Son birkaç yılda, bir akın yüksek profilli endüstri güvenliği sorunları (PDF), olası bir saldırı riskini azaltmaya yardımcı olmak için şirketlerin en önemli öncelikleri arasına saldırgan taktikleri yerleştirmiştir. Pek çok şirketin uzak ve hibrit çalışma ortamlarına devam etmeyi tercih etmesiyle, potansiyel güvenlik riskleri göz ardı edilemez veya şansa bırakılamaz ve saldırgan güvenlik ekipleriyle birlikte çalışarak daha fazla savunma güvenlik taktikleri geliştirmeye vurgu, potansiyel tehditlerin davranışlarını belirlemek için çok önemlidir. ve gelişen meydan okuyuculara karşı daha güçlü engeller inşa etmek.
Özellikle tehdit avcılığı, şirketler için olmazsa olmaz bir güvenlik bileşeni olarak ortaya çıkmıştır. Tehditlerle mücadele için savunma oluşturmak amacıyla, şüpheli faaliyete dayalı bir ortamda meydana gelen anormallikleri ve değişiklikleri tehdit davranış kalıplarını belirleme ve arama görevlerini kapsar.
Ancak başarılı bir tehdit avı programı yapan nedir? Gerçek şu ki, şüpheli aktiviteyi tespit etmek göründüğü kadar basit olmayabilir. Proaktif manuel algılama, ekipler arasında sürekli iletişim ve süreci hayata geçirmek için doğru insanlara yatırım ile kapsamlı bir yaklaşım gerektirir.
Doğru Becerileri Avlamak
Tehdit avcılığı, şüpheli kalıpları kapsamlı bir şekilde gözden geçirmek ve bir şirketin mevcut güvenlik araçları ve süreçleri tarafından henüz tanımlanmamış tehditler için çevreyi araştırmak için insan dokunuşunu gerektirir. Potansiyel düşmanları ve gelişmiş kalıcı tehditleri (APT’ler) bulmak, bir sonraki hamlelerini tahmin etmek ve onları raylarında durdurmak için oldukça stratejik bir kedi ve fare oyunudur.
Başarılı bir tehdit avcısı, çevrelerini, ekibinin karşılaştığı bilinen tehditleri ve problem çözme ve rakiplerin erişim elde etmek için kullanabilecekleri gizli yollar hakkında eleştirel düşünme becerisini kapsamlı bir şekilde anlamalıdır. Bir bakıma, bu nihai dedektiflik çalışmasıdır ve daha iyi savunma protokolleri tasarlamak için yapı taşları haline gelir. Ekipte doğru insanlara yatırım yapmak ve açık iletişim kültürünü teşvik etmek çok önemlidir.
Adobe’nin tehdit avı ekibi, müşteri adayları veya av fikirleri almak için güvenlik operasyonları merkezi veya olay müdahalesi gibi güvenlik ekiplerinin av ekibiyle sorunsuz işbirliği yapmak için kullanabileceği bir mesajlaşma bot uygulaması oluşturdu. Aramalar tamamlandıktan sonra, kuruluşun mevcut güvenlik duruşunu iyileştirmek için arama raporları çapraz işlevli güvenlik ekipleri ve ilgili paydaşlarla paylaşılır.
Av ekibi, mevcut yöntemlerin iyileştirilmesine ve düşmanlar tarafından kullanılan yeni ortaya çıkan taktiklere dayalı olarak yeni verilerin girilmesine yardımcı olmak için algılama işleviyle el ele çalışır. Ayrıca, güvenlik ekiplerinin bu verileri daha etkin kullanmasına yardımcı olmak için boşlukları, yanlış yapılandırmaları belirlemeye ve zenginleştirmeleri desteklemeye yardımcı olmak için merkezi operasyonel güvenlik verilerinden sorumlu ekiple yakın işbirliği içindedirler.
Bununla birlikte, tehdit avcılığı esas olarak manuel süreçlere dayanma eğilimindeyken, otomatik süreçler ve makine öğrenimi kesinlikle avcılık çabalarına yardımcı olabilir. Toplu veri analitiği, bir şirketin ağındaki veri modellerindeki anormallikleri hızla bulmaya yardımcı olabilir ve ekiplerin verileri taramak için harcaması gereken süreyi kısaltır.
Adobe’de, büyük hacimli günlük verilerini gözden geçirmek ve bir kullanıcının veya varlığın davranış değişikliğini gösteren anormallikleri tespit etmemize yardımcı olmak için makine öğrenimi ve gelişmiş veri analitiği kullanarak birden çok UEBA (kullanıcı ve varlık davranışı analitiği) ardışık düzen oluşturuyoruz. Bu anormallikler, gerektiğinde insan incelemesi ve yükseltme için daha fazla zenginleştirme ve korelasyondan sonra av ipuçlarına (veya uyarılara) dönüştürülür.
Rakipleri İzlerinde Durdurmak
Doğru ekip hazır olduğunda güvenlik ekipleri, APT’leri belirlemek için saldırı planlarını ve stratejilerini oluşturmaya başlayabilir:
- Düşmanların potansiyel olarak ağa nasıl erişebileceğine dair bir hipotezin arkasında toplanma
- Program için net bir hedef oluşturun (örneğin, rakiplerin ağda harcadıkları zamanı azaltmak, yüksek etkili tehditlerin sayısını azaltmak vb.)
- Anormallikler için verileri analiz edin ve yeni, geliştirilmiş savunmalar oluşturmak için ekipler arası çalışın
Tehdit avlama kampanyalarının tümü eşit derecede başarılı olmayacaktır, bu nedenle şirketiniz mevcut veri eğilimleri ve düşmanlar hakkında daha fazla içgörü toplarken, tehdit avlama programlarını uyarlamak için bir plan oluşturmak da aynı derecede önemlidir. Neyin işe yarayıp neyin yaramadığı konusunda ekiplerinize karşı dürüst olun ve hedeflerinizi desteklemek için makine öğrenimi ve diğer araçlardan yararlanmanın yeni yolları.
Saldırgan taktiklerle birleştirildiğinde, tehdit avcılığı güvenlik çabalarınıza değerli bir katkı sağlar. Potansiyel sorunları belirlemek için sürekli gelişen stratejik bir yaklaşım ve başarılı, kapsamlı bir güvenlik programının önemli bir bileşeni olarak görülmelidir.
