Her Ekim, mağazalarda ve kafelerde tanıdık bir ritim getiriyor; gelen kutumda bir dizi hatırlatma, web semineri ve kontrol listesi var. Cadılar Bayramı çok yakında olabilir, ancak siber güvenlikle ilgilenen bizler için Güvenlik Farkındalığı Ayı gerçek anlamda mevsimsel bir dönüm noktasıdır.
Kusura bakmayın, bir güvenlik uzmanı olarak bu ayı seviyorum. CISA ve Ulusal Siber Güvenlik İttifakı tarafından 2004 yılında başlatılan bu sistem, güvenliği ortak bir sorumluluk haline getirmek için tasarlandı. Sıradan vatandaşların, işletmelerin ve kamu kurumlarının daha güvenli dijital alışkanlıklar geliştirmesine yardımcı olur. Ve işe yarıyor. Riskin birçok biçimine dikkat çeker, aksi halde gerçekleşmeyecek konuşmaları başlatır ve çalışanların kuruluşun güvenliğindeki kişisel çıkarlarını ve nüfuzlarını fark etmelerine yardımcı olur.
Güvenlik Farkındalığı Ayı girişimleri güveni artırır, içgüdüleri keskinleştirir ve güvenliği herkesin aklında ön planda tutar…ta ki kış tatili sezonu dekorasyonları artmaya başlayana kadar.
Bundan sonra momentum kayıyor. Güçlendirme olmadan farkındalık hızla kaybolur. İnsanlar ne yapacaklarını biliyor ancak günlük baskı ve değişen öncelikler, zayıf şifrelerin, yanlış yapılandırmaların ve kullanılmayan hesapların geri sızmasına neden oluyor. Gerçek ilerleme, insanların hatırladıklarını doğrulayan ve kaçırdıklarını yakalayan bir yapıya, kimliği, yapılandırmayı ve ayrıcalığı sürekli olarak doğrulayan sistemlere ihtiyaç duyar.
Bu makalede, neden farkındalığın güvenliğin tüm ağırlığını tek başına taşıyamayacağına ve proaktif tehdit avcılığının bildiklerimizle gerçekten önleyebileceklerimiz arasındaki boşluğu nasıl kapattığına daha yakından bakacağım.
Farkındalığın Sınırları
Güvenlik Farkındalığı Ayı, savunmanın insani yönünü öne çıkarıyor. Çalışanlara her tıklamanın, kimlik bilgilerinin ve bağlantının önemli olduğunu hatırlatır. Bu odağın değeri var ve kuruluşların, çalışan davranışlarını gerçekten değiştiren yaratıcı kampanyalara yoğun yatırım yaptığını gördüm.
Ancak aynı kuruluşların birçoğu hâlâ ciddi ihlallerle karşılaşıyor. Bunun nedeni birçok ihlalin eğitimin ulaşamayacağı yerlerde başlamasıdır. Yanlış güvenlik yapılandırmaları tek başına tüm siber olayların üçte birinden fazlasını ve bulut güvenliği olaylarının kabaca dörtte birini oluşturuyor. Sinyal açık: Farkındalığın sınırları var. Karar verme sürecini geliştirebilir ancak insanların asla görmediği şeyleri düzeltemez.
Sorunun bir kısmı, geleneksel savunmaların öncelikle tespit ve tepkiye odaklanmasıdır. EDR şüpheli etkinlik konusunda uyarı verir. SIEM, olayları meydana geldikten sonra ilişkilendirir. Güvenlik açığı tarayıcıları bilinen zayıflıkları tespit eder. Bu araçlar öncelikle Siber Savunma Matrisinin sağ tarafında çalışır ve savunmanın reaktif aşamalarına odaklanır.
Etkili savunmanın daha erken başlaması gerekiyor. Matrisin proaktif sol tarafı (tanımlama ve koruma) varsayımlara değil güvencelere dayanmalıdır. Proaktif tehdit avcılığı, bu güvenceleri sağlayan ve farkındalığın başlattığı sürece güç veren bir mekanizma kurar. Bu güvenceleri sağlayan ve farkındalığın başlattığı sürece güç veren bir mekanizma yaratır. Saldırı fırsatları yaratan yanlış yapılandırmaları, açığa çıkan kimlik bilgilerini ve aşırı ayrıcalıkları arar ve ardından, bir düşmanın bunları istismar etmesine fırsat vermeden bunları kaldırır.
Proaktif Tehdit Avcılığı Denklemi Değiştiriyor
En iyi savunma ilk uyarıdan önce başlar. Proaktif tehdit avcılığı, bir saldırının oluşmasına izin veren koşulları tanımlar ve bunlara erken müdahale eder. Güvenliği pasif gözlemden, maruziyetin nereden kaynaklandığına dair net bir anlayışa taşır.
