Güvenlik ekipleri bilmedikleri bir şeyi koruyamazlar. Ancak sadece örgütlerinin ortamında nelere sahip olduklarını anlamak yeterli değildir. Savunucuların ayrıca hangi sistemlerin hedef alınabileceğini ve saldırının nasıl gerçekleştirileceğini anlamak için kendilerini bir rakibin yerine koymaları gerekir. Saldırı yüzeyi yönetimi ve saldırı yolu modellemesi gibi teknolojiler, güvenlik ekiplerinin rakiplerin hangi varlıkları görebileceği ve nasıl erişebilecekleri konusunda görünürlük kazanmasını mümkün kılar.
Saldırı yüzeyi yönetimi ile kuruluşlar, BT altyapısını sürekli olarak keşfediyor, sınıflandırıyor ve izliyor. Kuruluşun sahip olduğu her şeyi arayan varlık yönetiminin aksine, saldırı yüzeyi yönetimi, neyin açığa çıktığını ve erişilebilir olduğunu belirlemek için BT altyapısına kuruluşun dışından bakar. Satın alınan Cybersprint’in CEO’su Pieter Jansen, her zaman yeni varlıklar oluşturulduğundan ve bulut altyapısı dinamik olarak çalıştırılabildiğinden, bu envanterin sürekli olarak güncellenmesi gerektiğini veya kuruluşun tüm potansiyel giriş noktaları hakkındaki bilgisinde boşluk olacağını söylüyor. Darktrace tarafından Şubat ayında 52,3 milyon $ (47,5 milyon €) karşılığında.
Jansen, Cybersprint’in saldırı yüzeyi yönetim platformunun müşterilere bir saldırganın bir sonraki neresine saldırabileceğini belirlemek için kullanabilecekleri kendi “hacker lensini” verdiğini söylüyor. Saldırı yüzeyi yönetimi, varlıkların nasıl yapılandırıldığını, hangi güvenlik kontrollerinin mevcut olduğunu ve çeşitli araç ve cihazların nasıl bağlandığını göz önünde bulundurarak İnternet üzerinden erişilebilen sistemleri izlemenin ötesine geçer.
DevOps ortamında yeni altyapı bileşenleri oluşturan biri, test ortamında çalıştıklarını düşünebilir, ancak bir saldırgan bunun testte mi yoksa üretimde mi olduğunu umursamaz. “İçeri girmenin ideal bir yolu [to the organization’s environment] erken ve üretim sistemlerine geçmek,” diyor Jansen.
Darktrace CTO’su Jack Stockdale, Darktrace’in Cybersprint’i organizasyonun çevresine dışarıdan bakış açısıyla satın aldığını söyledi. Darktrace’in yapay zeka (AI) teknolojisi, kuruluşun altyapısının kapsamlı bir görünümünü geliştirir, ancak bunun dahili bir görünüm olduğunu söylüyor. Darktrace, kuruluşun BT ortamında nelere sahip olduğunu (ağ, e-posta, bulut varlıkları ve uç noktalar) ve ayrıca OT’yi görebilir. Cybersprint’in dış görünümünü Darktrace platformuna getirmek, daha fazla tehdidi daha erken bulmayı mümkün kılar.
Stockdale, “Bütün bu farklı alanları tek bir platformda toplamak çok önemli” diyor Stockdale. “Tek tek silolara bakarak neler olup bittiğini anlamaya ve saldırıları durdurmaya çalışmak – gerçekten gidilecek yolun bu olmadığına inanıyoruz.”
Proaktif Yapay Zekaya Geçiş
Stockdale, Darktrace’in kendi kendine öğrenen yapay zeka teknolojisinin şimdiye kadar algılama ve yanıt vermeye odaklandığını, bunun da reaktif olduğu anlamına geldiğini belirtiyor. “Esasen, [the AI] orada oturuyor ve bir sorun için bekliyor” diyor. Yapay zekaya saldırganı öğretmek dengeyi değiştirir, çünkü yapay zeka artık kuruluşun güvenliği hakkında bir şeyler yapmak için bir saldırıyı beklemek zorunda değildir.
Saldırı yolu modellemenin devreye girdiği yer burasıdır.
Güvenlik ekipleri saldırı yolu analizi hakkında düşünmeye başlıyor. Son birkaç yıldır Verizon’un “Veri İhlali Araştırmaları Raporu” (DBIR), saldırı yollarını analiz etmeye bir bölüm ayırdı. Düşmanların izlemesi muhtemel yolları anlamak, güvenlik ekiplerinin saldırıyı durdurmak için daha fazla kontrol veya araç ekleyebilecekleri yerleri belirlemelerine yardımcı olur.
