Tehdit eğitimli bir koruma oluşturmak: düşmanınızı, savaş alanınızı ve kendinizi tanıyın
Yayınlanan: 2021-12-28
Son siber tehdit ortamında, olası saldırıların nereden gelebileceğini ve şirketinize nasıl vurabileceklerini anlamak her zamankinden daha önemli.
Dünya çapında siber suçlar, gezegenin mali durumu üzerinde yaklaşık tek bir trilyon dolarlık bir sürüklenme yaratacak şekilde büyümüştür - Belçika'nın GSYİH'sinden daha önemli bir rakam.
İşletmelerin bilgi ve prosedürlerinin büyük çoğunluğunu dijital hale getirmesiyle birlikte, tüm bu elektronik mülkler artık herhangi bir zamanda olduğundan daha büyük bir saldırı yüzey alanına sahip olan konsantre bir şans.
Üretkenlik, konfor ve performans, hepimizin birbirine bağlı olduğu ve web'in çevrimdışı ile sorunsuz bir şekilde harmanlandığı bir dünyayı şekillendiren elektronik devrimin itici güçleri olmuştur. Bu yılın başlarındaki kolonyal boru hattı fidye yazılımı saldırısı, bir siber saldırının Amerika Birleşik Devletleri'nin doğu kıyısındaki benzin kaynağını dışarı atarak fiziksel gezegen üzerinde nasıl bir etkisi olabileceğinin açık bir hatırlatıcısıydı.
Güvenlik guruları şu anda bilgisayar korsanlarının kalp pillerine, insülin pompalarına veya bağlantılı otomobillere konsantre olabileceği konusunda uyardı. Uç noktalar her an ekstra çeşitli ve dağınık hale geliyor. Artık sadece bilgisayarlar ve sunucular değil, aynı zamanda telefonlar, kameralar, HVAC alternatifleri, yazıcılar, saatler, akıllı hoparlörler ve çok daha fazlası. Fidye yazılımı riski artık endemiktir. Ve kripto para birimlerindeki artış, siber suçluların isimsiz, tehlikesiz işlemler gerçekleştirmelerinin işaretlerini verdi.
Bütün bunlar topluca ele alındığında, bir felaket tehlikesi ekosistemini olası hale getirdi. Siber saldırılardan kurtulmak her zamankinden daha zor hale geliyor ve daha da büyük yankı uyandırıyor. şirketlerin mücadele ettikleri tehditlerle proaktif bir şekilde başa çıkmak için daha akıllı olmaları ve daha hızlı hareket etmeleri gerekecek.
Güvenlik teknolojilerine yatırım yeterli değildir. Şu anda işletmeler arasında bir 'ihlal varsay' uyanışını gözlemledik – normal siber koruma planlarına ek olarak müdahale ve kurtarma yeteneklerinin artırılması yönünde bir dönüşüm. Bir saldırının 'eğer' değil, 'ne zaman' konusu olduğunun farkında olan kuruluşların güvenilir olay tepkisi, kriz yönetimi ve felaket kurtarma planlarına sahip olmaları gerekir.
Tehditleri belirlemek, korumak, tespit etmek ve tepki vermek kadar etkili bir şekilde tespit etmek ve tehditlerden daha iyi olmak için bir konuma gelmek zorunludur: bu yetenekler kapsamlı bir siber esneklik sisteminin kurulum bloklarıdır. Ancak siber dayanıklılık aynı zamanda tehdidi azaltmakla da ilgilidir - hangi siber güvenlik faaliyetlerinin işletmeniz üzerinde en önemli etkiye sahip olacağını anlamak ve koruma önlemlerinize uygun şekilde öncelik vermek. Tehdit bilgisine sahip, tehdide bağlı bir güvenlik planı oluşturmak için olası saldırganlarınız ve teknikleri hakkında çok iyi bilgiye sahip olmanız gerekir.
Siber savaş alanı hazır olun
Şans, olasılık ve olumsuz etkilerin bir performansıdır. Gerçekleşme olasılığı son derece yüksek olan ancak etkileri minimum olan bir işlev, olası olmayan ancak ana yaralanmaya yol açabilecek bir işlevden çok daha az toplam olasılık sunar.