Gözlemden proaktif anlayışa doğru olan bu geçiş, modern bir güvenlik programının temelini oluşturur: Sürekli Tehdit Maruziyeti Yönetimi (CTEM). Tek seferlik bir proje yerine CTEM programı, tehditleri sürekli olarak modellemek, kontrolleri doğrulamak ve işi güvence altına almak için yapılandırılmış, tekrarlanabilir bir çerçeve sağlar. Bu yeteneği geliştirmeye hazır kuruluşlar için, CTEM’e Başlamak İçin Pratik Bir Kılavuz net bir yol haritası sunuyor.
Saldırganlar zaten bu modeli takip ediyor. Günümüzün kampanyalarındaki tehdit aktörleri, kimliğin kötüye kullanımını, kimlik bilgilerinin yeniden kullanımını ve hibrit ortamlarda makine hızında yanal hareketi birbirine bağlıyor. Yapay zeka destekli otomasyon, tüm altyapıyı dakikalar içinde haritalar ve silahlandırır. Ortamlarını bir saldırganın bakış açısıyla inceleyen ekipler, küçük ihmallerin, tehdit aktörlerinin savunma katmanlarını aşmasına olanak tanıyan tam saldırı yollarına nasıl bağlandığını görebilir. Bu, dağınık risk verilerini uzlaşmanın nasıl geliştiğine ve bunun nasıl erken durdurulacağına dair canlı bir resme dönüştürür.
Savunmacılar, saldırganların halihazırda sahip olduğu bağlamsal görünürlük derinliğine ihtiyaç duyar. Proaktif tehdit avcılığı bu görünürlüğü yaratır ve üç aşamada hazırlıklı olmayı sağlar:
- Doğru Veriyi Alın – Tek bir saldırgan merkezli görünüm oluşturmak için ortamın her yerinden güvenlik açığını, ağ tasarımını ve her sistemin bağlantısını, kimliğini (hem SSO hem de sistemlerde önbelleğe alınan veriler) ve yapılandırma verilerini toplayın. Amaç, zayıf kimlik bilgileri, bulut duruş boşlukları ve giriş noktaları oluşturan ayrıcalık ilişkileri dahil olmak üzere bir düşmanın ne göreceğini görmektir. Dijital ikiz, ortamı güvenli bir şekilde kopyalamanın ve tüm pozları tek bir yerde görüntülemenin pratik bir yolunu sunar.
- Saldırı Yollarını Haritalayın – Riskleri ve varlıkları birbirine bağlamak için dijital ikizden yararlanın; bir uzlaşmanın ortamda nasıl ilerleyebileceğini ve kritik sistemleri nasıl etkileyebileceğini gösterin. Bu haritalama önemli olan sömürü zincirlerini ortaya çıkarıyor. Varsayımları kanıtlarla değiştirerek birden çok küçük riskin bir saldırı yolu oluşturmak üzere nasıl birleştiğini tam olarak gösterir.
- İş Etkisine Göre Öncelik Verin – Doğrulanan her yolu iş operasyonlarını destekleyen varlıklara ve süreçlere bağlayın. Bu aşama, teknik bulguları iş riskine dönüştürür ve en büyük iş kesintisine neden olabilecek risklere yönelik iyileştirmelere odaklanır. Sonuç netliktir; dayanıklılığı doğrudan güçlendiren, doğrulanmış, önceliklendirilmiş bir dizi eylem.
Farkındalık kritik bir yapı taşıdır. Ancak proaktif tehdit avcılığı, savunuculara farkındalığın tek başına asla sağlayamayacağı bir şeyi sağlar: kanıt. Kuruluşun tam olarak nerede durduğunu ve görünürlük ile önleme arasındaki boşluğu ne kadar hızlı kapatabileceğini gösterir.
Farkındalıktan Hazırlığa
Güvenlik Farkındalığı Ayı bize farkındalığın önemli bir adım olduğunu hatırlatıyor. Ancak gerçek ilerleme, farkındalığın eyleme geçmesiyle başlar. Farkındalık ancak onu ölçen ve doğrulayan sistemler kadar güçlüdür. Proaktif tehdit avcılığı, dikkati en önemli şeye, yani yarının saldırılarının temelini oluşturan zayıf noktalara odaklayarak farkındalığı hazırlığa dönüştürür.
Farkındalık insanlara riski görmeyi öğretir. Tehdit avcılığı, riskin hala mevcut olup olmadığını kanıtlar. Birlikte, farkındalığı artırma kampanyaları sona erdikten sonra bile güvenliğin canlı kalmasını sağlayan sürekli bir döngü oluştururlar. Bu Ekim ayında her kuruluş için soru, eğitimi kaç çalışanın tamamladığı değil, birisi test ederse savunmanızın bugün dayanabileceğinden ne kadar emin olduğunuzdur. Farkındalık anlayışı geliştirir. Hazırlıklı olmak koruma sağlar.
Not: Bu makale XM Cyber Residence’ın CISO’su Jason Frugé tarafından yazılmış ve katkıda bulunmuştur.