YORUM
Uygun bir siber güvenlik savunmasının birçok katmanı vardır. Her katman önemlidir ve bir katman tehlikeye girdiğinde veya eksik olduğunda riskler artar. Ek olarak, asla yeterli katman olamaz. Katmanlar ekleyerek riskleri azaltabilirsiniz ancak tüm riski asla ortadan kaldıramazsınız. Savunmanın en önemli katmanlarından ikisi dosya bütünlüğü izleme ve değişiklik algılamadır. Her ikisi de bir kuruluşun değişiklik yönetim programı tarafından kontrol edilir ve izlenir.
Bilgisayar ağlarının ilk zamanlarında, herhangi bir belge, onay, geri çekilme planı veya denetim olmadan anında büyük değişiklikler yaptığımı hatırlıyorum. Birkaç yıl ileriye gidin ve bu, kendinizi işsiz ve işsiz bulmanın hızlı ve kolay bir yolu olurdu.
Değişiklikler, değişiklik tespiti ve değişiklik yönetimi büyük bir iştir ve koordinasyon, planlama, test etme, dokümantasyon, geri çekilme planları geliştirme ve kuruluşun temel yönlerinden onay alma gerektirir. Genellikle onay almak haftalar hatta aylar sürebilir. Günümüzde birçok kuruluşta değişiklik onayları, işletmede sorunları, kesintileri veya aksaklıkları önlemek için değişiklikleri çok yakından takip eden komiteler tarafından yapılır.
Tehdit Aktörleri Saldırıları
Ne zaman tehdit aktörleri saldırısı ağınızda, hedeflerini gerçekleştirmek için değişiklikler yapmaları gerekir. Hedefleri neredeyse her zaman finansal kazançtır. Tehdit aktörü, yamalanmamış güvenlik açıkları veya kimlik avı gibi ağa girmenin bir yolunu bulmalı ve genellikle hedeflerini ilerletmek için kimlik bilgilerini yükseltmelidir. Çoğu zaman, tehdit aktörü gerçek bir hasar vermeden önce yükler, yürütülebilir dosyalar eklemeli, hesaplar oluşturmalı, erişim kontrol listelerini düzenlemeli, onaylanmamış yazılımlar kullanmalı, yazılımları veya aracıları devre dışı bırakmalı ve günlükleri ve güvenlik yapılandırmalarını değiştirmelidir. Tüm bu eylemler değişiklik gerektirir.
Değişiklikler algılandığında, tehdit aktörü henüz hedeflerini tamamlamamıştır. Değişiklik algılama ve dosya bütünlüğü izleme çözümleri tetiklenebilir ve tehdit aktörü komuta ve kontrol kurmadan, etkin dizine geçmeden, gizli verileri sızdırmadan veya şifreleme süreçlerini başlatmadan önce bilgi güvenliğini uyarabilir. Bu yeni nesil sistemler gerçek zamanlı olarak çalışabilir ve uyarı verebilir.
En Büyük Tehditler
Dosyaların, yazılımların, işletim sistemlerinin, veritabanlarının, uygulamaların veya yapılandırmaların değişmesinin yalnızca birkaç nedeni vardır:
-
Son kullanıcılar veya yönetici değişiklikleri
-
Donanım veya yazılım arızaları
Siber güvenlikte 30 yılı aşkın süredir çalışıyorum ve en çok endişelendiğim iki konu son iki maddedir: kötü amaçlı yazılım ve tehdit aktörleri.
Tüm bu değişiklikler, sebebi ne olursa olsun, günlüklerde ve telemetride hemen hemen aynı görünecektir. Sorun burada yatmaktadır. Değişiklik yönetimi, bilgi teknolojisi ve bilgi güvenliği için değişiklikler meydana geldiğinde, değişikliklere neyin sebep olduğunu anlamak hayati önem taşır.