Sonuç olarak, şirketler öncelikle hangi mülklerinin saldırıya uğrama olasılığının en yüksek olduğunu ve ikinci olarak bu varlıkların kendileri için ne kadar değerli olduğunu değerlendirmek isterler. Yalnızca bireysel bir saldırı vektörü kullanarak saldırıya uğrama olasılığını anlarsanız, sömürülebilir alanınızı tamamen tanıyabilirsiniz. Düşmanınızı ve nasıl çalıştıklarını incelemek, sonuç olarak bu tehdide dayalı yaklaşımın çok önemli bir bölümüdür.
Düşmanınızı, savaş alanınızı ve kendi başınıza tanımanız gerekecek. işletmelerin, bireysel stoklarını - bilgi, yöntemler ve savaş alanlarındaki kişiler - topluluk kadar fırsat saldırganları kadar dikkatli bir şekilde analiz etmesi gerekir.
Düşmanı anlamak en zor kısımdır. Kurumunuzda büyülenen tehlike aktörleri kimler ve sizi neden göz alıcı bir hedef olarak görüyorlar? Motivasyonları ve hedefleri nelerdir? İşi nasıl yapıyorlar - hangi yöntemleri, yaklaşımları ve tedavileri (TTP'ler) kullanıyorlar ve bunlar sizin bireysel doğal ortamınıza nasıl uygulanabilir? Tam olarak nereye saldıracaklar ve işinizi veya tüketicilerinizi nasıl tehlikeye atacaklar?
Bir kuruluş bu derinlemesine aşinalığı kazandıktan sonra, doğru güvenlik kontrolleri ve yatırımları için tehdit modifiyeli öncelikler konusunda karar verebilir. Saldırganın neler yapabileceğini tahmin etmek, savunmanızdaki boşlukları belirlemenize ve güvenliği artıracak yerin belirlenmesine yardımcı olacaktır. Tersine, saldırganların size karşı kullanacağı yöntemleri asla anlamazsanız, üretken bir siber esneklik yazılımı oluşturmak son derece zordur.
Saldırgan bir duruş sergilemek, düşmanınızı anlamakla başlar
Öyleyse, olası saldırganınızı saptamak ve aşina olmak için nasıl gidiyorsunuz? Tehdit İstihbaratı araçları genellikle çözümleri sağlamayı garanti eder, ancak herhangi bir güvenlik sisteminde kritik bir rol oynayabildiklerinde, nihayetinde esas olarak uzlaşma göstergelerine dayanan reaktif yanıtlardır. Sürekli değişen tehdit göstergeleriyle birlikte çok fazla filtrelenmemiş bilgi içerme eğilimindedirler. Öte yandan, bir rakibin TTP'lerini incelemek, proaktif ve hedefe yönelik bir hareket tarzı olmalıdır. Neyse ki, şirketlerin tehdit aktörlerinin nasıl çalıştığını anlamalarına yardımcı olmak için erişilebilir bir dizi açık kaynaklı kaynak var.
MITRE ATT&CK veritabanları, tanınan hasım yolları ve stratejilerinin oldukça erişilebilir bir kütüphanesi olarak iyi bir başlangıç pozisyonudur. Bir saldırı yaşam döngüsünün farklı aşamalarını ve hedefledikleri kabul edilen platformları yansıtan siber düşmanların davranışlarına ilişkin ayrıntıları içerir ve saldırıları sınıflandırmak ve değerlendirmek için tehlike avcıları, kırmızı ekipler ve savunucular tarafından yaygın olarak kullanılan bir çerçeve sunar.
ThaiCERT, tehlike aktörlerinin farklı bir yararlı ansiklopedisini sunar. Ancak, tüm saldırganların tek bir kapsamlı stoku yoktur ve rakipler sıklıkla farklı kılıkların altında işlev görebilir.
