Son makalemde, yeni güvenlik araçlarını benimserken karmaşıklık ve yetenekler arasında sıklıkla yaptığımız ödünleşimleri ve artan işlevsellik üzerinde katman oluştururken bu araçlardan elde edilen değer açısından neden genellikle azalan bir getiri noktası olduğunu tartıştım. Bu makalede, güvenlik ekiplerinin karşılaştığı çeşitli karmaşıklık türlerini, onları ayıran nüansları ve ortaya çıkan karmaşıklığın genellikle bize karşı silah olarak kullanabilecekleri sahte bir güvenlik duygusundan biraz daha fazlasını nasıl ürettiğini biraz daha derinlemesine araştırıyorum.
Karmaşıklığın Birçok Lezzeti
Karmaşıklık yüklü bir terimdir, bu nedenle siber güvenlik bağlamında ne demek istediğimizi netleştirmek yardımcı olabilir. Dikkate alınması gereken iki farklı yön vardır:
1. Yönetim karmaşıklığı, sistemleri uygun şekilde yönetmek ve ayarlamak için gereken zaman ve çalışma çabası olarak tanımlanabilir. Yönetim karmaşıklığı, ilkelerin oluşturulmasını ve yönetilmesini, cihazları yapılandırmayı ve dağıtmayı, bu cihazların sağlığını izlemeyi ve yapılandırmaları ve yazılımları güncellemeyi içerir (ancak bunlarla sınırlı değildir).
Satıcılar tarafından ileri sürülen otomasyon iddialarına rağmen, bir organizasyonun dağıttığı her araç, bir dereceye kadar yetenekli bir uygulayıcı tarafından aktif olarak yönetilmelidir. İdeal bir dünyada, her araç tekrarlayan görevleri otomatikleştirerek zamandan ve emekten tasarruf sağlar. Ne yazık ki, çok azımız o dünyada yaşıyoruz.
Yakın tarihli bir araştırmaya göre, büyük küresel kurumsal organizasyonların bir ortalama 46 izleme çözümü yerinde. Ağ yığınına entegre edilen her ek araç, yönetimi daha basit hale getirmek amacıyla bir soyutlama katmanı oluşturur. Ama bu soyutlama bozulduğunda ne olur?
Modern otomobilde de benzer bir dinamik görüyoruz. Günümüz arabalarında bilgisayarlar ve teşhis sistemleri var. Sadece bir sorunu teşhis etmek için özel araçlara ihtiyaç duyarlar, onu düzeltmek bir yana. Yüzeyin altında büyük miktarda karmaşıklığı gizleyen “basit” görünümü için basitliği ve onarım kolaylığını değiştirdik.
2. Karmaşıklık hesabının ikinci ve belki de daha ürkütücü boyutu, kendi karışıklık sistemini yaratan analitik karmaşıklıktır. Güvenlik bilgileri ve olay yönetimi (SIEM), kullanıcı davranışı analitiği (UBA) ve ağ trafiği analiz yazılımı dahil olmak üzere yeni nesil analitik araçları ortaya çıktı. Bu araçlar, içgörü oluşturmak için yönetim araçları tarafından oluşturulan verileri tüketir ve normalleştirir; bu süreç, daha fazla veri üretir ve bu kısır karmaşıklık döngüsünü daha da artıran başka bir soyutlama katmanı gerektirir.
Silahlanma Karmaşıklığı
Ortamlar, bağlamdan bağımsız güvenlik uyarıları ve sürekli bir günlük verisi akışıyla daha gürültülü hale geldikçe, saldırganların ağ içindeki etkinliklerini gizlemelerini mümkün kılan kasıtlı olarak dikkat dağıtıcı şeyler oluşturmaları daha kolay hale gelir.
İlk bir uzlaşmadan ihlal tespiti için zamandaki boşluk, karmaşıklığın nasıl silahlandırılabileceğinin sadece bir örneğidir. Ve davetsiz misafirler ağın içinde ne kadar çok rahatsız edilmeden bırakılırsa, yanlamasına hareket etmek, kalıcılık sağlamak, değerli varlıkları bulmak ve erişimlerini gerçek hasar vermek için yükseltmek için o kadar fazla zamanları olur.
Dağıtılmış hizmet reddi (DDoS) saldırıları gibi tehditler, karmaşık bilgisayar korsanlarının sistemlerimizin karmaşıklığını bize karşı nasıl çevirdiğinin bir başka örneğidir. Bir şirketin günlük operasyonlarını yavaşlatan ve hatta durduran büyük ölçekli DDoS saldırıları, etkili sis perdeleri haline geldi. Böyle bir saldırı sırasında, kaynakları kısıtlı BT ekipleri, diğer alanları gözetimsiz ve savunmasız bırakarak altyapı işlevselliğini geri yüklemeye tamamen dahil olabilir. Saldırganlar, bu kapsam boşluklarında ve güvenlik operatörlerinin dikkatindeki boşluklarda yaşar ve karmaşıklıklarını dışsallaştıran savunmalar, savunucular için bu sorunu daha da kötüleştirir.
Çözüm
Karmaşıklık güvenliğin düşmanıdır. Bu fikir, bir ağı korumak için kullandığımız araçlar için olduğu kadar, ağın kendisinin mimarisi ve uygulaması için de geçerlidir. Savunma altyapısını tasarlarken ve devreye alırken, bunun operatörleri ne kadar karmaşıklığa zorladığına ve bu karmaşıklığı tüketme ve ortaya çıkabilecek tehditlerin etkin yönetimine dönüştürme yeteneklerine dikkat etmemiz gerekir.
