Savaş bugün başlamadı ve siber tehditler daha önce hiç görülmemiş bir oranda değiştiği için yakında bitmiyor. Bugün, saldırganlar gittikçe daha yaratıcı hale geliyor ve güvenlik açıklarını güvenlik ekiplerinin bunları tanımlayabileceğinden ve ele alabileceğinden daha hızlı bir şekilde kullanmak için AI gibi araçları kullanıyorlar.
Bu arada, güvenlik ekipleri istihbarat raporlarında, kırmızı ekip bulgularında ve sonsuz veri akışlarında boğulmaya sıkışmıştır – ilgili içgörü çıkarması, risklere öncelik vermesi ve ardından bir sonraki isabetlerden önce algılamalar yapması beklenir. Ancak bu noktaya ulaştıklarında, saldırganlar zaten on adım önde.
Kuruluşların% 60’ından fazlası gerçek zamanlı tehdit tespiti ile mücadele etmektedir. Güvenlik ekipleri bunalmış, her gün milyonlarca uzlaşma göstergesinde (IOC) boğulur ve yanlış pozitifler tüm uyarıların% 50’sini aşar. Bu arada, saldırganlar saniyeler içinde büyük ölçekli saldırılar yürütmek için AI otomasyonundan yararlanır ve güvenlik ekiplerinin yanıt verebileceğinden daha hızlı adapte olur.
Bu sadece bir şey anlamına gelir: Manuel analiz, uzun araştırma döngüleri, statik önceliklendirme ve reaktif savunmalar gibi eski şeyler yapmanın eski yolu artık kesmiyor. Güvenlik ekipleri gelişmezse, sadece geride kalmayacaklar, aynı zamanda savunmasız olacaklar.
Cevap basit – radikal bir değişim. Uyarlanabilir Tehdit İstihbaratı (ATI), güvenlik ekiplerinin nihayet saldırganlara ayak uydurabilmesi için otomasyon ve zeka araştırmalarına getirilmesidir.
Güvenlik ekipleri neden saldırganlara karşı yarışı kaybediyor?
Bu soruyu cevaplamadan önce, tehdit araştırmasının önemini ve tespit ortamındaki yerini inceleyelim. Tipik olarak, tehdit algılama süreci, çeşitli sistem kaynaklarından veri toplamayı, tutarlı bir aktivitenin temelini oluşturmayı, usulsüzlüklerin veya şüpheli eğilimlere ilişkin verilerin incelenmesini ve daha sonra sistem tarafından tanımlanan olası risklere bakmayı gerektirir. Tehdit araştırması aslında tespit sürecinin kendisine rehberlik eden proaktif istihbarat koleksiyonudur; Değişen tehditlerin önünde tutmak için yeni saldırı tekniklerinin belirlenmesine ve algılama algoritmalarının güncellenmesine yardımcı olur. Proaktif güvenliğin temel taşı olmasına rağmen, şu anda her şeyi yavaşlatan bir darboğaz görevi görüyor. Sorumuza geri dönelim, ne kırıldı:
- Araştırma süreci çok yavaş
Tehdit araştırması acı verici manueldir. Analistler, raporlar aracılığıyla tarama yapmak için saatler geçirerek anlamlı bilgiler elde etmeye çalışıyorlar.
- Ortalama güvenlik ekibi, tek bir tehdit raporunu analiz ederek 8 saat harcıyor.
- Tek bir analist düzinelerce haftalık raporu ele alıyor ve manuel işte yüzlerce saat kaybına yol açıyor.
- O zaman bile, araştırma genellikle yapıldığı zaman modası geçmiştir çünkü saldırganlar zaten gelişti.
Bu arada, saldırganlar taktiklerini otomatikleştiriyor, istismarları ölçeklendiriyor, saldırı vektörlerini değiştiriyor ve geleneksel savunmalardan birkaç dakika içinde kaçıyor.
- Önceliklendirme bir karmaşadır
Güvenlik ekipleri hangi risklerin en önemli olduğunu belirlemelidir, sadece hangilerinin orada olduğunu değil. Önceliklendirme şu anda bir karmaşa:
- Kuruluşların% 78’i yüksek riskli tehditleri belirleme yeteneklerine güvenmektedir.
