Günümüzde Tehdit Tespit Trendleri
Siber suçlular, keşfedilmeden önce bir ağ içinde ortalama olarak 191 gün geçirirler.
Günümüzün hızla gelişen siber güvenlik ortamında, küçük olaylardan büyük olaylara kadar tüm kurumları etkileyen yeni bir tehdit bildirimi haberinin olmadığı bir gün neredeyse geçmiyor. Siber güvenlik bugün birçok işletme için önemli bir endişe kaynağıdır. Bununla birlikte, Orta Doğu’da PWC tarafından yapılan son ankete göre, ankete katılan CEO’ların yüzde 74’ü siber saldırıları ve sızıntıları 2021’de büyümeye engel olarak görüyor.
Siber güvenlik bir kedi fare oyunu gibidir. Çözümlerimiz bir saldırıyı durdurmada daha iyi hale geldikçe, rakipler zaten yeni taktikler ve teknikler geliştirmiş ve kullanmaya başlamıştır. Verizon Veri İhlali Soruşturmaları Raporuna göre, gelişmiş tehditler çevremizde genellikle aylarca fark edilmeden gizlenirken, gizlice verilerimizi çalmak için değerli bilgiler toplamaya çalışırlar. Bu tehditlerin görünür hale gelmesini veya geleneksel SOC izleme araçları tarafından bir uyarı oluşturulmasını beklersek, çok geç olabilir. Tehdit tespiti bu zorluklarla mücadeleye yardımcı olabilir. Tehdit avcıları, bir alarm beklemek yerine proaktif olarak ağ içinde gelişmiş bir düşmanın işlediğini varsayar ve yerini tespit etmeyi başarır.
Tehdit Avcılığı/Tespiti Nedir?
Tehdit Avcılığı, bir saldırı gerçekleştirmeden veya hedeflerine ulaşmadan önce güvenlik kontrolünden kaçan tehditleri belirlemek için ağlar ve uç noktalar arasında arama yapma işlemidir. Tehdit avcılığı, tehditleri tespit etmek için güvenlik çözümlerine bel bağlamak yerine, ağınızda gizli olan tehditleri bulmaya yönelik proaktif bir yaklaşımdır.
Güvenlik operasyon merkezi (SOC) ve olay müdahale (IR) ekiplerinin aksine, tehdit avcıları sadece tehditlere cevap vermekle kalmaz, aynı zamanda onları aktif olarak ararlar. Bu süreçte, potansiyel tehditlerin varlığına dair hipotezler oluşturulur bunlar daha sonra toplanan verilere ve analizlere dayanarak doğrulanır veya çürütülür.
Tehdit avcılığı, tehdit avlama ekibinizin yanı sıra ağınızı veya normal çalışan davranışınızı bilmeyen harici satıcılara olan bağımlılığınızı da azaltır. Ayrıca, tehdit avcılığı sizi; ağlarınızı, sistemlerinizi, uygulamalarınızı ve kullanıcılarınızı öğrenmeye zorlayacaktır. Tüm bu bileşenleri anlamak, sağlam bir güvenlik çerçevesinin kritik bir unsurudur.
Etkili Bir Tehdit Avlama Programı Oluşturmak
Başarılı bir tehdit avlama programı, kuruluşunuza uyacak şekilde sürekli gelişen ve uyarlanabilir süreçlerin, araçların ve tekniklerin yinelemeli bir kombinasyonudur. Öncelikle, doğru verilere sahip olduğunuzdan emin olmalısınız. Birden çok işletim sisteminde çok çeşitli etkinlik ve davranışları yakalayan ve tüm tehdit avlama çabalarınız için bir temel oluşturabilecek telemetriye sahip olduğunuzdan emin olmanız gerekir. Cihaz telemetrisi, ağ trafiği modelleri, dosya karmaları, işlemler, kullanıcı etkinliği, ağ etkinliği, dosya işlemleri, kalıcılık etkinliği, sistem ve olay günlükleri, reddedilen bağlantılar ve çevresel aygıt etkinliği gibi verileri içermelidir.
İkinci olarak, tehdit avcılığının kritik bir bileşeni, verileri çin ‘normal’ taban çizgisine sahip olmak ve aykırı değerleri bulmaktır (aykırı değer analizi). Saldırganlar, kimlik avı kampanyalarından kullanıcı kimlik bilgilerini almak için genellikle sıradan kullanıcılarla kaynaşmak isterler, bu nedenle, bir kullanıcının tipik davranışını anlamak, anormal dosya erişimini veya oturum açma olaylarını araştırmak için yararlı bir temeldir.
Ardından, tehdit avcıları bir hipotez geliştirir. Hipotezler tipik olarak avcılar tarafından, sosyal zeka, tehdit istihbaratı ve geçmiş deneyimlere dayalı olarak formüle edilir.
Bu hipotezler aşağıdaki soruları içerebilir:
“Bu ortama saldıracak olsaydım, bunu nasıl yapardım? Neye erişmeye çalışırdım? Hedeflerim ne olurdu?”. “Neden şifrelenmiş HTTPS? Doğu’daki ülkelerin FTP trafiğini neden ortamımda görüyorum?” veya “Neden tek bir makineden anormal miktarda DNS sorgusu görüyorum?”.
Hipotez oluşturulduktan sonraki adım, verilerdeki yeni kötü amaçlı kalıpları keşfetmek ve saldırganın taktiklerini ortaya çıkarmak için çeşitli araçları ve teknikleri araştırarak hipotezi takip etmektir. Hipotez doğruysa ve kötü niyetli faaliyetin kanıtı bulunursa, tehdit avcısı bulgunun niteliğini, kapsamını, etkisini ve kapsamını derhal doğrulamalıdır.
Yeni bir tehdit ortaya çıkardıktan sonra, tehdide etkili bir şekilde yanıt verebileceğiniz ve düzeltebileceğinizden emin olmanız gerekir. Tepki, saldırıyı etkisiz hale getirmek için kullanılacak hem kısa vadeli hem de uzun vadeli müdahale önlemlerini belirgin bir şekilde tanımlamalıdır. Tepkinin temel amacı, sisteme algılanan bir tehditten zarar gelmesini önlemek için devam eden saldırıya derhal son vermek ve tehdidin nedenini anlamak için güvenliği artırmak ve gelecekte benzer türden saldırıları önlemektir.
Son olarak, başarılı avlar otomatikleştirilmiş analitiği bilgilendirmek ve zenginleştirmek için temel oluşturur. Tehdit avlama uygulamasındaki son adım, tehdit avlama süreci sırasında elde edilen bilgileri uç nokta tespit ve müdahale (EDR) sistemlerini zenginleştirmek ve iyileştirmek için kullanmaktır. Bu şekilde, soruşturma sırasında yapılan keşifler sayesinde kuruluşun küresel güvenliği artırılır.
Tehdit Avcılığını Neden Uç Nokta Koruma Sürecine Dahil Etmelisiniz?
Ortalama olarak, siber suçlular keşfedilmeden önce bir ağ içinde 191 gün geçirir ve bu bir miktar hasara neden olmak için fazlasıyla yeterlidir. Basitçe ifade etmek gerekirse, ağınızda tehdit aktörlerini aramıyorsanız, orada olduklarını asla bilemezsiniz.
Tehdit avcılığı insan odaklı, yinelemeli, uyarlanabilir ve sistematiktir. Bu sayede, proaktif yapısı, güvenlik uzmanlarının olaylara normalde mümkün olandan daha hızlı yanıt vermesini sağlayarak bir kuruluşa verilen zararı ve genel riski etkili bir şekilde azaltır.