CISO Insider: Sayı 2

Fidye yazılımı saldırganları, sizden en yüksek fidyeyi talep edebileceklerini düşündükleri, en değerli varlıklarınızı hedef alır. Bu, değerli olduğu veya tehlikeli olabileceği için ellerine geçmesini istemediğiniz bir şey ya da ifşa edilmesini istemeyeceğiniz hassas bir bilgi olabilir.

Bir kurumun risk profilini belirlemede sektör, önemli bir faktördür. Üretim sektörü liderleri, en büyük endişelerinin iş kesintisi olduğunu söylerken perakende ve finansal hizmetler CISO’ları, hassas kişisel verilerin korunmasına öncelik verecektir. Öte yandan sağlık kuruluşları için her iki alan da eşit derecede tehlikelidir. Bu nedenle güvenlik liderleri, risk profilini veri kaybı ve ifşasından uzaklaştırmak için sınırların güçlendirmek, kritik verileri yedeklemek, yedek sistemler kurmak ve daha iyi şifreleme yöntemleri kullanmak gibi agresif adımlar atıyor.

İş kesintisi, artık birçok liderin odak noktası. Kesinti kısa sürse bile işletme için bir maliyeti oluyor. Yakın zamanda bir sağlık sektörü CISO'su bana fidye yazılımlarının operasyonel açıdan büyük bir elektrik kesintisinden farksız olduğunu söyledi. Yeterli bir yedek sistem, elektriğin hızlı bir şekilde geri gelmesine yardımcı olsa da işiniz belli bir süre kesintiye uğramış oluyor. Bir başka CISO ise kesintilerin, ana kurumsal ağlarının ötesine uzanarak yaratabileceği veri hattı sorunları gibi operasyonel problemler veya ana tedarikçilerin fidye yazılımı nedeniyle çalışamaz hale gelmesinin yaratacağı ikincil etkiler üzerine düşündüklerini belirtti.

Kesintileri yönetmeye yönelik taktikler arasında yer alan yedek sistemler ve segmentlere ayırma; kurumun, etkilenen bir segmenti kontrol altına alır ve geri yüklerken, trafiği ağın farklı bir bölümüne kaydırmasına olanak tanıyarak kesinti süresinin en aza indirilmesine yardımcı olur. Ancak, en sağlam yedekleme veya olağanüstü durum kurtarma süreçleri bile iş kesintisi veya verilerin açığa çıkması tehdidini tamamen çözemez. Riski azaltmanın bir diğer yolu da önlemektir.

Konuştuğum CISO'ların birçoğu saldırı önleme ve algılama konusunda bir palet yaklaşımını benimsiyor ve güvenlik açığı testi, çevre testi, otomatik izleme, uç nokta güvenliği, kimlik koruması gibi çözümleri kapsayan katmanlardan oluşan satıcı çözümlerini kullanıyor. Bazıları, kasıtlı olarak böyle yedekli bir sistem oluşturuyor ve katmanlı bir yaklaşımın, olası boşlukları kapatabileceğini umuyor. Tıpkı deliklerin aynı hizaya gelmeyeceği umuduyla üst üste yığılan İsviçre peynirleri gibi.

Ancak deneyimlerimiz, bu çeşitliliğin düzeltme çabalarını zorlaştırabileceğini ve potansiyel olarak daha fazla riske maruz kalmaya neden olabileceğini gösteriyor. Bir CISO'nun ifade ettiği gibi, birden fazla çözümü bir araya getirmenin dezavantajı, parçalanma nedeniyle görünürlüğün azalmasıdır: "Benim yaklaşımım, türünün en iyisi olanı kullanmak ve bu da kendi içinde bazı zorlukları beraberinde getiriyor çünkü tehditleri bağımsız konsollar üzerinden yönettiğiniz için toplam riskler hakkında bilgi eksikliğiniz oluyor ve işyerinizde neler olup bittiğine dair genel bir görüşe sahip olamıyorsunuz." (Sağlık hizmetleri, 1.100 çalışan) Saldırganlar birden fazla farklı çözüme uzanan karmaşık bir ağ ördüğünden saldırı döngüsünün tam bir resmini elde etmek, tehlikenin boyutunu belirlemek ve kötü amaçlı yazılım yüklerini tamamen ortadan kaldırmak zor olabilir. Devam etmekte olan bir saldırıyı durdurmak, saldırıları gerçek zamanlı olarak algılamak, engellemek ve kontrol altına almak/düzeltmek için birden fazla vektöre bakma becerisi gerekir.

