Şirketlerde hacker saldırılarını olabildiğince erken tespit etmek her zaman önemlidir. Bir davranış analizi, başarılı saldırıların "bekleme süresini" kısaltmaya yardımcı olur.
Bilgisayar korsanları, filmlerde genellikle bir tür dijital banka soygunu olarak tasvir edilir: Bilgisayar korsanları, hedeflerinin koruma mekanizmalarını dramatik bir şekilde aşar ve ardından gıpta ile bakılan verileri çalmak için yalnızca birkaç dakikaları kalırken, BT güvenliği umutsuzca saldırganları durdurmaya çalışır. . Gerçek çok farklı, çünkü çoğu siber suçlu ağda kendilerini evlerinde gibi hissediyor ve bazen keşfedilmeden önce orada aylar veya yıllar geçiriyorlar. Bu kadar zamanınız varsa, elbette çok fazla hasara neden olabilirsiniz ve bekleme süresi, bir saldırının ne kadar şiddetli olduğunu belirlemek için başarılı saldırıları analiz ederken en önemli göstergelerden biridir. Çoğu durumda, birkaç saatlik erişim bile önemli miktarda verinin tehlikeye atılmasına neden olabilir.
Saldırganlar tespit edilmeden önce hedef ortamda 56 gün geçirir
Yakın tarihli bir raporda, siber suçluların tespit edilmeden önceki küresel medyan kalma süresi 56 gündü. Bu değer, saldırganların keşfedilmelerine daha 78 gün kaldığı bir önceki yıla göre önemli ölçüde daha iyiydi. Ancak bazı durumlarda, ihlaller birkaç yıl boyunca fark edilmedi ve ilgili herkes için ciddi sonuçlar doğurdu. Saldırıların bu kadar uzun süre tespit edilememesinin nedenlerinden biri, çoğu kuruluşun ağlarının giderek yaygınlaşmasıdır. Bu tür ağlar ne kadar geniş, dağınık ve düzensiz hale gelirse, suçluların gizli kalması o kadar kolay olur. Saldırganlar bir kez orada olduklarında ağda fark edilmeden gezinir, giderken verileri tarar ve sızdırırlar. Elbette, hassas müşteri veya gizli araştırma verilerini tutan şirketler için, saldırganların ağda aylarca hatta yıllarca fark edilmeden kalabileceğini hayal etmek bir kabustur. Çok sayıda örnek, bu tür uzun süreli veri sızıntılarının ilgili şirketler için ne kadar ciddi olduğunu göstermektedir.
BT güvenliğinin kabusu: Ağdaki saldırganlar yıllarca tespit edilemedi
Milyarlarca zarara mal olan başarılı saldırıların kurbanı olan sayısız şirket örneği var. Örneğin, ABD finansal hizmetler sağlayıcısı Equifax, 2017'de büyük bir veri sızıntısı ortaya çıktıktan sonra borsa değerinin yüzde 35'ini kaybetti, itibarına büyük zarar verildiğini kabul etmek ve yarım milyar ABD dolarından fazla ceza ödemek zorunda kaldı. 2018'de 9,4 milyon yolcu verisinin ele geçirildiği Cathay Pacific vakası da efsanevi ve kalış süresi açısından neredeyse eşsiz. Cathay Pacific'in araştırması altı aydan uzun sürdü ve bir dizi şok edici bilgiyi ortaya çıkardı: Ağa yetkisiz erişimin bilinen en erken tarihi neredeyse dört yıl önceydi, Ekim 2014'tü. Yani saldırganlar tam dört yıl boyunca ağda tespit edilmedi! Ve bu, Cathay Pacific'in BT güvenliği için yeterince utanç verici değilmiş gibi, saldırganların sızdığı güvenlik açığından yararlanmak kolaydı ve dahası, uzun süredir kamuoyunun bilgisi dahilindeydi.
Her iki durum da, en kötü durumda ne olabileceğine dair uyarı niteliğinde ve BT güvenlik ihlali mümkün olduğunca erken tespit edilirse hasarın sınırlandırılabileceğine dair bir örnek teşkil ediyor. Her kuruluşun savunmasız olduğu ve bir güvenlik ihlalinin meydana gelmesinin an meselesi olduğu uzun zamandır bilinmektedir. Bu, BT güvenliğinin bu kötü amaçlı etkinlikleri olabildiğince erken tespit edebilmek için hangi çözümlere ve becerilere ihtiyaç duyduğu sorusunu gündeme getiriyor.
Gelişmiş davranış analizi, çok daha iyi bir erken uyarı sistemi sağlar
Saldırganların hedef ortamda kendilerini rahat hissetmeleri için ortalama iki ayları olduğu için, kullanılan beceriler ve çözümler pek çok şirkette iyi durumda değil gibi görünüyor. Saldırıları tamamen önleme veya bekleme sürelerini azaltma görevi söz konusu olduğunda, birçok güvenlik ekibi oldukça kayıp bir konumdadır. Çünkü birçok yaygın güvenlik çözümü her şeyden önce tek bir şey üretir: yanlış alarmlar. Ekipler, alarm selini manuel olarak işlemek için çok zaman harcamak zorunda kalıyor. Bu, zaten ağa girmiş olan saldırganları bulma ve onları ortadan kaldırma gibi daha uzun bir sürece dahil olmak için çok az zaman bırakır.
Güvenlik uyarılarını manuel olarak değerlendirmekten çok daha etkili olan bir teknoloji davranış analizidir. Şüpheli kullanıcı veya ağ etkinliğini daha etkili bir şekilde belirlemeye yardımcı olabilir. Davranış analizi çözümleri, önceden var olan güvenlik olayı günlüklerinden yararlanır, yani ilgili olay ayrıntılarının tam kapsamını ve bağlamını zaten bilirler. Sonuç olarak, güvenlik analistlerinin olayların zaman çizelgelerini manuel olarak oluşturmak için artık çok sayıda olay günlüğünü gözden geçirmesi gerekmiyor. Bu zaman alıcı süreci ortadan kaldırarak, potansiyel güvenlik ihlalleri çok daha hızlı bir şekilde tespit edilebilir, bu da güvenlik ekiplerinin saldırganları hızlı bir şekilde takip etmesine ve saldırganın bekleme süresini neredeyse ortadan kaldırmasına olanak tanır.
Sonuç: Kullanıcıların ve varlıkların davranışlarını analiz etmek, tehditleri daha erken tespit eder
Modern gizlilik düzenlemeleri her zamankinden daha katı, bu da şirketlerin artık veri güvenliği konusunda kayıtsız kalamayacakları anlamına geliyor. Ancak ağlar artık her zamankinden daha büyük ve daha dağınık olduğundan, onları geleneksel güvenlik araçlarıyla ve manuel analizle korumak kârsız hale geldi. Gelişmiş davranış analizi gibi yeni teknolojiler, eski araçların gerektirdiği zaman alıcı ayak işlerini ortadan kaldırarak yanlış pozitifleri önler ve gerçek tehditlerin çok daha erken tespit edilmesine yardımcı olur.
[yıldız kutusu kimliği=17]