Dünya çapındaki şirket liderleri, güvenliği artırmak için büyük yatırımlar yapıyor, ancak yine de büyük bir getiri bekliyorlar. Buna göre Gartner, bilgi güvenliği ve risk yönetimine yapılan küresel harcamanın 150 milyar doları bulması bekleniyor bu yıl. Bir anket bulundu Katılımcıları güvenlik mühendisliği için yılda ortalama 2,7 milyon dolar ödüyorancak yalnızca %51’i mühendislik çabalarını etkili veya çok etkili buldu.
Bunun nedenlerinden biri, daha proaktif bir yaklaşım benimsemek yerine hala gözden kaçırdığımız güvenlik açıklarına bakıyor olmamızdır. Bugünkü en iyi metodolojimiz, teknik anormallikleri veya kalıplardaki kırılmaları bulmayı amaçlayan çok geniş ağlara sahip olmaktır. Güvenlik operasyonları merkezinin (SOC) aldığı uyarıların, kaynakların güvenliğinin ihlal edilmesini gerçekten durduracağından emin olmak için bir geri bildirim döngüsü yoktur.
Oraya ulaşmak için, bir ihlale neyin neden olduğunu anlamamız gerekir. Bunu, doğrudan açıklardan yararlanma nedenleri olan güvenlik açıkları için zaten yapıyoruz, ancak bu paralellik kullanıcılarda veya ağlarda mevcut değil. Verizon’un “Veri İhlali Araştırmaları Raporu” (DIBR) ihlallere neden olan tek modeldir ve yine de istatistiksel bir tahmindir.
Veri paylaşımı, nedensellik konusunda henüz somut cevaplar getirmedi. Şirketler, tehdit paylaşım anlaşmalarına veya bunlarla birlikte gelen verilere katılma karşılığında hiçbir şey almazlar. Ancak risk tabanlı makine öğrenimi modelleriyle bir şeyleri geri verebiliriz. Her veri gönderimi modeli daha iyi hale getirir, bu da herkesi daha güvenli hale getirir.
Veri Paylaşımı Neden Çalışmadı?
İhlal verileri nadirdir ve kişisel olarak tanımlanabilir bilgiler (PII) içerebileceğinden veya tescilli olabileceğinden ve bir hedef hakkında çok fazla bilgi yayınlayabileceğinden, bu nedenle bu durumlarda asla kamuya açıklanmaz. Telemetri verilerini bir nedene bağlayabilmemiz için buna aracılık edecek bir aracı bulmamız gerekiyor.
Son 20 yıllık güvenlikten, olay verilerini gönderen bir şirketin olmayacağını öğrendik. Bazı şirketler verileri paylaşmak konusunda isteksizdir çünkü bu onlara olumsuz bir ışık tutar ve Mea Culpa ve tam olarak neyi durduramadıklarını kabul etmek. Bazı durumlarda, onları bilgi ifşa etmekten alıkoyan yasal bir sorumluluk bile vardır. Genellikle ihmalkar olmadıklarını iddia ederek yasal savaşlar veriyorlar. Bu, kullandığımız modelleri bilgilendiren verileri yeterli bağlam olmadan bırakır.
Veri şeffaflığını artırmak için mağdurlara değil, onların sigortacılarına ve satıcılarına bakmamız gerekiyor. Kuruluşlar, sigorta şirketlerinin bir ihlal için ödeme yapmasını istediklerinde, ihtiyaç duyduğumuz verileri görmek genellikle çok karmaşık bir senaryodur. Madalyonun diğer tarafından bakarsak, sigorta şirketlerinden gelen veriler bize ne için ödeme yaptıklarını söyleyecektir. Bu senaryolar, CEO’ların en çok ilgileneceği senaryolardır ve bu ihlallerde bulunan sinyaller, nedensel bir ilişkinin tanımlanmasına yardımcı olacaktır. Bu verilere toplu ve pasif, anonimleştirilmiş bir şekilde ihtiyacımız var.
Makine Öğrenimi Nasıl Yardımcı Olabilir?
Daha iyi verilere sahip olsaydık – nicelikten değil nitelikten bahsediyoruz – nedensellik göstermeye daha yakın olabilecek olasılıklı modeller oluşturarak SOC ekiplerine zaman kazandırmaya başlayabilirdik. SOC ekipleri giderek daha fazla çalışmayla çıkmaza giriyoren önemli uyarıları bulmak için gürültüyü elemeye çalışıyor ve analistler daha fazla ödeme almalarına rağmen ayrılıyor.
Makine öğrenimi, Netflix’te izlemek istediğimiz diğer şeyler, tüketiciler olarak bize en çok hangi kredi kartlarının fayda sağlayacağı veya sosyal medyada hangi hesapları takip etmemiz gerektiği gibi, bahislerin çok daha düşük olduğu diğer senaryolarda şimdiden düşündürücü modeller yarattı. Bu, yakında SOC analistleri için zaman kazanmak için geçerli olabilir.
Şu anda, sahip olduğumuz en iyi şey yeterince iyi değil. Sadece uzlaşma göstergesi (IoC) olarak adlandırılan saldırı ve yanıt kavramına bakın. Adı bile kesinlik olmadığının bir itirafıdır, ancak şirketler aslında IoC verilerini satarlar çünkü bu tahmin en azından nedenselliği belirlemeye çalışırken bir şeydir.
XDR’nin Karar Vermeye Etkisi
Makine öğrenimi karar vermeyi desteklediğinden, uç nokta algılama ve yanıttan (EDR) genişletilmiş algılama ve yanıta (XDR) kadar bir evrim görüyoruz. Gartner, ikincisini “SaaS tabanlı, satıcıya özel, güvenlik tehdidi algılama ve birden fazla güvenlik ürününü tüm lisanslı bileşenleri birleştiren uyumlu bir güvenlik operasyonları sistemine yerel olarak entegre eden olay yanıt aracı” olarak tanımlıyor.
XDR için standart bir çerçeve olmamasına rağmen, verileri merkezileştirmemize ve nedensellik bulmaya yaklaşmak için telemetriyi genişletmemize olanak tanıyan teknolojiyi sağlar. XDR’nin vaadi, uç noktaları, ağları, sunucuları, bulutları, SIEM’i, e-postayı ve daha fazlasını analiz ederek, anlamlı bir eylem sağlamak için saldırgan davranışını bağlamsal hale getirmesidir.
Nedenselliği gerçek zamanlı olarak gösterebilmek, SOC ekiplerine zaman kazandırmak ve siber güvenlikteki en büyük sorunlardan birini çözmek için, XDR’nin neler başarabileceğine dair beklentiyle daha kapsamlı verileri birleştirmek en iyi seçeneğimizdir.