Güvenlik uzmanlarının uğraştığı sabitlerden biri, yüksek hacimli uyarılardır. Gürültüyü filtreledikten ve önemli olaylara ulaştıktan sonra bile, bu sayı genellikle güvenlik ekiplerinin normal bir vardiyada ele alabileceğinden çok daha fazladır. Nitelikli profesyonellerin gerekli personel sayısını veya hatta öğretilebilir ve yetenekli profesyonellerin bir karışımını elde etmek için bütçe nadiren mevcuttur, bu nedenle güvenlik liderleri, yanıt planlarını, çok sayıda olayı ele almalarına yardımcı olmanın mantıklı olduğu durumlarda otomasyonu içerecek şekilde geliştiriyorlar.
Yanıt otomasyonunun farklı aşamalarına ve bu süreç boyunca güvenlik ekiplerinin neleri dikkate alması gerektiğine daha yakından bakalım. Bu kavramları göstermek için aşağıdaki senaryoları ve yanıtları göz önünde bulundurun.
Senaryo 1: Potansiyel İçeriden Tehdit
Bir finansal hizmet firmasının BT yöneticisi kimlik bilgileri, daha önce dokunulmamış sistemlere erişmek ve bunları değiştirmek için kullanılıyor. Bu, olası bir içeriden tehdide karşı erken bir uyarı olabilir – ya da hiçbir şey olmayabilir. Anormal etkinlik, BT yöneticisine ve amirlerine mobil cihazlarında anında iletme bildirimi gönderen bir çalışma kitabını tetikler. Active Directory’de kullanıcı kimlik bilgilerini devre dışı bırakma veya ServiceNow’da bir bilet açarak daha fazla araştırma yapma seçeneği sunulur.
Senaryo 2: Ayrıcalıklı Erişim Anomalisi
Üst düzey bir yöneticinin ayrıcalıklı kimlik bilgileri, alışılmadık bir coğrafyadan şirket bilgilerini manipüle etmek için kullanılıyor. Olay, potansiyel tehdidi içermek ve güvenlik ekibine bildirmek için bir oyun kitabını tetikler. Kimlik bilgilerinin ayrıcalıkları kısıtlanır, güvenlik yöneticisine bir anında iletme bildirimi gönderilir ve güvenlik ekibini aktivitenin meşruiyetini doğrulayabilmeleri için bilgilendirmek için Slack’e bir mesaj gönderilir.
Senaryo 3: Uzlaşmanın Karmaşık Göstergeleri
Bir sağlık kliniğindeki hasta kabul sistemi, bilinen fidye yazılımı saldırı kampanyalarıyla tutarlı olarak anormal PowerShell etkinliği gösteriyor. Olay, diğer ana bilgisayarlara yayılmasını önlemek için güvenliği ihlal edilmiş ana bilgisayarı izole etmek ve uçta harici kaynaklardan gelen iletişimi engellemek için anında bir çalışma kitabını tetikler.
analiz
İlk senaryo, yanıt planında otomasyonu keşfetmenin erken aşamasında olan bir kuruluş örneğidir. Güvenlik kontrolünde değişiklik yapılmadan önce insan güdümlü bir kararın alınmasına izin verir – bu durumda, kimlik bilgisi verilen kullanıcı devre dışı bırakılır. Ayrıca ekiplerin daha fazla araştırma yapması için bir bilet açar. Bu aşamada kuruluş, yanıt otomasyonunu ölçeklendirmek için varlıkların kritikliğini bildiğinden emin olmak ve bunları “bu kritiktir” olarak sınıflandırmak isteyecektir.
İkinci senaryo, otomasyonu benimsemeye başlayan bir organizasyonun bir örneğidir. İzinleri biraz daha kısıtlayıcı olacak şekilde otomatik olarak ayarlamak için güvenlik kontrolünü tetikleyen bir koşul vardır. Bu, araştırmacının anormalliğin geçerli bir aktivite olup olmadığını teyit ederken kullanıcının dahili kaynaklara erişmeye ve üretken kalmasına izin verir. Bu aşamada, soruşturma devam ederken güvenlik kontrolüne yönelik eylemi gerçekleştirme güvenine sahip olmak için aynı türden olaylar ve aynı tür eylemler yeterli olacaktır.
Üçüncü senaryo, otomasyonu tamamen benimseyen bir şirketi göstermektedir. Karşılanan bir dizi koşul vardır ve otomatik sistem, yayılmayı ve pwn3d’yi önlemek için ana bilgisayar ve uç güvenlik kontrollerinde eylemleri otomatik olarak yürütür. Hız kritikti, bu nedenle herhangi bir insan karar noktası yoktu, ancak ilgili paydaşlara daha fazla adli inceleme yapılması ve etkilenen sistemlerin sağlamlaştırılması için bir tür bildirim yapılacaktı.
Bu senaryoların her biri, güvenlik yöneticisini bir olay hakkında bilgilendirmeyi ve güvenlik kontrollerini ayarlamayı içeren birden fazla eylem gerektirir. Otomatik yanıt uygulamaya başlayan çoğu kuruluş, güvenlik kontrolüne yönelik bir eylemin işi kesintiye uğratan istenmeyen bir sonucu olmayacağı konusunda rahat olana kadar bir koşul karşılandığında personeli bilgilendirmekle başlar; daha sonra, mantıklı olduğu yerde kademeli olarak otomasyonu uygulayacaktır. Sonuç olarak, başarılı bir kuruluş, güvenlik duruşundan memnundur ve güvenlik gereksinimlerini karşılamak için süreç otomasyonunu ve insan etkileşimini dengeleyerek kontrolleri kendi hızında benimser.