Tehdit Avcılığı

Önemli bilgiler

  • SANS Enstitüsü tarafından yapılan bir araştırma, düzenli olarak tehdit avcılığı faaliyetlerinde bulunan kuruluşların, tehditleri tespit etme ve bunlara yanıt verme becerilerinde önemli bir gelişme kaydettiklerini ortaya koymuştur.
  • CrowdStrike tarafından yapılan bir ankete göre, kuruluşların %60'ından fazlası artık tehdit avcılığını güvenlik stratejilerinin gerekli bir bileşeni olarak görüyor ve bu da siber güvenlik ortamında artan önemini yansıtıyor.

İş ortamları sürekli değişmekte, yeni araçlar tanıtılmakta, eski araçlar kaldırılmakta ve değişiklikleri desteklemek için bu yapılandırma değişiklikleri yapılmakta, bu da ortama yeni güvenlik açıkları getirebilmektedir. Son örnekler arasında F5'in BIG-IP'sinin Trafik Yönetimi Kullanıcı Arayüzünü (TMUI) etkileyen CVE-2020-5902 numaralı F5 güvenlik açığı yer almaktadır; bu bağlantı noktası asla herkese açık olmamalı ve kullanıcıların erişmeden önce güvenli bir şekilde kimlik doğrulaması yapmasını ve LAN'a bağlanmasını gerektirmelidir. Vectra AI'da, durumun böyle olmadığı ve TMUI'ye erişildiği ve istismar edildiği örnekleri gördük.

2020, COVID-19 nedeniyle uzaktan çalışmada büyük bir değişim getirdi ve operasyon ekiplerinin çabalamasına neden oldu:

  1. Bu yeni çalışma ortamını destekleyin
  2. Ofisten eve geçerken kullanıcıları güvence altına alın.

Bu tür bir değişimi desteklemek, özellikle de bunu desteklemeye hazır olmayan bir işletme için, çok sayıda güvenlik sorununu beraberinde getirir.

Böyle sismik bir değişimde, işletmenin birincil odak noktası operasyonların kesintiye uğramamasını sağlamaktır; bu da güvenlik ekiplerinin uygulama üzerinde daha az etkiye sahip olmasına ve güvenlik göz önünde bulundurularak tasarlanmamış bir çözümü desteklemek zorunda kalmasına neden olur. Uygun gözetim olmadan, güvenlik açıkları ortaya çıkabilir ve saldırganlar bundan faydalanabilir.

Avcılığın neden önemli olduğuna dair pek çok örnek vardır ve aşağıda ele aldığımız iki örnek avcılık programlarına duyulan ihtiyacın altını çizmektedir.

Güvenlik ekiplerinin kötü niyetli davranışları avlamak için Vectra Detect ve Ağ Meta Verilerinizden nasıl yararlanabileceğini keşfedelim. Ayrıca, bu belgede Vectra Recall 'a atıfta bulunsak da, Vectra Recall için açıklanan teknikler Vectra Stream'deki verilerinizden yararlanılarak kolayca uygulanabilir.

Tehdit Avcılığı Neden Önemlidir?

Tehdit Avcılığı, kendi ağınızın özellikleri hakkında derinlemesine araştırma yapmak için zaman ayırmakla ilgilidir.

Tehdit avının amacı sadece ağınızda Vectra'nın Davranışsal Güdümlü Tespitlerinin tespit edemediği kötü niyetli aktörleri bulmak ya da öncül faaliyetleri bulmak değildir. Aynı zamanda kötü niyetli olması gerekmeyen, ancak güvenlik duruşunuzu ihlal edebilecek veya gereksiz yere güvensiz olabilecek ağ etkinliklerini bulmaktır. Öncelikle tehdit avcılığı, ağınızda neler olduğunu anlamanıza yardımcı olan bir öğrenme deneyimidir. Ağda neler olup bittiğini zaten anladığınız için bu, gelecekteki araştırmaları kolaylaştıracaktır.

