Uzlaşma Karinesinin Yükselişi
Siber güvenlikte sık sık “önleme idealdir, ancak tespit şarttır” deriz. Ama bunu neden söylüyoruz? Katmanlı, derinlemesine savunma güvenlik yaklaşımında hem önleme hem de algılama şart değil mi? Bu sözün kökleri, siber savunma profesyonelleri olarak kötü adamların bağlantılı sistemlere girmesini engellemenin neredeyse imkansız olduğunu kabul ettiğimiz gerçekçi bir gerçeklik görüşüne dayanmaktadır. Seçenekler ya tam izolasyondur (bazı durumlarda, atlatılabilir) veya sistemin ihlali riski. Başarısız önleme fikri, modern savunma stratejimizde bir kilit noktası haline geldi ve “uzlaşma varsayımı” olarak bilinir hale geldi. Yani, zaten ihlal edildiğinizi varsayalım ve sistemlerinizde gizlenen kötülüğün hiç bitmeyen tespitine ve ortadan kaldırılmasına odaklanın.
Önlemede başarısız olduğumuz için tespite yöneldik. Churchill’den alıntı yapmak gerekirse: Hiç kimse algılamanın mükemmel veya tamamen bilge olduğunu iddia edemez. Gerçekten de, denenmiş tüm diğer formlar dışında, tespitin en kötü savunma şekli olduğu söylenmiştir.
Uzlaşma Karinesinin Kaçınılmaz Düşüşü
Bununla birlikte, hızlı tespite odaklanan mevcut uzlaşma varsayımının başarısız olması amaçlanıyor çünkü çağdaş versiyonu stratejik bir çerçeveden ziyade yalnızca taktik bir araç olarak hizmet ediyor. Size neye güvenmemeniz gerektiğini söyler ama sorunu gerçekten nasıl çözeceğinizi söylemez. Bir çözüm sağlamak yerine, uzlaşma varsayımı sadece kutuyu yoldan aşağı atar.
İçinde son zamanlarda düşündürücü deney, Splunk’tan güvenlik araştırmacıları, modern fidye yazılımı kötü amaçlı yazılım ailelerinin şifreleme hızını belirlemeye çalıştı. 10 fidye yazılımı ailesi seçtiler ve her birinin bir kurbanın sistemindeki 100.000 dosyayı şifrelemek için geçen süreyi ölçtüler. Sonuçlar şaşırtıcıydı. En yavaş fidye yazılımı (Babuk) 3,5 saat içinde dosyaları şifreleyebilirken, en hızlı fidye yazılımı (Lockbit) bu hedefe sadece 4 dakikada (!) ulaştı.
Başka Yakın zamanda yapılan araştırmaFidye yazılımı saldırılarını analiz eden , “bir kurumsal fidye yazılımı saldırısının ortalama süresinin 2019 ile 2021 arasında %94,34 azaldığı” sonucuna vardı.
Bu bağlamda dikkate alınması gereken ek bir parametre, bir saldırganın başlangıçta güvenliği ihlal edilmiş bir sistemden diğerine atlamasının ne kadar sürdüğünü ölçen koparma süresidir. CrowdStrike’a göre, 2021’deki ortalama koparma süresi 1,5 saattir. 2018’de neredeyse 2 saat oldu.
Ne yazık ki, bu ölçümler yakın geleceğimiz için iç karartıcı bir tahmin sunuyor. Saldırganlar hızlanıyor ve sürekli küçülen algılama penceresi sürekli bir baskı altında.
Otomasyon Silahlanma Yarışı
Daha hızlı tespit etmek için savunucular, bazen statik imzalar ve tespit kuralları kullanarak ve bazen de makine öğreniminin yardımıyla otomasyona yönelir. Ne yazık ki, otomasyon iyi adamların tekelinde değil ve saldırganlar da bunu kullanıyor. Daha hızlı ve daha az insan personeli ile hasar verebilmek, saldırganların iş modellerine iyi hizmet ediyor, bu nedenle saldırıları otomatikleştirme teşviki hiç bu kadar güçlü olmamıştı.
Her iki taraf da – saldırı ve savunma – giderek daha fazla otomasyona yöneldiğinde, sarmal bir otomasyon silahlanma yarışına gireriz. Savunmacılar, son birkaç yılı yapay zeka tabanlı çözümler geliştirmek ve dağıtmak için harcayarak bu yarışta önde başladı. Bununla birlikte, algılama penceresini daraltmaya devam eden saldırganlar tarafından bu tür teknolojilerin toplu olarak benimsenmesinin sonuçlarını düşünmek korkutucu.
Uzlaşma Karinesinin Yeniden Doğuşu
Tespit penceresinin kaçınılmaz daralması, bizi onun temelini yeniden düşünmeye zorluyor. Uzun vadede, tek başına tespit etmenin artık geçerli bir savunma stratejisi olmadığı görülüyor. Bunun yerine, savunma stratejisinin odağının esnekliğe – bir olaydan hızla kurtulabilmeye, otomasyon ve anında yukarı ve aşağı getirilebilen uçucu bilgisayarlı sistemlere, çok önemli bir rol oynayacağına inanıyorum.
Hata yapmayın: Sonuçta bir uzlaşma varsayımı iyi bir fikirdir. Bizi keskin ve gerçekçi tutar. Bununla birlikte, mevcut tespit odaklı tezahürü, uzun vadede kaybetme stratejisi gibi görünüyor. Bunun yerine, esnek, kendi kendini kurtarabilen ve anında yeniden oluşturulabilir sistemlere odaklanmaya başlamalıyız. Böyle bir kurtarılabilirlik, çözümün eksik tuğlasını ortaya koyacaktır: koruma, tespit ve esneklik. Birlikte, gerçekten sürdürülebilir bir derinlemesine savunma stratejisinin kutsal üçlüsünü oluşturma gücüne sahipler.