En güncel bilgilerden bazıları için koruma tedarikçileri aktörleri izler ve bu bilgileri yayınlar. Örneğin, tehdit profilleri Datto'nun Tehlike Yönetimi Siber Tartışma panosunda ücretsiz olarak sunulur; burada tehdit yönetimi ekibi tehlike profillerini, imzaları ve MSP yerel topluluğuna ve onların KOBİ istemcilerine odaklanan tehditlere ilişkin ayrıntıları paylaşır. Kısa bir süre önce ek profiller, aynı zamanda Cozy Bear ve Darkish Halo olarak da kabul edilen Rus devlet destekli hacker ekibi APT29'u içeriyordu.
Her profil, bir aktöre genel bakış, amaçları, TTP'leri, uygulanabilir azaltmaları veya savunmaları, tespit seçenekleri ve ek varlıkları içerir. Bilim adamları ayrıca, bilgileri kolayca eyleme geçirilebilir hale getirmek için aktörleri MITRE ATT&CK çerçevesine ve CIS Vital Protection Safeguards'a geri götürdüler.
Siber düşmanları kendi alanlarına yerleştirin: kavrayın, öncelik verin, koruyun, test edin
Hangi risk aktörlerinin pusuya yatmış olabileceğine dair gerekli içgörüleri edindiğiniz zaman, onların yöntemlerini simüle etmek, şirketinizde nerede büyük bir tanıtım şansına sahip olduğunuzu ve bu tehlikeyi azaltmak için neler yapabileceğinizi anlamanıza yardımcı olacaktır. Önceki ihlallerini tersine mühendislik yaparak, farklı aktörlere karşı en verimli güvenlik kontrollerini güvenle önceliklendirebilir ve gerçekleştirebilirsiniz.
Konfigürasyonlarınızı incelemeye yardımcı olmak için, Caldera (ATT&CK ürününü kullanan) veya Pink Canary'nin Atomic Pink Group gibi belirli rakipleri taklit eden bir dizi açık kaynaklı ücretsiz araç vardır.
Rakip öykünme, benzersiz bir rakibin TTP'lerini test etmek için bir senaryo kullanması bakımından kalem testi ve kıpkırmızı ekip oluşturmadan farklıdır. İnsan teknikleri çevrenizde hem önlenebilir hem de tespit edilebilir mi? Savunmanızın birlikte nasıl çalıştığını kesinlikle tanımak için teknolojik bilgi birikimini, süreçleri insanlar kadar etkili bir şekilde araştırmak çok önemlidir. Sonunda bu düşmana karşı savaşı kazanmaya hazır olana kadar bu sistemi tekrarlayın.
KOBİ'ler bunu en azından bir takvim yılı olduğunda veya her ana yeni tehdit olduğunda, çok daha büyük şirketler ve MSP'ler üç ayda bir yapmalıdır, ancak işletmeler için tehdit bilgili bir savunma programı devam eden bir çaba ve sıkı çalışmadır.
Buna ek olarak, herhangi bir firmanın, kritik siber temizlik için Uygulama Grubu 1 (IG1) kontrollerine minimum zaman ayırarak, CIS Hayati Güvenlik Kontrollerine uyması gerekir.
Birincil faktör sadece başlamaktır. Girişimden dolayı kafa karışıklığı hissetmenize gerek yoktur. CIS IG1'e yönelik eylem bazında delik değerlendirmesiyle başlayın: Risk ve tehdit tabanlı bir çözüme 7 günde bir saat yatırım yapmak bile, her yönden kararlılığınızı artırmanıza yardımcı olacaktır.
Bir işletmenin risk profilindeki zayıf aktörler hakkında iyi bir bilgi sahibi olmak, siber dayanıklılığı garanti eden, tehdit eğitimli üretken bir güvenlik yazılımı kurmak için hayati önem taşır. Şirketler kendilerini daha çok bilgisayar korsanları gibi hissetmeye başladıkça, çok daha iyi tehlike bilgisine sahip kararlar vermeye hazır olacaklar ve kendilerini korumak için daha donanımlı hale gelecekler.
Ryan Weeks, CISO, Datto