Çoğu kişi için, XDR henüz vaatlerini gerçekleştiremedi. Konuştuğumuz CISO’ların birçoğu, EDR ile güçlü bir başlangıç yapmış kişiler. EDR kanıtlanmış bir varlıktır: Mevcut uç nokta algılama ve yanıt kullanıcılarının, geçmişte fidye yazılımlarını daha hızlı şekilde tespit edip durdurabildiğini görüyoruz.

Ancak XDR, EDR'nin evrim geçirmiş hali olduğu için bazı CISO'lar XDR'nin faydası konusunda şüpheci olmaya devam ediyor. XDR, üzerine noktasal çözümler eklenmiş EDR'den mi ibaret? Gerçekten tamamen ayrı bir çözüm kullanmama gerek var mı? Yoksa EDR de eninde sonunda aynı yetenekleri sunacak mı? XDR çözümleri için mevcut olan pazar da satıcıların ürün portföylerine XDR teklifleri eklemek için yarışması nedeniyle daha fazla kafa karışıklığı yaratıyor. Bazı satıcılar ek tehdit verilerini dahil edecek şekilde EDR araçlarını genişletirken diğerleri daha çok, özel XDR platformları oluşturmaya odaklanıyorlar. Burada XDR’nin, güvenlik analistinin ihtiyaçlarına odaklanan kullanıma hazır entegrasyon ve yetenekler sunarak ekibinizin manuel olarak doldurması gereken boşluğu en aza indirmek için sıfırdan inşa edildiğini hatırlatmakta fayda var.

Güvenlik alanında çalışan kişi sayısının yetersiz olması ve tehditlere hızlı yanıt vermek zorunda olma gibi zorluklarla karşı karşıya olan liderleri, çalışanlarının parola sıfırlama gibi sıradan görevler yerine en kötü tehditlere karşı savunma yapmaya odaklanmalarına yardımcı olmak için otomasyonu kullanmaya teşvik ettik. İlginç bir şekilde, konuştuğum güvenlik liderlerinin çoğu henüz otomatikleştirilmiş yeteneklerden tam olarak yararlanmadıklarını belirttiler. Bazı güvenlik liderleri fırsatın tam olarak farkında değil, diğerleri ise kontrolü kaybetme, yanlışlığa davetiye çıkarma veya tehditlerin görünürlüğünden ödün verme korkusuyla otomasyonu benimsemekte tereddüt ediyor. Aslında bu oldukça yerinde bir endişe. Bununla birlikte otomasyonu, ekibin çabalarını yönlendirmek ve odaklamak için güvenlik ekibiyle birlikte kullanarak etkin bir şekilde benimseyenlerin tam tersini başardığını görüyoruz: daha fazla denetim, daha az yanlış pozitif, daha az gürültü ve daha fazla eyleme geçirilebilir içgörü.

Otomasyon, temel otomatik idari görevlerden akıllı makine öğrenimi destekli risk değerlendirmesine kadar bir dizi yeteneği kapsar. CISO'ların çoğu, eski, olayla tetiklenen veya kural tabanlı olan otomasyonu benimsediklerini paylaşıyor ancak gerçek zamanlı risk tabanlı erişim kararları alabilen yerleşik yapay zeka ve makine öğrenimi yeteneklerinden yararlananların sayısı daha az. Elbette rutin görevlerin otomatikleştirilmesi, güvenlik ekibinin daha stratejik düşünmeye odaklanmasına yardımcı oluyor ki bunu insandan daha iyi yapan bir şey yok. Ancak otomasyonun; verileri hızlıca işleyebilen ve desen eşleme yapabilen akıllı bir ortak olarak güvenlik ekibine destek olma potansiyeli de en çok, olay yanıtlarını önceliklendirme gibi stratejik alanlarda vardır. Örneğin, yapay zeka ve otomasyon, bir ihlalin kapsamlı bir şekilde algılanmasını ve buna yanıt verilmesini desteklemek için güvenlik sinyallerini ilişkilendirmede ustadır. Yakın zamanda yaptığımız bir ankete katılan güvenlik uygulayıcılarının yaklaşık yarısı, sinyalleri el ile ilişkilendirmek zorunda olduklarını söylüyor.1   Bu inanılmaz derecede zaman alıcıdır ve bir saldırıyı kontrol altına almak için hızlı bir şekilde yanıt vermeyi neredeyse imkansız hale getirir. Güvenlik sinyallerinin ilişkilendirilmesi gibi doğru bir otomasyon uygulaması ile saldırılar genellikle neredeyse gerçek zamanlı olarak algılanabilir.

