İç savunma: İçe dönük bir bakış açısıyla siber güvenlik. Tehlike nedeniyle kuruluşlar, dışarıdan gelecek siber saldırılara karşı savunmalarını güçlendiriyor. Ancak, genellikle içe bakmayı unuturlar. Yeni teknolojiler, zaten ağda olan saldırganların durdurulmasına yardımcı olur.
Siber suçlular için korona krizi ve sonuçları altına hücum havası anlamına geliyor - daha önce pek çok şirket bugün olduğu kadar savunmasız olmamıştı. Bununla birlikte, BT güvenliği, dağınık çalışanların neden olduğu artan saldırı yüzeyini güvence altına almak için yavaş yavaş yetişiyor ve şirketin ve evden çalışan çalışanlarının etrafındaki güvenlik duvarlarını artırıyor. Çoğu kuruluş, kullanılan çözümlerin içe değil, bazen daha büyük tehlikelerin pusuya yattığı yerlere yönelik olduğu gerçeğini gözden kaçırır.
Siber gaspçılar giderek daha fazla hedef haline geliyor
Verilerin fidye yazılımıyla şifrelenmesi, dış tehditlere iyi bir örnektir. Sulama kutusu ilkesini kullanan saldırganlar tarafından geniş çapta yayılırlar ve suçlular için başarı, hangi çalışanın bir kimlik avı e-postasını tıkladığına bağlı olarak rastgele olma eğilimindedir. Ancak veriler şifrelenmiş olsa bile şirketler, verileri etkisiz hale getirmek ve verileri kurtarmak için şifre çözme araçlarını, kurtarma yazılımlarını veya basit yedeklemeleri kullanabilir.
Buna yanıt olarak, birçok siber şantajcı daha fazla hedef haline geliyor. Saldırılarını, verileri daha değerli kabul edilen veya itibarına zarar verme potansiyelinin en yüksek olduğu organizasyonları giderek daha fazla hedefliyorlar. Çünkü bu şirketler, verilerin kamuya açıklanmaması nedeniyle bile fidye ödemeye daha istekli. Bu amaçla suçlular, başarılı bir saldırı potansiyelini kesin olarak değerlendirebilmek için potansiyel kurbanları bireysel olarak ve çok ayrıntılı bir şekilde inceler. Nihayetinde, kar beklentilerine göre hangi kuruluşlara saldıracaklarına karar verirler. Bu yeni, çok daha hedefli tehditler, fidye yazılımının ayrım gözetmeyen saldırılarından farklı bir yanıt gerektirir.
Yeni tehditler daha akıllı yanıtlar gerektirir
BT güvenlik operasyonları açısından bakıldığında, siber suçlulara karşı savunmadaki zorluğun büyük bir kısmı, Uzlaşma Göstergelerini (IOC'ler) kullanarak olası saldırıları tespit etmek ve araştırmaktır. Bunlar, şüpheli ve/veya kara listeye alınmış IP adresleri, bilinen kimlik avı URL'leri ve kötü amaçlı dosya imzaları olabilir. İdeal olarak, izinsiz giriş tespiti, güvenlik duvarları ve uç nokta güvenliği gibi bu IOC'leri kullanan klasik güvenlik araçları, kuruluşların başarılı bir saldırıya kurban gitmesini onlardan önce önler.
Klasik saldırılar için klasik araçlar
Bu yaklaşım, başarılı bir saldırıdan sonra verilerin hemen şifrelendiği fidye yazılımları için işe yarayabilir. Hedefli saldırılarda, suçluların çalmaya değer doğru verileri bulmak için bir süre ağda gezinmesi gerekir. İşletmeler, birçok farklı yerde depolanan petabaytlarca veriye sahip olabilir. Bu değerli verilere ulaşmak için suçluların çok daha fazla zaman ve çaba harcaması gerekiyor. Bununla birlikte, dışa dönük güvenlik araçları, güvenliği ihlal edilmiş içerideki kişileri tespit edemez çünkü ilk bakışta ağ üzerinde tamamen yasaldırlar. Bu aşamadaki saldırıları tespit etmek için kuruluşların başka güvenlik araçlarına ihtiyacı vardır. Ve suçlular bazen ağda uzun süre kalabildikleri için, daha fazla hasara yol açmadan önce onları olabildiğince erken tespit etmek önemlidir.
Zaman faktörü, BT güvenliğine bir avantaj sunar
Egon Kando, Exabeam'de Orta, Güney ve Doğu Avrupa Satışlarından Sorumlu Bölge Başkan Yardımcısıdır (Fotoğraf: Exabeam).
Bazen, suçlular bir altyapıda aylar hatta yıllar geçirebilir ve savunma zincirinden şirketin veri tacı mücevherlerine doğru ilerlerken fark edilmeden kalmak için büyük çaba sarf edebilirler. Bununla birlikte, bu aynı zamanda savunmaya küçük avantajlar da sunar: Bir yandan davetsiz misafirleri aramak için fidye yazılımlara kıyasla daha fazla zamanları olur ve diğer yandan suçlular ağda hareket ederken iz bırakır.
