Benzeri görülmemiş siber suçların da kanıtladığı gibi, geleneksel güvenlik savunmaları etkinliğini yitirmiştir. Tehditler gizlidir, uzun süreler boyunca hareket eder, şifrelenmiş trafik içinde gizlenir veya tünellerde saklanır. Giderek karmaşıklaşan bu tehditler karşısında güvenlik ekiplerinin ortamlarında hızlı bir tehdit görünürlüğüne ihtiyacı var.
Augusto Barros, Anton Chuvakin ve Anna Belak,18 Mart 2019'da yayınlanan "Tehdit Tespiti ve Müdahalesi için Ağ Merkezli Yaklaşımların Uygulanması" başlıklı Gartner araştırma raporunda (ID: G00373460) SOC Görünürlük Üçlüsü kavramını tanıttı.
Bu notta Gartner şu tavsiyelerde bulunuyor:
"Tehditlerin giderek karmaşıklaşması, kurumların tehdit tespiti ve müdahalesi için birden fazla veri kaynağı kullanmasını gerektiriyor. Ağ tabanlı teknolojiler, teknik uzmanların aracı kullanmadan tüm ortamda hızlı tehdit görünürlüğü elde etmelerini sağlar."
Araştırmaya göre, "modern güvenlik operasyonları araçları, Soğuk Savaş'ın kilit kavramlarından biri olan 'nükleer üçlü' ile bir benzetme yapılarak da temsil edilebilir. Bu üçlü stratejik bombardıman uçakları, kıtalararası balistik füzeler (ICBM'ler) ve füze denizaltılarından oluşuyordu. Yukarıdaki resimde gösterildiği gibi, modern bir SOC'un kendi nükleer görünürlük üçlüsü vardır:
Bu üç uçlu yaklaşım, SOC'lere daha fazla tehdit görünürlüğü, tespit, müdahale, araştırma ve düzeltme gücü sağlar.
Ağ meta verileri, tehditleri bulmak için en yetkili kaynaktır. Yalnızca kablo üzerindeki trafik, gizli tehditleri tam bir doğruluk ve bağımsızlıkla ortaya çıkarır. Günlükleri analiz etmek gibi düşük çözünürlüklü kaynaklar, saldırganların casusluk yaparken, yayılırken ve çalarken kaçınamayacakları temel tehdit davranışlarını değil, yalnızca gördüklerinizi gösterir.
Bir NDR çözümü, temel ağ meta verilerini toplar ve depolar ve kurumsal ağlardaki şüpheli etkinlikleri tespit etmek için makine öğrenimi ve gelişmiş analitik ile artırır. NDR, normal davranışı yansıtan modeller oluşturur ve modelleri hem gerçek zamanlı hem de geçmiş meta verilerle zenginleştirir.
NDR, ağdaki tüm cihazlar arasındaki etkileşimlerin havadan bir görünümünü sağlar. Devam eden saldırılar tespit edilir, önceliklendirilir ve tehlikeye atılmış ana cihazlarla ilişkilendirilir.
NDR, kamusal bulut ve özel veri merkezi iş yüklerinden kullanıcı ve nesnelerin interneti cihazlarına kadar 360 derecelik, kurum çapında bir görünüm sağlar.
> Vectra AI'ın Ağ Tespit ve Müdahale çözümü hakkında daha fazla bilgi edinin
İster malware, ister yamalanmamış güvenlik açıklarından veya dikkatsiz kullanıcılardan kaynaklansın, uç nokta tehlikeleri çok yaygındır. Mobil cihazlar genel ağlarda kolayca tehlikeye atılabilir ve daha sonra enfeksiyonun yayıldığı kurumsal ağa yeniden bağlanabilir. Nesnelerin interneti (IoT) cihazlarının güvensizliği herkesin malumudur.
Bir EDR çözümü, bir uç nokta veya ana cihazdaki kötü amaçlı etkinliklerin ayrıntılı takibi ile geleneksel antivirüslerden daha gelişmiş özellikler sunar. EDR, bir ana bilgisayarda veya cihazda çalışan işlemlerin ve bunlar arasındaki etkileşimlerin gerçek zamanlı, temel düzeyde bir görünümünü sağlar.
EDR, yürütme ve bellek faaliyetlerinin yanı sıra sistem değişikliklerini, faaliyetlerini ve modifikasyonlarını da yakalar. Bu görünürlük, güvenlik analistlerinin kalıpları, davranışları, taviz göstergelerini veya diğer gizli ipuçlarını tespit etmelerine yardımcı olur. Bu veriler, yalnızca ana bilgisayarın içinden görülebilen tehditleri tespit etmek için diğer güvenlik istihbarat beslemeleriyle eşleştirilebilir.
> Vectra AI'ın EDR'lerle entegrasyonları
On yıllardır güvenlik ekipleri, BT ortamlarındaki güvenlik faaliyetleri için bir gösterge paneli olarak SIEM'lere güvenmektedir. SIEM'ler diğer sistemlerden olay günlüğü bilgilerini toplar, veri analizi, olay korelasyonu, toplama ve raporlama sağlar.
EDR ve NDR'den gelen tehdit algılamalarını entegre etmek, bir SIEM'i daha da güçlü bir araç haline getirerek güvenlik analistlerinin saldırıları daha hızlı durdurmasını sağlayabilir. Bir olay meydana geldiğinde, analistler etkilenen ana bilgisayar cihazlarını hızlı bir şekilde belirleyebilirler. Bir saldırının niteliğini ve başarılı olup olmadığını belirlemek için daha kolay araştırma yapabilirler.
