Güvenlik operasyon merkezleri (SOC’ler), uygulamalı bir klavye saldırısından geniş ölçekli ve yıkıcı bir fidye yazılımı saldırısına ve hatta karmaşık bir ulus devlet saldırısına hızla dönen tehditlerle karşılaşıyor. Mevcut triyaj ve uyarı ile düzeltme, bu gibi durumlarda büyük olasılıkla başarısız olacaktır.
Uyarılar soruşturma için iyi bir başlangıç noktası olsa da, savunucuların bir saldırının ciddiyetini, etkilerini ve yayılmasını etkili bir şekilde düzeltmelerine yardımcı olmazlar. Güvenlik ekiplerinin izole uyarı kuyruklarından uzaklaşması ve tüm uçtan uca saldırıların ele alınmasını sağlayan olaylara geçmesi gerekiyor.
Uyarıya dayalı bir önceliklendirme ve düzeltme sisteminden kapsamlı olay düzeltme etrafında oluşturulmuş bir sisteme geçmek, zaman ve kaynak tasarrufu, güvenlik ekiplerinin yükünün büyük ölçüde kaldırılması ve sıfır güven üzerine kurulu güvenlik duruşunuzun genel olarak güçlendirilmesi gibi büyük avantajlar sağlayabilir. derinlemesine savunma yaklaşımı:
- Olay görünümü, analistlerin büyük resmi hemen görmelerini ve saldırının ciddiyetini ve kapsamını anlamalarını sağlar, bu da SOC’lerin kritik olaylara öncelik vermesine ve bilinçli bir eylem planı tasarlamasına yardımcı olur. Ayrıca analist kuyruğundaki iş öğelerini büyük ölçüde azaltır.
- Korelasyonlar, etkinliğin kötü amaçlı olduğuna dair güven sağlar, böylece olaylar daha hızlı ve kolay bir şekilde önceliklendirilir. Olaydaki bir etkinliğin kötü niyetli olduğunu belirlemek, tüm olayı suçlar ve bu da yanlış pozitifleri ortadan kaldırmaya yardımcı olur.
- Olaylar, analistlerin öldürme zincirindeki “boşlukları” tespit etmelerini ve olaydaki uyarıları MITRE ATT&CK bilgi tabanındaki teknikler ve taktiklerle eşleştirerek bağlama dayalı olarak doldurmalarını sağlar. Örneğin, bir olayda ilk erişim ve yanal hareket faaliyetlerini görürsek, bunu süreklilik, komuta ve kontrol ve uyarıları tetikleyecek kadar açık olmayan kimlik bilgisi hırsızlığı taktiklerini bulmak için kullanabiliriz. İlk giriş noktasını bulmak için yürütme yolunda otomatik olarak geriye gidebilir ve saldırının tam kapsamını ortaya çıkarmak için ileri gidebiliriz – tehdidin nasıl kontrol altına alınacağına, saldırganın nasıl tahliye edileceğine ve varlıklara verilen zararın nasıl giderileceğine karar vermek için kritik öneme sahiptir.
- Bireysel uyarılar yerine olaylara göre hareket ettiğimiz için, SOC oyun kitapları tüm olayları da hedefleyebilir. Bu, talimatlar için bireysel uyarıları “takip etme” ihtiyacını ortadan kaldırır ve her yeni uyarı türünde değişmeyen dayanıklı üst düzey rehberlik sağlar. Olayın etkisinin anlaşılmasıyla, oyun kitapları artık saldırganı tek seferde tamamen tahliye etmek için sınırlama adımlarını açıkça belirleyebilir, önceliklendirebilir ve düzenleyebilir.
- Son olarak, olay modeli, iyileştirmenin tam olarak yürütülebilmesi için etkilenen tüm varlıkları ortak bir kovada toplar.
SOC’nin tehdit koruması geliştikçe süreçlerini uyarlaması ve ölçeklendirmesi gerekiyor. Bu yolculuğa başlamak için dört acil eylem gerçekleştirin.