BT güvenliği, güvenlik görüşünü içe doğru yönlendirmek için gerekli araçlara sahip olması koşuluyla, daha kötü şeylerin olmasını önlemek için bu fırsatları kullanabilir. IOC'ler her zaman dışa dönük olduğundan, onları zaten ağda bulunan saldırganları tespit etmede işe yaramaz hale getirir.
SIEM ve UEBA: Etkili merkezi savunma
SIEM (Güvenlik Bilgileri ve Olay Yönetimi) çözümleri, çeşitli kaynaklardan günlükleri derler ve bunları normal ve şüpheli ağ davranışı açısından analiz eder. En yeni nesil SIEM'ler, makine öğrenimi algoritmalarına dayanan ve ağdaki kullanıcıların ve cihazların davranışlarını sürekli olarak izleyen UEBA'ya (User Entity Behavior Analytics) dayanmaktadır. Örneğin, alışılmadık dosyalara erişildiğinde veya göze çarpan uygulamalar çalışırken. Ağ günlüğü verilerinin bu analizi otomatikleştirilmelidir çünkü güvenlik ekiplerinin etkin ve gerçek zamanlı olarak manuel olarak incelemesi için çok fazla veri vardır.
Saldırılara verilen tepkileri kısaltın
Bununla birlikte, şüpheli davranışı belirlemek işin yalnızca bir parçasıdır. Çünkü artık yaklaşan hasarı önlemek veya mümkün olduğu kadar sınırlandırmak için mümkün olduğunca çabuk tepki vermek gerekiyor. Tepkinin kapsamını tanımlayabilmek için olayın tam olarak araştırılması gerekir. Bu, ilgili kullanıcıların ve cihazların tüm aktivitelerini gösteren ve bunların normal mi yoksa olağandışı mı olduğunu değerlendiren bir zaman çizelgesinin oluşturulmasını içerir. Bu yapıldıktan sonra, müdahale planlanabilir ve uygulanabilir. BT güvenlik ekipleri, çeşitli güvenlik ürünleri kullanılarak gerekli savunma önlemlerinin otomasyonu ve orkestrasyonu için SOAR çözümleri (Security Orchestration, Automation and Response) ile desteklenmektedir. SOAR, tabiri caizse, tespit ve analizden sonra saldırılara mümkün olan en kısa sürede hedefli bir şekilde tepki veren savunmanın liberosudur.
Özel oyun kitapları, etkiyi sınırlamak için bir ana bilgisayarı izole etme veya bir IP adresini yasaklama gibi azaltma işlemlerini tamamen otomatik hale getirebilir. Daha hızlı yanıt sürelerine ek olarak, bu, zamanın çok önemli olduğu kritik senaryolarda ortalama kurtarma süresini (MTTR) azaltır.
Asla güvende hissetme
İzinsiz giriş tespiti, güvenlik duvarları ve uç nokta güvenliği gibi harici savunma çözümleri alarm vermemiş olsa bile, şirketlerdeki BT güvenliği her zaman siber suçluların bir şekilde ağda olmasını ve saldırganların proaktif olarak izini sürmeye çalışmasını beklemelidir. Bunu yapmak için içe dönük güvenlik çözümlerine ihtiyacı var.”
Exabeam.com'da daha fazla bilgi edinin
Exabeam Hakkında Exabeam, Smarter SIEM™'in kısaltmasıdır. Exabeam, kuruluşların siber saldırıları daha verimli bir şekilde algılamasını, araştırmasını ve bunlara yanıt vermesini sağlar, böylece güvenlik ve içeriden gelen tehdit ekipleri daha verimli çalışabilir. Güvenlik kuruluşları artık şişirilmiş fiyatlar, kaçırılan dağıtılmış saldırılar ve bilinmeyen tehditler veya manuel incelemeler ve karşı önlemlerle yaşamak zorunda değil. Exabeam Güvenlik Yönetimi Platformu ile güvenlik analistleri, hem şirket içinde hem de bulutta sınırsız günlük verisi toplayabilir, saldırıları tespit etmek ve olay yanıtını otomatikleştirmek için davranışsal analiz kullanabilir. Exabeam Akıllı Zaman Çizelgeleri, makine öğrenimi yoluyla oluşturulan kullanıcı ve varlık davranış dizileri, saldırgan taktiklerini, tekniklerini ve prosedürlerini tespit etmek için gereken süreyi ve uzmanlığı daha da azaltır. Exabeam, Aspect Ventures, Cisco Investments, Icon Ventures, Lightspeed Venture Partners, Norwest Venture Partners, Sapphire Ventures ve tanınmış güvenlik yatırımcısı Shlomo Kramer tarafından özel olarak finanse edilmektedir. Daha fazla bilgi www.exabeam.com adresinde mevcuttur. Exabeam'i Facebook, Twitter, YouTube veya LinkedIn'de takip edin.