Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), “yetersiz dahili ağ izlemeyi” şu sorunlardan biri olarak nitelendiriyor: En yaygın 10 ağ yanlış yapılandırması. Aslında, ağ analizi ve görünürlüğü (NAV) daimi bir zorluk olmaya devam ediyor. Geleneksel ağın etrafındaki sınırlar ortadan kalktıkça ve aktif tehdit ortamı daha karmaşık hale geldikçe, işletmelerin performanslarını, güvenliklerini ve sürekliliklerini korumak için yeni yöntemlere ve çözümlere ihtiyaçları var.
İşte burada GÖNYE ATT&CK çerçevesi devreye giriyor. Topladığı rakip taktikler ve teknikler, fidye yazılımı gibi siber tehditlerin yanı sıra bir kuruluşa potansiyel olarak yıkıcı zararlar vermeyi amaçlayan gelişmiş kalıcı tehditleri (APT’ler) anlamamıza ve bunlarla mücadele etmemize yardımcı oluyor. Bilinen APT gruplarının bilinen taktik ve tekniklerini arayarak, Siber güvenlik ekipleri tehditleri engelleyebilir Başarılı saldırılara dönüşmeden önce.
Fidye yazılımı tespit edildiğinde normalde hasarı önlemek için çok geç kalınmış olur. Bu, yalnızca veri merkezi ile istemciler arasındaki “kuzey-güney” trafiğini değil aynı zamanda “doğu-batı” trafiğini de kapsayan anormallikleri tespit etmek için ağın tam ve sürekli izlenmesine, önleyici stratejilere ilişkin bir anlayışa ve sınırsız görünürlük yeteneklerine duyulan ihtiyacın altını çizer sunucular arasında da.
Tehdit Ortamını ve Ağınızı Anlayın
Nihai hedef tam ağ görünürlüğü olsa da, bunu söylemek yapmaktan daha kolaydır. Organizasyonlar gerektirir bütünsel görünürlük hizmet sunma ekosistemi genelinde. Trafiği ve uygulama kullanımını izlemek ve trendlendirmek için ağ etkinliğini izlemek önemlidir. Ayrıca, yalnızca genel merkezleri, uzak ofisleri ve özel veri merkezlerini değil, aynı zamanda ortak yerleşim merkezlerini, iletişim merkezlerini, genel bulutları ve yazılımları da kapsayan geniş tabanlı bir performans ve kullanılabilirlik stratejisi uygulamak için kurumsal çapta görünürlüğün ötesine geçmelisiniz. a-hizmet (SaaS) ortamları.
Ayrıca, giderek daha fazla dağıtılan hibrit bulut ortamlarında yüksek performanslı dijital hizmetlerin sürdürülmesi, kurumsal BT organizasyonları için çok önemlidir. Daha dağıtılmış bir ortam, müşterilere ve hibrit iş gücüne iş uygulamalarına ve hizmetlere güvenli, emniyetli erişim ve kullanılabilirlik sağlama konusunda yeni zorluklar ortaya çıkarıyor. Bazı durumlarda, SD-WAN bağlantıları, önemli İnternet devreleri, VPN ağ geçitleri ve hibrit bulutlar arasındaki trafik artışının ardından kalite performansını yönetmek, operasyonel bir zorluktan iş açısından kritik bir önceliğe dönüştü.
Örneğin bugün birçok şirket, pandemi sırasında ve sonrasında binlerce çalışanı kalıcı olarak evden çalışma ve hibrit bulut ortamlarına taşıdı. Şirketler geçiş yaptıkça Hibrit işgücüne ve sıfır güven modellerineNetOps ekipleri, SD-WAN bant genişliğinin binlerce uzak kullanıcıyla ilgili uzak ağ trafiğindeki ani artışları yeterince karşılayıp karşılamayacağını belirlemek için daha iyi araçlara ihtiyaç duyduklarını fark etti. Aynı zamanda, SecOps ekiplerinin tehditleri tespit etmek ve sıfır güven ağ politikalarının tasarlandığı gibi çalıştığını doğrulamak için aynı düzeyde görünürlüğe ihtiyacı vardı.
Sonuçta, bu durumda ağın tehdit ortamını anlayarak BT yönetimi, anahtar sunucular, uygulamalar ve veritabanları gibi “taç mücevherlerin” nerede bulunduğunu daha iyi anlayabilir ve belirleyebilir. Bu şekilde, tehditler meydana geldiğinde anormal davranışlar NetOps ve SecOps ekipleri için daha net anlaşılır.
Günümüzün genişletilmiş hizmet uç ortamlarında, uzak son kullanıcı deneyiminin çok katmanlı ağ ve satıcı ortamları bağlamında görselleştirilmesi, sorunları hızlı bir şekilde izole etmek ve MITRE ATT&CK’nin tüm aşamalarında görünürlük sağlamak için çok önemlidir.
Ağ Görünürlüğünün Hem Dahili hem de Harici Olduğundan Emin Olun
BT ekiplerinin ihtiyacı var uçtan uca görünürlük SD-WAN ve uzak ofislerden hibrit/çoklu bulut ortamlarına, ortak kullanım merkezlerine ve veri merkezlerine kadar tüm kurumsal ağlarında. Görünürlük eksikliği olduğunda SecOps ekipleri, MITRE ATT&CK’nin tüm aşamalarına ilişkin yeterli bilgiye sahip olamaz.
Modern sıfır güven ortamı, ağın zaten ihlal edildiğini varsayar. Yani, MITRE ATT&CK’nin ilk aşamaları (keşif, kaynak geliştirme ve ilk erişim) zaten gerçekleşti. Kuzey-güney ağ görünürlüğü tek başına saldırganın iç hareketini takip etmek için yetersizdir; saldırgan şu anda yürütme, ısrar, ayrıcalık yükseltme, savunmadan kaçınma, kimlik bilgileri erişimi, keşif, yanal hareket ve toplama gibi daha sonraki MITRE ATT&CK aşamalarından geçiyor.
Bu aşamalarda izinsiz girişleri yakalamak için SecOps ekiplerinin doğu-batı trafik görünürlüğüne ihtiyacı var. Sunucu-sunucu iletişiminde bu düzeyde görünürlük sayesinde SecOps ekipleri, en önemli sunucularıyla ilgili anormal trafik davranışlarını tespit edebilir. Bir fidye yazılımı saldırısı durumunda, MITRE ATT&CK taktik ve tekniklerinin çoğu, verilerin gerçek anlamda sızması ve şifrelenmesinden önce gelir.
Bu tür saldırılar, her yönden akan trafiği kapsayan anormallikleri tespit etmek için ağın tam ve sürekli izlenmesi, önleyici stratejilerin anlaşılması ve sınırsız görünürlük yeteneklerinin gerekliliğinin altını çiziyor. BT, NetOps ve SecOps ekipleri, hem dahili hem de harici çözümleri kullanarak her iki dünyanın en iyi performans izlemesini uygulayabilir.
Her iki ağ paketi trafiği türünden elde edilen verilerden yararlanmak, hibrit ve uzak ortamlarda yalıtılması zor sorunların çözülmesine yardımcı olur. MITRE ATT&CK’nin komuta ve kontrol, sızma ve çarpma gibi son aşamaları için kuzey-güney ve doğu-batı ağ görünürlüğünün birleşimi gerekiyor.
