Kimlik avına, kötü amaçlı yazılıma ve diğer siber tehditlere karşı korunmak, her kuruluş için zorlu bir mücadeledir. Ancak şirketiniz 20.000’den fazla çalışana sahipse ve yaklaşık bir milyar kişi tarafından kullanılan bir hizmeti yürütüyorsa, zorluk daha da artar.
LinkedIn’in karşı karşıya olduğu zorluk da tam olarak bu. Dünyanın en büyük profesyonel ağının, gençlerden üst düzey yöneticilere kadar 875 milyondan fazla üyesi vardır ve bunların tümü onu iş arkadaşları ve meslektaşlarla bağlantı kurmak, sohbet etmek ve yeni işler bulmak için kullanır.
Yüz milyonlarca kullanıcısı olan LinkedIn, sistemlerinin sürekli gelişen siber tehditlere karşı güvenli olmasını sağlamalıdır. LinkedIn’in tehdit algılama ve olay müdahale ekibine düşen bir görev.
“Her zaman hazır olmalıyız”
Tespit ve Olay Müdahale Mühendisliği Direktörü Jeff Bollinger, bu ekibe başkanlık ediyor ve siber tehditlerin işletme için oluşturduğu zorluğun ölçeği hakkında hiçbir fikri yok.
İster kullanıcıları kimlik avı bağlantılarına tıklamaları için kandırmaya ister sosyal mühendislik yoluyla kötü amaçlı yazılım yüklemeye çalışıyor olsunlar, son derece sofistike bilgisayar korsanı gruplarının hedeflerinde LinkedIn gibi yüksek profilli şirketler var.
Bollinger, “Her zaman hazır olmalıyız – ister fırsatçı bir saldırgan, ister kendini işine adamış bir saldırgan olsun, her kim olursa olsun onunla başa çıkmak için sensörlerimizi ve sinyal toplamamızı yerinde yapmalıyız.” diyor.
Olay müdahalesini iyileştirmeye yönelik 6 aylık bir proje
Daha olgun siber güvenlik oluşturmak hiç de azımsanmayacak bir başarıydı ve Bollinger projeyi “bir tür aya atış” olarak tanımlıyor – bu nedenle programa bu isim verildi. ay üssü. Moonbase’in, otomasyon yoluyla LinkedIn güvenlik analistleri ve mühendisleri için yaşam kalitesini yükseltirken, sunucu dosyalarını ve günlüklerini manuel olarak inceleme ihtiyacını azaltırken, tehdit tespitini ve olay yanıtını iyileştirmesi gerekiyordu.
Bu amaçla, Mart 2022 ile Eylül 2022 arasındaki altı aylık bir süre boyunca LinkedIn, tehdit algılama ve izleme yeteneklerinin yanı sıra güvenlik operasyonları merkezini (SOC) yeniden inşa etti ve bu süreç, yeniden değerlendirilmesiyle başladı. potansiyel tehditler nasıl analiz edilir ve ilk etapta tespit edilir…
Bollinger, “Her iyi ekip ve her iyi program, uygun bir tehdit modeliyle başlar. İşimize yönelik gerçek tehditlerin ne olduğunu anlamamız gerekiyor,” diyor.
Modellerin ve gerçek olay verilerinin incelenmesi
Bu farkındalık, fikri mülkiyet, müşteri bilgileri ve kanunlar veya standartlar tarafından düzenlenen bilgiler gibi acil olarak korunması gereken verilerin analizi ve ardından bu verilere yönelik potansiyel risklerin yansıtılmasıyla başlar.
LinkedIn ve Bollinger için tehdit, “bir sistem veya verinin gizliliğini, bütünlüğünü ve kullanılabilirliğini baltalayan veya bunlara müdahale eden herhangi bir şeydir”.