Bunu yapmak için sağlam bir dosya bütünlüğü izleme ve değişiklik izleme sistemine sahip olmanız gerekir. Bu sistemler bir değişiklik tespit ettiğinde, birisi veya bir süreç bu değişikliği uzlaştırmak zorundadır. Değişikliği açıklayan bir değişiklik kaydı var mı? Bu planlanmış mıydı? Cevap hayırsa, ikinci bir bilet açılmalı ve bir olay bileti açılarak derhal bir soruşturma başlatılmalıdır. Kayıtlardaki değişiklik bir mücevherle ilgiliyse, soruşturma acil olarak yükseltilmeli ve siber güvenlik olay müdahale ekibine bildirilmelidir.
Hiçbir değişiklik bileti veya belirgin bir açıklama olmayabilir, ancak hiçbir kötü amaçlı yazılım veya tehdit aktörü faaliyeti sorumlu değildir. Bu mümkün olan en kısa sürede ortadan kaldırılmalıdır. Tehdit aktörleri bugünlerde hızla hareket ediyor. Bekleme süresi Birkaç yıl önce aylar iken, bugün bekleme süresi birkaç saate düşebiliyor.
Sunucu, uygulama, veritabanı vb. ne kadar kritikse, dosya bütünlüğü izleme ve değişiklik algılama sistemleri o kadar önemlidir. İş kritikliği, hangi düzeyde denetimin yapılması gerektiği konusunda belirleyici unsur olmalıdır. Aslında, iş kritikliği düşükse, belki de dosya bütünlüğü izlemesine gerek yoktur. Belki de değişiklik denetimi düzeyi düşük olabilir.
Dosya bütünlüğü izleme (FIM), tehdit aktörü faaliyetlerinin göstergesi olabilecek bozulma veya kurcalama kanıtları için uç noktaların, dosya sistemlerinin, veritabanlarının, dosya paylaşımlarının, ağ aygıtlarının, çeşitli işletim sistemlerinin ve uygulamaların bütünlüğünü izler ve analiz eder. FIM araçları, mevcut temel çizgiyi geçmiş bir temel çizgiyle karşılaştırır ve herhangi bir fark bulunduğunda uyarır.
Günümüzde tehdit aktörleri uç noktaları değiştirmek için kullandıkları tekniklerle oldukça karmaşık olabilirler. Çoğu zaman, dosya sistemleri, kayıtlar, yapılandırma dosyaları, sistem dosyaları, erişim kontrol listeleri vb. bir saldırı sırasında ve/veya bir tehdit aktörü saldırı sırasında yatay olarak hareket ederken değiştirilir. Tehdit aktörleri erişim kontrol gruplarını değiştirebilir, günlük kaydının önemli yönlerini devre dışı bırakabilir veya bazı durumlarda güvenlik izlemeyi, aracıları veya uygulamaları devre dışı bırakabilir veya kaldırabilir. Bu tür eylemler, düzeltmeyle birlikte hızlı tehdit algılama ve analizi ihtiyacını hızlandırır.
Bir siber güvenlik uzmanı bir tehdidi erken tespit edebildiğinde, tehdit aktörünü engelleme olasılığı artar ve veri ve uç noktalara verilen zarar en aza indirilir. Erken tespitin çok sayıda katmanı vardır. Değişiklik tespiti ve dosya bütünlüğü izlemesi katmanlardan sadece ikisidir. Bu iki güvenlik katmanının eklenmesi riski azaltır ve daha iyi denetim ve uyumluluk önlemlerine olanak tanır.
Çözüm
Her zaman olduğu gibi, çalışan eğitimi herhangi bir programın ayrılmaz bir parçasıdır. Çalışanlar ve yönetim, güvenliğin her iki katmanını da tam olarak desteklemeli ve bunlara uymalıdır. Bu katmanlar yerleştirildikten sonra, kötü amaçlı yazılımlara ve tehdit aktörlerine karşı kesin güvenlik kontrolleri içeren proaktif bir yaklaşım uygulanabilir. Bu, kuruluşunuzun tehdit aktörlerine ve siber saldırılara karşı riski en aza indirmesini sağlayacaktır.