1. Önceliklendirmeyi Uyarılardan Olaylara Geçiş
SOC’niz ister ilk önceliklendirme için bir SIEM ister bir XDR güvenlik ürünü kullanıyor olsun, uyarıların üzerine anlamlı ilişkili olayları sunabildiğinden emin olun. Bu tehditten kaynaklanan potansiyel risk, tekniklerin kapsamı ve öldürme zinciri ilerlemesi ve etkilenen varlıkların kritikliği gibi sizin için önemli olan parametrelere dayalı olarak olay sıranıza öncelik verin.
SOC çalışma kitaplarınızı kimlik avı, fidye yazılımı ve reklam yazılımı gibi olay kategorileriyle eşleştirin. Olay kategorisine göre, SOC analistinin olayın gerçek bir tehdit mi yoksa yanlış alarm mı olduğunu hızlıca anlamak ve ilerlemesini hemen durdurmak için ne yapması gerektiğini tanımlayın.
Aşamaya veya tekniğe dayalı olarak bireysel olay uyarılarının araştırılması için rehberlik sağlayın. Olaydaki tüm saldırgan etkinliklerinin ve etkilenen varlıkların keşfedildiğinden ve yakalandığından emin olun; bu, olay düzeltme planının temelini oluşturur.
Son olarak, etkilenen tüm varlıklar ve kanıtlar dahil olmak üzere olayın tamamını değerlendirdikten sonra, etkilenen varlıkları temiz bir operasyonel duruma döndürmek için iyileştirme eylemlerini başlatın.
2. Otomatikleştirin
SOC çalışma kitaplarını yapılandırılmış ve dayanıklı bir şekilde olaylarla eşleştirmek, koordineli süreç otomasyonu sağlar. Bazı olay kategorileri tamamen otomatik olarak işlenebilir ve SOC’nin dikkatine gerek kalmadan uçtan uca çözülebilir. Diğerleri için, bazı parçalar otomatikleştirilebilir (örneğin, ilk önceliklendirme, toplu olarak iyileştirme), uzmanlık gerektiren diğerleri ise manuel olarak kalır (örneğin, araştırma). Otomasyon, analistlere nerede ve nasıl yardımcı olacağını belirlemek, tekrarlayan manuel çalışmalardan tasarruf etmek ve SOC’nin daha karmaşık ve yüksek riskli olaylara odaklanmasını sağlamak için olay grafiğinden yararlanmalıdır.
3. Ekibi Birlikte Getirin
İlişkili olaylarla çalışmanın faydalarını ve bu yaklaşımın savunma oyuncuları için oyunu nasıl değiştirdiğini açıklamak için zaman ayırın. MITRE ATT&CK çerçevesini keşfedin ve ölçeklenebilir ve dayanıklı olacak şekilde olaylara yönelik SOC başucu kitabınızı yapılandırmak için kullanın. Yeni bir uyarı, sızıntıyı algıladığında ve uygun taktik veya teknikle eşleştirildiğinde, mevcut kılavuz geçerlidir ve özel uyarı eklemeye veya yeni kılavuzluğa gerek yoktur.
Önceki vakalarda gerçekleştirilen eylemleri güvenlik araçlarınıza entegre olarak kaydedin ve bu verileri analistlerin yeni olaylarla nasıl daha iyi başa çıkacaklarını ve zaman içinde süreçleri nasıl daha iyi ayarlayabileceklerini anlamalarına yardımcı olmak için kullanın. Bu öğrenimleri endüstri çapında işbirliğine genişletmek, kuruluş ve tüm güvenlik topluluğu için muazzam faydalar sağlayabilir.
4. Satın Almadan Önce Deneyin
Kuruluşunuzun olaylara geçmesini sağlayan ve bu SOC süreci gelişimini destekleyen bir güvenlik ürünü arayın. Uyarıların olaylar, önceliklendirme, olay sınıflandırması ile otomatik korelasyonunu ve olay ve uyarı düzeyindeki SOC oyun kitaplarınızı MITRE ATT&CK taktikleri ve teknikleri ile eşleştirme becerisini uygulamalıdır.
Özelleştirmeyi unutmayın – her kuruluşun tercihleri ve özel süreçleri vardır. Kuruluş içindeki ve sektör genelindeki olay geçmişine dayalı eylem önerilerini entegre eden ürünler bulun.