Az önce kurumsal ağınızın veya bulut ortamınızın ihlal edildiğini öğrendiniz. Hangi verilerin güvenliğinin ihlal edildiğini ve nerede depolandığını nasıl belirleyeceğinizi biliyor musunuz?
Bir ihlal soruşturması başlatmak genellikle bir tür başlangıç noktanızın olmasını gerektirir, ancak bu başlangıç noktasını bilmek her zaman mümkün değildir. Gizlilik konusunda uzmanlaşmış bir güvenlik şirketi olan BigID’de CISO olarak görev yapan Tyler Young, bazen hangi verilerin veya fiziksel varlığın ele geçirildiğini bilemezsiniz – yalnızca FBI’ın sizi aradığında kurumsal verilerinizin Dark Web’de satılık olarak bulunduğunu söylediğini söyler. , uyumluluk ve yönetişim.
Adli tıp ekibinin ağınızda hâlâ beliren potansiyel tehditleri ortaya çıkarabilmesini sağlamak için kaynak veritabanı, uygulama, sunucu veya depolama havuzunun belirlenmesi gerekir.
Veri güvenliği şirketi Cigent’in kurucu ortağı ve CEO’su John Benkert, tam olarak hangi verilerin ihlal edildiğini bilmiyorsanız, kuruluşun operasyonları için en kritik olan veya en hassas bilgileri içeren sistemleri ve kaynakları değerlendirmeye başlamanızı önerir. Bilinen güvenlik açıkları veya zayıf güvenlik kontrolleri gibi bir ihlalde hedef alma olasılığı en yüksek sistemlere odaklanın.
Dasera CEO’su Ani Chaudhuri, “Güvenlik ekipleri güvenliği ihlal edilmiş verileri ararken, genellikle bilinen imzaları veya uzlaşma göstergelerini aramak gibi yanlış şeylere odaklanırlar” diyor. “Bu yaklaşım, bilinen tehditleri tespit etmede etkili olabilir, ancak bilinen kalıplarla eşleşmeyen yeni veya gelişmiş tehditleri bulmak için daha az kullanışlıdır. Bunun yerine, güvenlik ekipleri kuruluşun verilerini ve bunlara nasıl erişildiğini, kullanıldığını ve depolandığını anlamaya odaklanmalıdır. .”
İzlenebilirliği Sürdürmek İçin Bilgiyi Güncel Tutun
Young, veri sistemleri, kimlikler ve insanlar dahil olmak üzere varlıklarınıza ilişkin temel bir anlayışın, bir ihlal olması durumunda geriye doğru çalışmanıza yardımcı olacağını söylüyor. Otomatikleştirilmiş veri keşfi ve sınıflandırması sayesinde kuruluşlar, hassas verilerinin nerede olduğunu ve bunlara kimlerin erişimi olduğunu daha iyi anlayabilir. Bu bilgiler daha sonra verileri korumak için erişim kontrolleri ve şifreleme gibi güvenlik kontrollerini belirlemek ve önceliklendirmek için kullanılabileceğini belirtiyor.
Sistemler, insanlar, güvenlik kontrolleri ve diğer tanımlanabilir varlıklar arasındaki noktaları birleştirmek, Dark Web’deki verilerden verilerin orijinal olarak kurumsal sunucularda veya bulutta bulunduğu yere kadar, veri ihlali boyunca meşhur kırıntıları sağlar.
Verilerin nerede depolandığı, hangi verilerin hangi havuzda bulunduğu dahil olmak üzere güncel bir varlık yönetimi profiline ve ağ topolojisi ile cihazların eksiksiz bir envanterine sahip olmak çok önemlidir.
Young, “CISO’ların, tüm sanal makineler, depolama sistemleri ve uç noktalar dahil olmak üzere kuruluşlarının BT altyapısına ilişkin tam görünürlüğe sahip olması gerekir” diyor.
Cigent’s Benkert, kuruluşların bir ihlali araştırırken yaptığı bazı yaygın hataları tespit ediyor:
- Hızlı hareket edememek. Bir ihlal soruşturmasında zaman çok önemlidir ve adli tıp verilerinin toplanmasındaki gecikmeler, saldırganların izlerini örtmesine, kanıtları yok etmesine veya saldırılarını artırmasına olanak tanır.
