Güvenlik ekibi görünürlük üçlüsü

Güvenlik Operasyon Merkeziniz Devam Eden Saldırıları Görüyor mu?

Benzeri görülmemiş siber suçların da kanıtladığı gibi, geleneksel güvenlik savunmaları etkinliğini yitirmiştir. Tehditler gizlidir, uzun süreler boyunca hareket eder, şifrelenmiş trafik içinde gizlenir veya tünellerde saklanır. Giderek karmaşıklaşan bu tehditler karşısında güvenlik ekiplerinin ortamlarında hızlı bir tehdit görünürlüğüne ihtiyacı var.

Augusto Barros, Anton Chuvakin ve Anna Belak,18 Mart 2019'da yayınlanan "Tehdit Tespiti ve Müdahalesi için Ağ Merkezli Yaklaşımların Uygulanması" başlıklı Gartner araştırma raporunda (ID: G00373460) SOC Görünürlük Üçlüsü kavramını tanıttı.

Bu notta Gartner şu tavsiyelerde bulunuyor:

"Tehditlerin giderek karmaşıklaşması, kurumların tehdit tespiti ve müdahalesi için birden fazla veri kaynağı kullanmasını gerektiriyor. Ağ tabanlı teknolojiler, teknik uzmanların aracı kullanmadan tüm ortamda hızlı tehdit görünürlüğü elde etmelerini sağlar."

SOC'nizin Görünürlük Üçlüsüne neden ihtiyacı var?

Araştırmaya göre, "modern güvenlik operasyonları araçları, Soğuk Savaş'ın kilit kavramlarından biri olan 'nükleer üçlü' ile bir benzetme yapılarak da temsil edilebilir. Bu üçlü stratejik bombardıman uçakları, kıtalararası balistik füzeler (ICBM'ler) ve füze denizaltılarından oluşuyordu. Yukarıdaki resimde gösterildiği gibi, modern bir SOC'un kendi nükleer görünürlük üçlüsü vardır:

1. SIEM/UEBA, BT altyapısı, uygulamalar ve diğer güvenlik araçları tarafından üretilen günlükleri toplama ve analiz etme yeteneği sağlar.
2. uç uç nokta tespiti ve yanıtı, uç noktalardan yürütme, yerel bağlantılar, sistem değişiklikleri, bellek etkinlikleri ve diğer işlemleri yakalama yeteneği sağlar.
3. Ağ merkezli tespit ve müdahale (NTA, NFT ve IDPS), bu araştırmada ele alındığı gibi ağ trafiğini yakalamaya ve/veya analiz etmeye odaklanan araçlar tarafından sağlanmaktadır.

Bu üç uçlu yaklaşım, SOC'lere daha fazla tehdit görünürlüğü, tespit, müdahale, araştırma ve düzeltme gücü sağlar.

Ağ tespiti ve müdahalesinin rolü

Ağ meta verileri, tehditleri bulmak için en yetkili kaynaktır. Yalnızca kablo üzerindeki trafik, gizli tehditleri tam bir doğruluk ve bağımsızlıkla ortaya çıkarır. Günlükleri analiz etmek gibi düşük çözünürlüklü kaynaklar, saldırganların casusluk yaparken, yayılırken ve çalarken kaçınamayacakları temel tehdit davranışlarını değil, yalnızca gördüklerinizi gösterir.

Bir NDR çözümü, temel ağ meta verilerini toplar ve depolar ve kurumsal ağlardaki şüpheli etkinlikleri tespit etmek için makine öğrenimi ve gelişmiş analitik ile artırır. NDR, normal davranışı yansıtan modeller oluşturur ve modelleri hem gerçek zamanlı hem de geçmiş meta verilerle zenginleştirir.

NDR, ağdaki tüm cihazlar arasındaki etkileşimlerin havadan bir görünümünü sağlar. Devam eden saldırılar tespit edilir, önceliklendirilir ve tehlikeye atılmış ana cihazlarla ilişkilendirilir.

NDR, kamusal bulut ve özel veri merkezi iş yüklerinden kullanıcı ve nesnelerin interneti cihazlarına kadar 360 derecelik, kurum çapında bir görünüm sağlar.