Bir SIEM ayrıca güvenlik duvarları veya NAC uygulama noktaları gibi diğer ağ güvenlik kontrolleriyle iletişim kurarak onları kötü niyetli etkinlikleri engellemeye yönlendirebilir. Tehdit istihbaratı beslemeleri, SIEM'lerin saldırıları proaktif olarak önlemesini de sağlayabilir.
> Vectra AI'ın SIEM'lerle entegrasyonları
NDR, EDR ve SIEM üçlüsünü kullanan güvenlik ekipleri, bir olaya müdahale ederken veya tehditleri ararken daha geniş bir soru yelpazesini yanıtlama yetkisine sahiptir. Örneğin, cevap verebilirler:
Birlikte, tüm kaynaklar arasında hızlı ve iyi koordine edilmiş yanıtlara yol açar, güvenlik operasyonlarının verimliliğini artırır ve sonuçta işletme için risk oluşturan bekleme sürelerini azaltır.
Ulus devletler ve suçlular sınırsız dijital dünyadan faydalanıyor, ancak bir SOC nükleer görünürlük üçlüsünü benimseyerek kuruluşunun hassas verilerini ve hayati operasyonlarını koruyabilir.
Etkili bir SOC Görünürlük Üçlüsü stratejisi uygulamanıza ve kuruluşunuzun siber savunmasını güçlendirmenize nasıl yardımcı olabileceğimizi öğrenmek içinhemen bugün bize ulaşın.
SOC Görünürlük Üçlüsü, bir kuruluşun ağına ve uç noktalarına kapsamlı görünürlük sağlamak ve etkili tehdit tespiti, araştırması ve müdahalesini kolaylaştırmak için üç kritik teknolojiyi (NDR, EDR ve SIEM) birleştiren bir siber güvenlik modelidir.
NDR araçları, geleneksel çevre savunmalarını aşan tehditleri tespit etmek ve bunlara yanıt vermek için ağ trafiğini ve davranışlarını izler. NDR, ağ iletişimlerinin gerçek zamanlı analizini sağlayarak şüpheli faaliyetlerin ve potansiyel tehditlerin belirlenmesine yardımcı olur.
EDR çözümleri, uç nokta ve cihaz davranışlarını izlemeye, kötü niyetli etkinlikleri tespit etmeye ve araştırma ve müdahale için araçlar sağlamaya odaklanır. EDR, kullanıcı cihazlarındaki, sunuculardaki ve iş istasyonlarındaki tehditleri tanımlamak ve azaltmak için çok önemlidir.
SIEM sistemleri, güvenlik cihazlarından, ağ donanımından ve uygulamalardan gelen günlükler de dahil olmak üzere BT ortamındaki çeşitli kaynaklardan veri toplar, analiz eder ve ilişkilendirir. SIEM, güvenlik izleme, uyarı ve raporlama için merkezi bir platform sağlayarak SOC'lerin karmaşık tehditleri daha verimli bir şekilde tespit etmesine olanak tanır.
NDR, EDR ve SIEM'in entegrasyonu, ağlar, uç noktalar ve günlükler arasındaki verilerin korelasyonuna izin verdiği için güvenlik duruşunun bütünsel bir görünümünü elde etmek için hayati önem taşır. Bu entegrasyon, tüm BT ekosistemindeki tehditleri tespit etme, araştırma ve bunlara yanıt verme becerisini geliştirir.
Etkili uygulama, birbirleriyle ve mevcut BT altyapısıyla sorunsuz bir şekilde entegre olan doğru araçların seçilmesini, tehdit tespiti ve müdahalesi için net süreçlerin tanımlanmasını ve SOC analistlerinin en son siber tehdit ortamları ve teknolojileri konusunda sürekli olarak eğitilmesini içerir.
Zorluklar arasında farklı sistemleri entegre etmenin karmaşıklığı, yüksek veri ve uyarı hacmi nedeniyle aşırı bilgi yüklenmesi potansiyeli ve verileri etkili bir şekilde yönetmek ve yorumlamak için vasıflı personele duyulan ihtiyaç yer almaktadır.
Üçlü, BT ortamının tüm yönlerine kapsamlı görünürlük sağlayarak tehdit algılama ve yanıt sürelerini iyileştirir, anormalliklerin daha hızlı tanımlanmasını ve ağ ve uç nokta güvenlik ekipleri arasında yanıt çabalarının daha hızlı koordine edilmesini sağlar.
Evet, SOC Görünürlük Üçlüsü, yasal gereklilikleri destekleyen ve risklerin tanımlanmasını ve azaltılmasını kolaylaştıran ayrıntılı günlük kaydı, izleme ve raporlama yetenekleri sağlayarak uyumluluk ve risk yönetimine önemli ölçüde yardımcı olabilir.
Gelecekteki trendler arasında otomatik tehdit tespiti ve müdahalesi için yapay zeka ve makine öğreniminin entegrasyonu, ölçeklenebilirlik ve esneklik için bulut tabanlı çözümlerin benimsenmesi ve veri yönetimi uygulamalarını etkileyen gizlilik düzenlemelerinin artan önemi yer almaktadır.