlamak, saldırı zincirinde benzer etkinlikleri daha önce yakalamak için telafi edici kontrollerin iyileştirilmesine ve uygulanmasına ve/veya tespit kurallarının ayarlanmasına yardımcı olur.
SOC Operasyonlarının Geleceği
SOC operasyonlarının geleceği, daha fazla uyarının daha hızlı işlenmesinde değil, en önemli tehditlere karşı lazer odaklı yetenekler geliştirilirken gereksiz uyarılar üreten koşulların önlenmesinde yatmaktadır. Sürekli maruz kalma yönetimi, genel güvenlik araçlarını hassas araçlara dönüştüren çevresel farkındalığı sağlar.
Tehdit aktörlerinin giderek daha sofistike ve kalıcı hale geldiği bir çağda, SOC’lerin elde edebilecekleri her türlü avantaja ihtiyacı var. Savaş alanını proaktif bir şekilde şekillendirme, maruz kalma durumlarını ortadan kaldırma, tespitleri ayarlama ve çevresel gerçekliğe dayalı özel yetenekler geliştirme yeteneği, tehditlerin önünde kalmak ile sürekli olarak yakalamaya çalışmak arasındaki fark olabilir.
Not: Bu makale şu anda XM Cyber’de Ürün Pazarlama Direktörü olan Ryan Blanchard tarafından yazılmış ve katkıda bulunmuştur. Kariyerine BT ve profesyonel hizmet pazarlarını ve GTM stratejilerini analiz ederek başladı ve şimdi karmaşık teknoloji faydalarının inovasyonu, işletmeyi ve insanları birbirine bağlayan hikayelere dönüştürülmesine yardımcı oluyor.