“Savunanlar olarak bizim işimiz bu saldırı yolunu uzatmak. Saldırganlar daha uzun saldırı zincirlerinden kaçınma eğilimindedir çünkü her ek adım, savunmacının ihlali önleme, tespit etme, yanıt verme ve ihlalden kurtulma şansıdır.” Verizon’un araştırmacıları yazdı.
Stockdale, saldırı yolu modellemesinin, saldırganların kuruluşta izleyeceği en olası ve en etkili yolları belirlemek için mevcut ortam görünümünü kullandığını söylüyor. Kilit varlıkları ve kişileri ve ayrıca kuruluşun taç mücevherlerini belirledikten sonra, saldırganın taç mücevherlerine ulaşmak için izleyeceği olası yolu belirlemek için hem iç hem de dış görünümleri kullanmak mümkündür. Yolu analiz ettikten sonra, bir olay durumunda ne olacağını görmek için bir simülasyon çalıştırmak mümkündür.
“Belirli bir dizüstü bilgisayarda fidye yazılımı algılanırsa veya belirli bir ortamda belirli bir tür güvenlik ihlali başlatılırsa ne olur? Saldırgan büyük olasılıkla nasıl hareket edecek? [the] organizasyona zarar vermek mi, mücevherlere ulaşmak mı yoksa bilgi satmak mı?” diye soruyor.
Jansen, saldırı yolu modellemesinin bir sızma testinin kırmızı bir ekip çalışmasından daha fazlası olduğunu, çünkü güvenlik ekiplerinin bir saldırganın organizasyonu tehlikeye atmak için atması gereken en olası adımları belirlemesine olanak tanıdığını belirtiyor. AI burada parlıyor çünkü her yoldan gitme ve olası saldırgan senaryolarının her permütasyonunu görme yeteneğine sahip. Buna karşılık, insan takımları yalnızca sınırlı sayıda egzersiz yapabilirdi.
Tüm potansiyel giriş noktalarını gördükten sonra, güvenlik ekipleri bu belirli yollar boyunca savunmaları test etmeye başlayabilir ve ek kaynakların gerekli olup olmadığını belirleyebilir. Belki de bir saldırganın güvenliği ihlal edilmiş bir e-posta hesabından veya sistem girişinden alabileceği en olası dört veya beş yolu keşfederler. Bu noktada ekip, bu yolları saldırgan için olanaksız kılmak için ek kontroller veya savunmalar kullanabilir.
Siber Güvenlik Döngüsüne ‘Önleme’ Ekleme
Stockdale, Darktrace’in Siber Yapay Zeka Araştırma Merkezi’nin neredeyse iki yıldır saldırı yolu modellemesine yapay zekayı uygulamanın yolları üzerinde çalıştığını söylüyor. Araştırma şu anda Darktrace’in yaz aylarında genel olarak satışa sunulacak olan yeni ürün ailesi Darktrace Prevention’a dahil ediliyor.
“Şimdi alıyoruz [attack path modeling] araştırma merkezinin dışında ve bunu müşterilerimize gidecek bir sonraki ürün grubumuza dahil ediyor” diyor. Erken benimseme programındaki birçok müşteri, üretim ortamlarında yeni teknolojiye zaten sahip.
Stockdale, Darktrace’in güvenliği, yapay zekanın organizasyon hakkında bilgi edindiği, potansiyel saldırı yollarını belirlediği ve bu sonuçları algılayıp ortamı sertleştirmek için beslediği sürekli bir döngü olarak gördüğünü söylüyor. Sonunda plan, AI’nın saldırıların neden olduğu hasardan da iyileşmeyi öğrenmesidir.
Stockdale, “Müşterilerimizle konuştuğumuzda, yapay zekanın mükemmel bir uyum olduğunu düşündüğümüz, insanların çok sayıda tekrarlayan veya zorlu iş yaptığı alanlara bakma eğilimindeyiz” diyor. Yapay zekanın bu ekipleri daha verimli hale getirmeye yardımcı olabileceği veya kaynakları olmayan şirketlerin güvenlik yetenekleri eklemek için insan ekiplerini işe almasına izin verebileceği alanlar var.
Stockdale, “İleriye dönük vizyonumuz çok daha proaktif olmaktır” diyor.