Gerçek olay modellerini ve verilerini incelemek, siber saldırıların neye benzediği, nelerin kötü amaçlı etkinlik olarak kabul edildiği ve ne tür olağan dışı davranışların uyarıları tetiklemesi gerektiği hakkında fikir verir. Ancak bu işi yapmak için yalnızca insanlara güvenmek zaman alıcı bir zorluktur.
Otomasyonun avantajları
Moonbase, bu analiz sürecinin bir parçası olarak otomasyonu kullanarak SOC’yi yeni bir modele yönlendirdi: yazılım tanımlı, bulut odaklı bir güvenlik operasyonu. “Yazılım tanımlı” SOC’nin amacı, ilk tehdit tespitinin çoğunu, araştırmacıların araştırması için potansiyel tehditleri işaretleyen otomasyona bırakmaktır.
Ancak bu, insanların tespit sürecine hiç dahil olmadığı anlamına gelmez. Birçok siber saldırı, bilgisayar korsanlarının saldırı zinciri boyunca güvendiği yaygın ve kanıtlanmış tekniklere dayansa da, siber tehditlerin gelişen doğası, ağa sızmaya çalışmak için her zaman yeni, bilinmeyen tehditlerin konuşlandırıldığı anlamına gelir ve bu etkinliğin da tespit edilsin.
“Bilmediklerimize gelince, tehdit avımızda sadece garip sinyaller aramamız gerekiyor. Ve bunu gerçekten yapmanın yolu da bu – sıra dışı sinyalleri aramak için zaman harcayarak”, diyor Bay Bollinger.
Meşru ve tehlikeli olanı filtrelemek
Bununla birlikte, zorluklardan biri, siber saldırganların kötü amaçlı faaliyetler yürütmek için genellikle yasal araç ve hizmetleri kullanmasıdır. Bu nedenle, sisteme kötü amaçlı yazılım yüklenip yüklenmediğini tespit etmek mümkün olsa da, aynı zamanda meşru kullanıcı davranışı olabilecek kötü niyetli davranışları bulmak zorlu bir iştir. Ve LinkedIn’in odaklandığı bu zorluktur.
Bollinger, “Normal, meşru yönetim faaliyeti genellikle tam olarak bilgisayar korsanlığı gibi görünür çünkü saldırganlar en yüksek ayrıcalık düzeyini hedefler – istediklerini yapmak için bir etki alanı yöneticisi olmak isterler veya root erişimi elde etmek isterler,” diyor Bollinger.
Bununla birlikte, otomasyon tarafından tespit edilen olağandışı davranışı analiz etmek için SOC kullanılarak, bunun meşru bir faaliyet olduğunu doğrulamak veya bir sorun haline gelmeden önce olası kötü niyetli faaliyetleri bulmak mümkündür.
Tespitten tehditlere karşı mücadeleye
SOC, bilgi güvenliği personelinin kuruluştaki her kullanıcının ne yaptığını düzenli olarak izlemesini de gerektirmez, yalnızca garip veya potansiyel olarak kötü niyetli davranışlar algılanırsa bireysel hesaplara bakar.
Bu strateji, tehdit avlama ekibinin araştırmak için zaman ayırmak yerine, daha fazla veriyi hızlı bir şekilde daha ayrıntılı bir şekilde incelemek ve gerekirse gerçek tehditlere karşı önlem almak için zamanını kullanmasına olanak tanır. uyarılar yanlış uyarılardır.
Bollinger, “Bunun bize bu sorunlar üzerinde çalışmak için çok daha fazla güç verdiğini düşünüyorum” diyor.
Ancak tehditleri tespit etmek, savaşın yalnızca bir parçasıdır. Bir tehdit algılandığında, LinkedIn kesintileri önlemek ve büyük ölçekli bir olayı önlemek için hızlı ve sorunsuz hareket etmelidir.
“Etkinliğin meydana geldiği andan onu ilk gördüğünüz zaman arasındaki süre”
Olay müdahale ekibinin devreye girdiği yer burasıdır. Tehdit avı ekibi tarafından detaylandırılanlara göre tehditleri arar ve filtreler.
