Rekor sayıda güvenlik açığının ortasında, tehdit avcılığı alanı, kuruluşlar için “sıfır gün”ün ne anlama geldiğini yeniden tanımlıyor. Sömürü sonrası davranış için proaktif ve sistematik avlanma, hiçbir zaman “tehditten önce bir zaman” olmamasını sağlar – tehdit avcıları, kötü niyetli bir saldırının ipuçlarını bulmak için sürekli ve aktif olarak ortamınızı araştırır.
İlgili tarafların çoğu için, bir güvenlik açığının ifşa edilmesi, bir yarışta marş tabancasının patlamasına benzer. Saldırganların güvenlik açığından yararlanmak için acele ettiği, kuruluşların düzeltme eki için uğraştığı ve güvenlik sağlayıcılarının otomatik algılama ve önleme araçlarını hızla uyarladığı her dakika önemlidir.
Böyle bir kaosun ortasında, tehdit avcıları durmadan kendi yarışlarını sürdürüyorlar ve kazanıyorlar. Çünkü paketin geri kalanı başlangıç tabancasının yeni bir güvenlik açığı üzerinde çalmasını beklerken, tehdit avcıları zaten proaktif bir şekilde proaktif olarak sömürü sonrası davranış için avlanıyor ve bir kurbanın ortamını nerede ve nasıl istila ederlerse etsinler düşmanın belirtilerini arıyorlar. Active Directory’yi araştıran, web kabukları aracılığıyla süreçleri oluşturan, yeni hesaplar oluşturan ve diğer düşman tekniklerini kullanan birini arıyorlar. Tehditleri bulmaya yönelik bu sistematik ve ölçeklenebilir yaklaşım, bilinmeyene karşı etkili bir savunma sağlar.
Saldırı ve Savunmanın Son Noktasındaki İnsanlar
İnsan zekası her tehdidin merkezinde yer alır. Sistemleri kötüye kullanmanın veya atlatmanın yollarını bulmak özgünlük gerektirir ve bunu mevcut teknoloji tabanlı algılamalardan kaçınacak şekilde yapmak uzmanlık gerektirir. Tehdit avcılığı, düşmandan bir adım önde olmak için doğrudan insan unsuruna odaklanır.
Tehdit avcıları, otomatik ve teknoloji tabanlı çözümlerin yapamayacağı şekilde tehditleri ortaya çıkarmak için kendi yaratıcılıklarını kullanır. İnsan güdümlü tehdit avcılığı, kötü niyetli bir varlığın göstergesi olan davranış kalıplarını takip etmek ve izlemek için rakiplerin olası bir sonraki hareketlerini ve uzmanlıklarını önlemek için özgünlüğü kullanır. Tehdit avcıları ayrıca analizlerine bir düzeyde bilgili şüphecilik uygularlar ve tehdit faaliyetinin daha geniş bağlamını keşfederler, aksi takdirde günlük operasyonların arka plan gürültüsüne karışabilecek faaliyetin gerçek doğasını belirleme konusunda onlara yetki verir.
Örneğin, geçerli bir kullanıcı hesabından veya meşru bir uygulamadan kaynaklanan etkinlik, teknolojinin normal kabul ettiği bir eşiğe denk gelebilir. Bununla birlikte, insan kaynaklı tehdit avcılığı ekipleri, görünüşte sıradan eylemleri kötü niyetli takip etkinliği olarak ortaya çıkaran düzensiz davranışların ince işaretlerini belirlemek ve bir araya getirmek için çalışır.
Sömürü Sonrası Davranış Savunmanın Anahtarıdır
Sömürü sonrası davranış olarak da bilinen bu kötü niyetli takip faaliyeti için avlanmak, savunma bulmacasının önemli bir parçasıdır. Sürekli olarak yeni güvenlik açıkları ortaya çıkıyor, ancak bir organizasyonun çevresini ihlal eden bir rakibin temel davranışı büyük ölçüde değişmeden kalıyor.
İlk saldırı vektörüne odaklanmak yerine, proaktif tehdit avcılığı, yüksek vasıflı uzmanların bilinen düşman davranış kalıplarını ortaya çıkarma becerisine dayanır. Bu modeller, düşmanın misyonunu ilerletmesi için temel olduğundan, ilk erişim vektörü tarafından önemli ölçüde değiştirilmezler. Bu, olgun tehdit avcılık ekiplerinin, nasıl ve nereden kaynaklandıklarına bakılmaksızın tehditlerin saklanacak yerlerini etkili ve sistematik olarak azaltmak için düşmanca sömürü sonrası ticarete ilişkin derin anlayışlarını uygulayabilecekleri anlamına gelir.
Olgun Tehdit Avı Programının Kazanımları
Tehdit avcılığı, şirket içinde veya yönetilen bir hizmet olarak dışarıdan temin edilebilir. Kuruluşunuzun aldığı yaklaşım ne olursa olsun, etkili bir tehdit avlama programının temelleri aynı kalır.
Olgun bir tehdit avlama programı şöyle olmalıdır:
- Kesintisiz 7/24/365 operasyon — çünkü düşman uyumaz
- İnsan liderliğindeki, insan yaratıcılığının gücünden yararlanmak için
- İnce ayarlanmış ve tekrarlanabilir bir avlanma metodolojisi üzerine inşa edilmiştir
- En güncel tehdit istihbaratıyla desteklenir
- Ortamdaki etkinliklerle ilgili geniş bağlam sağlayan zengin telemetri tarafından desteklenir
- Avcıların verileri hız ve ölçekte kullanmasını sağlamak için telemetriyi verimli bir şekilde harmanlayabilen, işleyebilen ve damıtabilen etkili araçlarla desteklenir
- Kapsamlı görünürlük sağlamak için tüm ortama dağıtılır – çünkü göremediğiniz şeyi durduramazsınız
Bu şekilde yapılandırılmış bir tehdit avlama programı, kuruluşunuz için sıfır gün ve yeni açıklanan güvenlik açıklarının ne anlama geldiğini yeniden tanımlayacaktır.