> Vectra AI'ın Ağ Tespit ve Müdahale çözümü hakkında daha fazla bilgi edinin

uç nokta tespiti ve müdahalesinin rolü

İster malware, ister yamalanmamış güvenlik açıklarından veya dikkatsiz kullanıcılardan kaynaklansın, uç nokta tehlikeleri çok yaygındır. Mobil cihazlar genel ağlarda kolayca tehlikeye atılabilir ve daha sonra enfeksiyonun yayıldığı kurumsal ağa yeniden bağlanabilir. Nesnelerin interneti (IoT) cihazlarının güvensizliği herkesin malumudur.

Bir EDR çözümü, bir uç nokta veya ana cihazdaki kötü amaçlı etkinliklerin ayrıntılı takibi ile geleneksel antivirüslerden daha gelişmiş özellikler sunar. EDR, bir ana bilgisayarda veya cihazda çalışan işlemlerin ve bunlar arasındaki etkileşimlerin gerçek zamanlı, temel düzeyde bir görünümünü sağlar.

EDR, yürütme ve bellek faaliyetlerinin yanı sıra sistem değişikliklerini, faaliyetlerini ve modifikasyonlarını da yakalar. Bu görünürlük, güvenlik analistlerinin kalıpları, davranışları, taviz göstergelerini veya diğer gizli ipuçlarını tespit etmelerine yardımcı olur. Bu veriler, yalnızca ana bilgisayarın içinden görülebilen tehditleri tespit etmek için diğer güvenlik istihbarat beslemeleriyle eşleştirilebilir.

> Vectra AI'ın EDR'lerle entegrasyonları

Kurumsal SIEM'in rolü

On yıllardır güvenlik ekipleri, BT ortamlarındaki güvenlik faaliyetleri için bir gösterge paneli olarak SIEM'lere güvenmektedir. SIEM'ler diğer sistemlerden olay günlüğü bilgilerini toplar, veri analizi, olay korelasyonu, toplama ve raporlama sağlar.

EDR ve NDR'den gelen tehdit algılamalarını entegre etmek, bir SIEM'i daha da güçlü bir araç haline getirerek güvenlik analistlerinin saldırıları daha hızlı durdurmasını sağlayabilir. Bir olay meydana geldiğinde, analistler etkilenen ana bilgisayar cihazlarını hızlı bir şekilde belirleyebilirler. Bir saldırının niteliğini ve başarılı olup olmadığını belirlemek için daha kolay araştırma yapabilirler.

Bir SIEM ayrıca güvenlik duvarları veya NAC uygulama noktaları gibi diğer ağ güvenlik kontrolleriyle iletişim kurarak onları kötü niyetli etkinlikleri engellemeye yönlendirebilir. Tehdit istihbaratı beslemeleri, SIEM'lerin saldırıları proaktif olarak önlemesini de sağlayabilir.

> Vectra AI'ın SIEM'lerle entegrasyonları

SOC Görünürlük Üçlüsü: siber saldırıları bulmak ve durdurmak için entegre bir yaklaşım

NDR, EDR ve SIEM üçlüsünü kullanan güvenlik ekipleri, bir olaya müdahale ederken veya tehditleri ararken daha geniş bir soru yelpazesini yanıtlama yetkisine sahiptir. Örneğin, cevap verebilirler:

• Başka bir varlık, potansiyel olarak tehlikede olan varlıkla iletişim kurduktan sonra garip davranmaya başladı mı?
• Hangi hizmet ve protokol kullanıldı?
• Başka hangi varlıklar veya hesaplar söz konusu olabilir?
• Başka herhangi bir varlık aynı harici komut ve kontrol IP adresiyle iletişime geçti mi?
• Kullanıcı hesabı diğer cihazlarda beklenmedik şekillerde kullanıldı mı?

Birlikte, tüm kaynaklar arasında hızlı ve iyi koordine edilmiş yanıtlara yol açar, güvenlik operasyonlarının verimliliğini artırır ve sonuçta işletme için risk oluşturan bekleme sürelerini azaltır.

Ulus devletler ve suçlular sınırsız dijital dünyadan faydalanıyor, ancak bir SOC nükleer görünürlük üçlüsünü benimseyerek kuruluşunun hassas verilerini ve hayati operasyonlarını koruyabilir.

‍Etkili bir SOC Görünürlük Üçlüsü stratejisi uygulamanıza ve kuruluşunuzun siber savunmasını güçlendirmenize nasıl yardımcı olabileceğimizi öğrenmek içinhemen bugün bize ulaşın.