Her gün hem büyük hem de küçük kuruluşlarda izinsiz girişler ve ihlaller meydana gelir. Saldırganlar içeri girer. Kuruluşlar şanslıysa, herhangi bir zarar vermeden önce tespit eder ve çıkarırlar. İzinsiz giriş resmi bir ihlale dönüşmeden önce durumu düzeltirler. Ancak daha az şanslı olanlar için, ihlaller meydana geldiğinde radarın altında haftalar, aylar veya yıllar sürebilir. Nihayet keşfedildikten sonra, soruşturmalar uzun ve acı verici olabilir ve genellikle kamuoyuna duyurulur.
Saldırganların üstün olduğu ve hatta bazı günlerde kazanıyor gibi göründüğü bir dünyada yaşıyoruz. Her büyüklükteki kuruluşu güvence altına almak için yeteneklerini sergileyen sonsuz sayıda siber güvenlik sağlayıcısı, hizmet sağlayıcısı ve uzmanı varken, mevcut durumu anlamak zor.
Birçok vaat var. Çoğu, %99,9 doğruluk ve tüm ihlalleri durdurma yeteneklerini destekler. Satıcılar, bilinmeyen tehditleri belirlemek için yapay zekaya (AI) ve makine öğrenimine (ML) sahip çözümlerinden bahseder, ancak çok fazla insan AI ve ML’nin siber güvenlikte tam olarak nasıl çalıştığını tam olarak açıklayamaz. Çok fazla hype var.
Şu anda gezegende ihlalleri önlemek ve durdurmak için birinci sınıf teknolojiyi tek noktadan sağlayabilecek tek bir satıcı yok. Bir yok. Kuruluşlar, hangi şirket tarafından inşa edilmiş olursa olsun, iyi çalışan ve birlikte entegre olan sınıfının en iyisi teknolojileri seçebilmelidir.
İhlaller Olmaya Devam Ediyor
Kimlik Hırsızlığı Kaynak Merkezi’ne göre, manzara son 15 yılda pek gelişmedi. Başarılı izinsiz girişlere ve ihlallere karşı mevcut tüm koruma ve istihbaratla birlikte, bir şey eklenmiyor.
Sektör bir bütün olarak ihlalleri önleme ve hatta hafifletme hedefine ulaşamadı.
İzinsiz girişler ve ihlaller bir gerçeklik olsa da yıkıcı olmaları gerekmediğini aklımızda tutmalıyız. Genellikle bu kadar zararlı olmalarının ana nedenlerinden biri: kör noktalar.
Kimlik ve erişim yönetimi (IAM), uç nokta koruma platformu (EPP), uç nokta algılama ve yanıt (EDR), yeni nesil güvenlik duvarı (NGFW), veri kaybı önleme (DLP), ağ gibi belirli ortam alanlarına odaklanan güvenlik kontrollerine rağmen algılama ve yanıt (NDR) vb., kör noktalar hala her yerde. Tüm bu farklı güvenlik kontrolleri, atandıkları alana bakmak için harikadır, ancak hepsi birbiriyle konuşmuyorsa, kuruluşlar kördür.
Saldırganlar Kör Noktaları ve Kimlik Bilgilerini Sever
Güvenlik ekipleri yanlış uyarıları takip ederken, harici saldırganlar zaten açığa çıkmış meşru kimlik bilgilerini buluyor ve ortam içinden kimlik bilgilerini bulmalarını sağlayan güvenlik açıklarından yararlanıyor. Veya meşru bir kullanıcıyı kimlik bilgilerini gönüllü olarak paylaşmaya ikna etmek için büyük miktarda para kullanıyorlar. Kimlik bilgileri elde edildikten sonra, kötü bir aktör çevreyi araştırmak, hassas veri konumlarını haritalamak ve gelecekte kullanmak üzere sessizce “arka kapılar” oluşturmak için zaman ayırabilir.
Saldırgan daha çok “parçala ve yakala” türündeyse, bir flaş saldırısı gerçekleştirebilir, kötü amaçlı yazılım, fidye yazılımı veya herhangi bir sayıda zarar verici saldırı uygulayabilir ve ardından kaosu izleyebilir.
Hileli davranan ender güvenilir çalışanlar için yıkıcı bir saldırı gerçekleştirme yolları çok daha kısadır. Halihazırda yerleşik bir mevcudiyet, meşru erişim ve ortam içinde kullanıcı kimlikleri/şifreleri ile, bunların kötü niyetli faaliyetlerde bulunmalarını engelleme fırsatı genellikle yoktur. Kuruluşlar için tek umut, algılama ve yanıt alanıdır.
Normali Bil, Önle ve Algıla
Güvenlik ekiplerinin, yukarıda belirtilen durumlar gibi anormal herhangi bir şeyi hızlı bir şekilde tespit etmek için kuruluşlarındaki normal davranışın ne olduğunu bilmesi gerekir. Şu anda, siber güvenlikte önlemeye hala çok fazla odaklanılıyor ve tespit ve müdahaleye yeterince odaklanılmıyor. Kaç tane önleme aracı mevcut olursa olsun, saldırganlar hala içeri giriyor ve içeridekiler hala çıkıyor. Çok fazla güvenlik operasyonu ekibi hala kör uçuyor.
Şu anda, kuruluşlar izinsiz girişler ve ihlaller yaşamaya devam edecek, ancak ne acı ve kalıcı sonuçlar kaçınılmaz değil. Kuruluşlar, kullanıcılar ve kuruluşlar için normal etkinliğin ne olduğunu belirleme yeteneğini birleştirerek, anormalleri tespit etme ve dış ve iç tehditleri (kötü niyetli veya kazara) ortaya çıkarma, saldırganların durumunu tersine çevirme ve hasarı azaltma konusunda daha iyi bir şansa sahiptir. Ve bu, “normal” sürekli değişse bile doğrudur.
Kuruluşlar, normali bildiklerinde ve neyin anormal olduğunu, ihlalleri belirlediklerinde kazanacaktır.
yazar hakkında
Gorka Sadowski, Exabeam’de Baş Strateji Görevlisidir. Sadowski, rolünde şirket genelinde yönetim ekibine ve işlevsel liderlere yardımcı olur. Sadowski, 30 yılı aşkın güvenlik deneyimine sahiptir. En son Sadowski, Gartner’da kıdemli yönetici ve güvenlik ve risk yönetimi analistiydi. Gartner’dan önce Sadowski, Splunk’ta iş geliştirmeye öncülük etti ve Splunk güvenlik ekosistemini kurdu. Splunk’tan önce Sadowski, Güney Avrupa’da LogLogic için varlık kurdu, Fransa’da Unisys için güvenlik faaliyetlerini yürüttü ve sektördeki ilk ortak liderliğindeki saldırı tespit ve önleme sistemini başlattı.