- % 60’ının kimlik bilgisi doldurma saldırıları, sahte hesap oluşturma ve API kötüye kullanımı konusunda zayıf görünürlük vardır.
- % 50, saldırganların meşru istekleri taklit etmek için çalıntı API anahtarlarını ne zaman kullandığını bilmiyor.
Dinamik önceliklendirme olmadan, takımlar sürekli savunma oynuyorlar, saldırıları gerçekleşmeden durdurmak yerine olaylara tepki veriyorlar.
- Mühendisler gereksiz işte zaman harcıyor
Güvenlik mühendisleri genellikle aynı tehditleri birden çok kez analiz eder, çünkü merkezi bir görünürlük yoktur.
- Güvenlik ekiplerinin% 40’ı yinelenen araştırma çabalarını bildirerek boşa harcanan zamana yol açıyor.
- Tespit mühendisleri, zamanlarının% 30’unu başka bir yerde analiz edilmiş IOC’leri yeniden canlandırarak geçirirler.
- Tehdit istihbaratı, yanıt sürelerini yavaşlatarak farklı ekiplere dağılmıştır.
Sonuç? Kritik tespitlerin konuşlandırılması haftalar alır ve saldırganlara büyük bir avantaj sağlar.
- Tespit Mühendisliği vurulur veya kaçırır
Takımlar bir tehdit tanımlasalar bile, genellikle onu tespit edip edemeyeceklerini bilmiyorlar.
- Mühendislerin% 43’ü, telemetrinin tespit için var olup olmadığını doğrulayarak günlükler arayarak saatler geçirir.
- Tespitlerin% 29’u eksik günlük kaynakları veya eksik kapsam nedeniyle başarısız olur.
- Takımlar, mantıklarının gerçek dünya saldırısı davranışlarıyla uyumlu olmasını umarak, tespitleri tartışmasız bir şekilde inşa etmeye zorlanıyor.
Bu yüzden güvenlik araştırmasının bir revizyona ihtiyacı vardır.
Güvenlik Araştırması Bir Düzeltmeye İhtiyaç Var ve Otomasyon Cevaptır
ATI, tehdit araştırmalarını, önceliklendirmeyi ve tespit doğrulamasını otomatikleştirerek, boşa harcanan çabayı anında ortadan kaldırır ve güvenlik ekiplerine ihtiyaç duydukları bilgileri verir. ATI Nasıl Çalışır:
Tehdit zekasının otomatik işlenmesi
Güvenlik ekiplerinin her zaman en son tehdit istihbaratını elde ettiğini garanti etmek için ATI, kırmızı ekip raporlarını, istihbarat yayınlarını, hata ödül sonuçlarını ve doğrulanmış erişim olaylarını gerçek zamanlı olarak sürekli olarak inceler. ATI, uzlaşma göstergeleri (IOC’ler), taktikler, teknikler ve prosedürler (TTP’ler) ve şiddet derecelendirmeleri dahil olmak üzere önemli saldırı bilgilerini hızla çıkarmak için otomasyonu kullanır. ATI, süreci hızlandırır ve analistlerin verileri manuel olarak incelemek için saatler harcamaktan kurtararak saniyeler içinde organize bilgiler sağlar.
Dinamik önceliklendirme
Her gün alınan büyük tehdit verilerinin hacmi göz önüne alındığında, öncelikler belirlemek esastır. ATI, maruz kalma seviyeleri, etkilenen varlıklar ve yeni saldırı eğilimleri gibi değişkenleri göz önünde bulundurarak, hangi tehditlerin en çok tehlikeyi temsil ettiğini dinamik olarak belirler. ATI, acil eylem gerektiren en acil tehditleri akıllıca analiz eder ve yükseltir ve güvenlik ekiplerinin yüzlerce uyarıyı aşırı yüklemesini önler. Bu, yüksek riskli tehditlerin karışıklıkta asla kaybolmadığını garanti ederek takımların hızlı ve hassas bir şekilde tepki vermesini sağlar.