“Ekiplerimize mümkün olduğunca önceden mümkün olduğunca fazla bağlam ve veri veriyoruz, böylece veri toplamak, kazmak, bir şeyler aramak için harcanan zamanı en aza indirebilirler ve gerçekte neler olup bittiğini anlamak için insan beyninin düşünme becerilerini kullanarak zamanlarını en üst düzeye çıkarabilirler. ,” diyor Bollinger.
Olay müdahalesinin işleyiş şekli büyük ölçüde değişmedi, ancak eklenen veri ve analitik bağlamıyla ona yaklaşma şekli elden geçirildi. Ve bu değişiklik, LinkedIn’in tehditleri tespit etme ve bunlara karşı koruma sağlama konusunda çok daha etkili olmasına yardımcı oldu. Bollinger’e göre, tehditleri tespit etmekten onlarla ilgilenmeye kadar soruşturmalar artık çok daha hızlı.
“Algılama süresi, etkinliğin meydana geldiği andan onu ilk gördüğünüz an arasındaki süredir – ve bu sürenin hızlanması bizim için dramatik oldu. Birkaç günden dakikalara çıktık” diye açıklıyor. “Tespit süremizi önemli ölçüde azalttık. Tespit süresi eşiğini düşürdüğümüzde, olayın kendisini kontrol altına almak için de daha fazla zamanımız oluyor.
Ve süreçler?
Bollinger, “Artık daha hızlı olduğumuza ve olayları daha iyi gördüğümüze göre, saldırganların hasar verme fırsatlarını azaltıyor – ancak bir olayı ne kadar erken tespit edersek, onu o kadar çabuk durdurabiliyoruz ve bu, bir saldırganın hasar verme penceresini azaltıyor” diye ekliyor. .
İşletmeyi güvende tutmak, LinkedIn’in tehdit algılama yeteneklerini elden geçirmenin önemli bir parçasıdır, ancak işin başka bir önemli parçası daha vardır: SOC personeli için yararlı ve etkili olacak şekilde süreci tasarlamak, iş yerinde çalışmaya eşlik edebilecek stres ve tükenmişlikten kaçınmalarına yardımcı olmak. siber güvenlik, özellikle canlı olaylara yanıt verirken.
Bay Bollinger, “Bu projenin temel unsurlarından biri, insan sermayemizin korunmasıydı. Personelin tatmin edici bir işi olmasını istiyoruz, ancak aynı zamanda verimli olmalarını ve tükenmemelerini istiyoruz” diye açıklıyor Bay Bollinger.
Siber ekiplerin çalışmalarının kalitesini artırın
Yaklaşım ayrıca, iki farklı ekibe bölünmüş olsalar da nihayetinde aynı hedef için çalışan tespit mühendisleri ve olay müdahale görevlileri arasındaki işbirliğini teşvik etmek için tasarlanmıştır.
Bu ortak yaklaşım, artık tehdit belirleme ve etkisiz hale getirme sürecinin bir parçası olan LinkedIn çalışanlarını da kapsıyor.
Kullanıcılar, hesaplarındaki potansiyel şüpheli etkinlikler hakkında bilgilendirilir, ek bağlam ve tehdit avı ekibinin bir şeyin neden şüpheli olduğuna inandığına dair açıklamanın yanı sıra, kullanıcıdan bu öğenin şüpheli olup olmadığını öğrenmesi istenir.
Müdahaleye ve bağlama bağlı olarak, potansiyel olayın araştırılmasına ve düzeltmeye yol açabilecek bir iş akışı tetiklenir. Bollinger, “İnsanların daha çok çalışmasını sağlamak yerine, daha akıllı çalışmalarını sağlıyoruz – bu, tüm bunlarda bizim için gerçekten en büyük şeylerden biriydi” diyor.
Kaynak : “ZDNet.com”