- Verilerin üzerine yazılması veya değiştirilmesi. Şirketler, etkilenen sistemleri kullanmaya devam ederek veya kontrolsüz soruşturmalar yürüterek istemeden adli verilerin üzerine yazabilir veya bunları değiştirebilir.
- Uzmanlık eksikliği. Adli verileri toplamak ve analiz etmek özel beceri ve araçlar gerektirir ve şirketler bu görevleri etkili bir şekilde yerine getirmek için uygun kurum içi uzmanlığa sahip olmayabilir.
- Tüm olası kanıt kaynaklarını dikkate almamak. Şirketler, bulut hizmetleri, mobil cihazlar veya fiziksel ortam gibi tüm potansiyel adli veri kaynaklarını gözden kaçırabilir veya tam olarak araştırmayabilir.
- Verileri adli olarak sağlam bir şekilde saklamamak. Kanıtların bütünlüğünü korumak için, veri toplama ve saklama için adli olarak sağlam yöntemlerin kullanılması önemlidir. Adli olarak sağlam olması için, toplama sürecinin tutarlı, tekrarlanabilir, iyi belgelenmiş ve doğrulanmış olarak savunulabilir olması gerekir.
- Açık bir olay müdahale planına sahip olmamak. İyi tanımlanmış bir plan, ilgili tüm verilerin toplanmasını ve soruşturmanın metodik ve etkili bir şekilde yürütülmesini sağlamaya yardımcı olabilir.
Dasera’dan Chaudhuri, “Sürekli izleme ve risk algılama yetenekleri, kuruluşların bir veri ihlaline işaret edebilecek anormal veya şüpheli davranışları belirlemesine yardımcı olur” diyor. Kuruluşlar, veri erişim modellerini ve veri ve altyapı değişikliklerini izleyerek potansiyel tehditleri hızlı bir şekilde tespit edebilir ve güvenlik ekiplerini harekete geçmeleri için uyarabilir.
OT İhlalleri Özel Endişeler Sunar
Operasyonel teknoloji (OT) ortamlarındaki ihlaller, genellikle adli tıp ekiplerine ek zorluklar getirir. Geleneksel bir BT ağı ile sunucular ve diğer uç nokta cihazları fiziksel olarak kaldırılabilir ve analiz edilmek üzere bir yasa uygulama laboratuvarına götürülebilir. Ancak Tenable’da OT/IoT CTO yardımcısı, Uluslararası Otomasyon Topluluğu (ISA) Küresel Siber Güvenlik Birliği (GCA) üyesi ve eski ISA direktörü Marty Edwards, OT ortamlarında durum mutlaka böyle değildir.
OT ortamlarında, su arıtma tesisi veya elektrik şebekesi gibi kritik altyapı sistemlerinde gömülü olan ve binlerce kişiyi etkilemeden bağlantısı kesilemeyen veya kapatılamayan cihaz denetleyicilerinde güvenliği ihlal edilmiş veriler bulunabilir.
Güvenliği ihlal edilmiş, görev açısından kritik bir dizüstü bilgisayarı FBI’a teslim etmek bile, BT ekibinin dizüstü bilgisayarı yalnızca bir kanıt çantasına koymak yerine görev açısından kritik işlevini korumak için değiştirme sürecini müzakere etmesini gerektirebilir. OT ve BT ağlarının birleştiği yerlerde, fidye yazılımı gibi yaygın siber saldırılar, ağ cihazlarındaki farklı güvenlik seviyeleri nedeniyle çok daha karmaşık adli soruşturmalara yol açabilir.
Edwards, zorluklardan birinin, OT sistemlerinin çok özelleştirilmiş ve bazen tescilli donanım kullanması ve protokollerin açık bir şekilde yayınlanmaması veya mevcut olmamasıdır.
“Bazı durumlarda kendi araçlarımızı yapmak zorunda kaldık ya da üretici veya satıcıyla ortaklık kurarak kimseye satmadıkları ancak ürünü üretirken kullandıkları fabrika araçlarını getirmek zorunda kaldık. ” diyor.
Edwards, geleneksel adli tıp araçlarının çoğu zaman işe yaramayacağından, bazen özelleştirilmiş yazılım araçlarının sahada özel olarak oluşturulması gerekebileceğini söylüyor.