Birçok güvenlik ekibinin halihazırda kullandıkları mevcut çözümlerde yerleşik olarak bulunan otomasyondan yeterince yararlanmadığını gördük. Çoğu durumda otomasyonu uygulamak; sabit kurallı erişim ilkelerini riske dayalı koşullu erişim ilkeleriyle değiştirmek, yanıt akış planları oluşturmak gibi mevcut özellikleri yapılandırmak kadar kolaydır (ve yüksek etkilidir!).

Otomasyonun sunduğu imkanlardan yararlanmamayı tercih eden CISO'lar genellikle bunu güvensizlik nedeniyle yapar ve sistemin, insan gözetimi olmadan çalışırken telafisi mümkün olmayan hatalar yapmasına ilişkin endişelerini dile getirirler. Olası senaryolardan bazıları bir sistemin kullanıcı verilerini uygunsuz bir şekilde silmesi, sisteme erişmesi gereken bir yöneticiye sorun yaşatması veya en kötüsü, istismar edilen bir güvenlik açığı hakkında kontrol veya görünürlük kaybına yol açmasıdır.

Ancak güvenlik dediğimiz şey, yıkıcı bir saldırının sürekli tehdidine karşı makul ölçüde günlük küçük rahatsızlıkları kabul ettiğimiz bir dengedir. Otomasyon, böyle bir saldırıda erken uyarı sistemi olarak hizmet verme potansiyeline sahiptir ve yaratacağı rahatsızlıklar da hafifletilebilir ya da tamamen ortadan kaldırılabilir. Ayrıca en iyi durumda otomasyon kendi başına değil, yapay zekasının insan zekası tarafından hem bilgilendirilebileceği hem de kontrol edilebileceği insan operatörlerle birlikte çalışır.

Sorunsuz bir dağıtım sağlamaya yardımcı olmak için, dağıtımdan önce bir deneme çalışması sunmak amacıyla çözümlerimize “yalnızca rapor” modları ekliyoruz. Bu, güvenlik ekibinin otomasyonu kendi hızında uygulamasına, otomasyon kurallarına ince ayar yapmasına ve otomatik araçların performansını izlemesine olanak tanıyor.

Otomasyonu en etkili şekilde kullananlar, bunu boşlukları doldurması ve ilk savunma hattı olarak hizmet etmesi için ekipleriyle birlikte kullanan güvenlik liderleri. Bir CISO'nun yakın zamanda bana söylediği gibi her zaman her yere odaklanmış bir güvenlik ekibine sahip olmak neredeyse imkansız ve aşırı derecede pahalıdır. Öyle olmasaydı bile güvenlik ekipleri sık sık işten ayrılmaya meyillidir. Otomasyon, trafik izleme ve erken uyarı sistemleri gibi tutarlılık gerektiren alanlarda güvenlik ekibini desteklemek için her zaman açık bir süreklilik ve tutarlılık katmanı sağlar. Bu şekilde destekleyici olarak kullanılan otomasyon, ekibi, günlükleri ve sistemleri el ile gözden geçirmekten kurtarır ve daha proaktif olmalarını sağlar. Otomasyon, insanların yerini almaz; bunlar sadece çalışanlarınızın uyarılara öncelik vermesini ve çabalarını en önemli yerlere odaklamasını sağlayan araçlardır.