Tespit kapsam analizi
Güvenlik operasyonlarındaki en zorlu görevlerden biri, mevcut tespitlerin zaten tanımlanmış bir tehlikeye değinmediğini belirlemektir. ATI, tekrarlayan araştırmalardan kaçınarak ve çabaları çoğaltma, algılama kapsamını otomatik olarak izler. Bir algılama boşluğu keşfedilirse, ATI güvenlik mühendislerini derhal uyararak, zaten ele alınmış tehditlerde zaman harcamak yerine gerekli tespitleri oluşturmaya odaklanmalarına izin verir. Bu teknik, tehdit tespit stratejilerinin etkinliğini artırırken verimsizlikleri ortadan kaldırır.
Daha hızlı algılama mühendisliği
Binaların tespiti sıklıkla zahmetlidir ve uygun verilerin ve günlüklerin mevcut olduğunu doğrulayan mühendisleri içerir. Tehdit davranışlarını mevcut telemetri kaynaklarıyla eşleştirerek ATI, bir saldırının tespit edilip edilemeyeceğini belirlemek için günlük analiz platformlarına kolayca bağlanır. ATI, verimli güvenlik önlemlerinin inşasını büyük ölçüde hızlandırır ve mühendislere algılama fizibilitesi hakkında derhal bir cevap verir.
Gürültüyü kesin, zamandan tasarruf edin ve ATI ile daha hızlı yanıt verin
ATI ile güvenlik ekipleri reaktif itfaiyeden proaktif tehdidi önlemeye geçiyor.
- Tehdit araştırma süresi rapor başına 8 saatten sadece 1 saate düşer,% 90 verimlilik kazancı.
- Güvenlik ekipleri, manuel araştırmaları otomatikleştirerek yılda 500’den fazla mühendislik saatini tasarruf eder.
- Yanlış pozitifler%40’a kadar azaltılır, gürültü keser ve algılama doğruluğunu iyileştirir.
- Yüksek riskli tehditler gerçek zamanlı olarak tanımlanır ve yanıt sürelerini 5 kat hızlandırır.
Bu, daha hızlı tespit, daha iyi kapsama alanı ve daha az kör nokta anlamına gelir.
Güvenlik modeli bozuldu ve radikal bir düzeltme zamanı
Siber saldırılara karşı savaş gitmiyor. Saldırganlar daha hızlı hareket ediyor ve otomasyon, yapay zeka ve büyük ölçekli saldırılarla geleneksel savunmalardan kaçıyor. Kalmak istiyorsanız en azından oldukları kadar hızlı hareket etmelisiniz. Sonraki gelişme uyarlanabilir tehdit istihbaratıdır (ATI). Güvenlik ekiplerinin hız, otomasyon ve zeka tehdidi analizine getirerek gürültüden ziyade gerçek risklere odaklanmasını sağlar. Takımlar, neyin önemli olduğunu, neyin kapsanan ve verileri manuel olarak sıralamadan neyin eylem gerektirdiğini hızlı bir şekilde anlayabilir. Bir şeyleri eski moda bir şekilde yapmak verimsiz değildir. Bu bir sorumluluk. Tehdit çalışmasının yeniden değerlendirilmesi gerekiyor. Otomatikleştirme zamanı geldi.
Yazar hakkında
Emmanuel Joshua, siber güvenlik otomasyonu, tehdit istihbaratı ve algılama mühendisliği konusunda uzmanlaşmış bir Yazılım Geliştirme Mühendisi (DEFSEC) Amazon’dur. Ölçeklenebilir güvenlik çözümlerinin geliştirilmesinde bir geçmişe sahip olan Emmanuel, otomasyon ve yapay zeka odaklı zeka yoluyla tehdit araştırma verimliliğini, tespit kapsamını ve güvenlik operasyonlarını geliştirmeye odaklanmaktadır. Deneyimi, güvenlik ekiplerinin gerçek zamanlı olarak tehdit geliştirmeye yanıt vermelerine yardımcı olmak için tehdit istihbarat araçları, veri analizi ve otomasyon çerçeveleri ile çalışmayı içerir. Emmanuel, güvenlik operasyonlarını düzene sokma ve araştırma darboğazlarını en aza indirme konusunda tutkulu. Güvenlik profesyonellerinin yeni siber tehditlerin önünde kalmasını sağlayan çözümler geliştirmeye kararlıdır. Emmanuel’e çevrimiçi olarak ulaşılabilir @iamemmanueljoshua https://www.linkedin.com/in/iamemmanueljoshua/