Bir kuruluş olarak, şirket içinde bilgi paylaşımı için bulgularınızı belgelemek isteyebilirsiniz. Ekip olarak tehdit avcılığı için her hafta veya her ay belirli bir süre ayırmak isteyebilirsiniz; bu sürenin sonunda ekip olarak neleri tespit ettiklerini ve kuruluşunuz hakkında daha önce bilmediğiniz neleri artık bildiğinizi tartışabilirsiniz. Her gün saat 1'de SMB üzerinden dosya yedekleyen bir sunucu olabilir ya da bir Veri Merkezindeki bazı sunucuların yasal bir iş kullanımı için 46780 numaralı bağlantı noktasından harici olarak çok fazla veri gönderiyor olabilir. Bu bulgular gelecekte zaman kazandıracaktır, çünkü yeni ve ilgili herhangi bir şeye odaklanmak için bilinen, meşru kullanım durumlarını hızlı bir şekilde indirebilir ve hariç tutabilirsiniz.

Ağ Meta Verileri ile Tehdit Avcılığı

Bir soruşturmacının bakış açısına göre, bir soruşturma sırasında iki ana kanıt kaynağı vardır: uç nokta kanıtları ve ağ kanıtları. Bu iki kaynak arasındaki farkı tanımlamanın en iyi yolu araba hırsızlığı benzetmesidir. Araba kaçırma, eğlence yolculuğu ve nihayetinde bir araba kazası olabilecek sonuca kadar birçok aşama vardır. Suç mahallinde olmak harikadır, ancak resmin tamamını oluşturmaz. Hırsız arabayı nasıl buldu? Nereden geldiler? Araba hangi rotayı izledi? Resmin tamamını görmenin tek yolu tüm unsurları birleştirmektir.

uç nokta kanıtları ihlalin ilk yerini görmek için en iyisi olsa da, ağ verileri resmin tamamını görmek ve noktaları birleştirmek için en iyisidir. Bir helikopterde araba hırsızlığını gözlemlediğinizi ve arabanın trafiğe girip çıkmasını, caddelerde ve şehir boyunca ilerlemesini izlediğinizi hayal edin. Her şeyi göreceğiz ve tam olarak nerede bittiğini göreceğiz.

Aşağıda, mevcut meta veriler ve her bir meta veri akışı için ortak özniteliklere ilişkin hızlı bir referans yer almaktadır.

Tehdit Avcılığı için kullanılan Vectra AI Meta Verileri

Tehdit Avcılığının Değeri

Avcılık zaman alıcıdır, çoğu kuruluşun avcılıktan uzak durmasının bir nedeni vardır; bir yöneticinin bakış açısından, bir çıktıyı garanti etmediğinizde analist zamanını onaylamak zordur. Bizim görüşümüze göre, genellikle başarılı bir avın sonucu olan iki şey vardır.

1. Bilgi

Bir avda zaman geçiren her analist kaçınılmaz olarak bu deneyimden bir şeyler öğrenecek ve teorilerini araştırıp test etme ihtiyacı duyacaktır. Bu, Vectra AI platformunu kullanma konusunda daha rahat hale geldikçe yeni bir konunun keşfedildiği anlamına gelir ve bu da araştırmalar sırasında harcanan zamana dönüştürülebilir. Lucene sözdizimini, visualize ile verilerin nasıl yığılacağını ve mevcut meta veri alanlarını bilecekler.

2. Çevre Anlayışı

Bu araştırmayla birlikte kendi ortamlarını da daha iyi anlayacaklardır çünkü her kurumsal ağın kullandığı belirli bir dizi politika ve araç vardır. Neyin normal olduğunu anlamak, neyin anormal olduğunu tespit etmeye yardımcı olacaktır. Bir analist avlanmak için zaman harcadıkça, kavrayışını artıracak ve bu da verimliliğe dönüşecektir.

Somut bir sonuç özel bir model olacaktır, böylece bilgi ve ortam anlayışı, kuruluşunuz için çalışacak özel bir özel model oluşturmak için uygulanabilir. Bunu yapmak, Vectra Detect'te özel modelin etkinleştirilmesine ve günlük analist iş akışına girmesine olanak tanıyarak hem saldırı kapsamını hem de verimliliği artıracaktır.

Günümüzün dinamik tehdit ortamında, proaktif tehdit avcılığı sadece faydalı değildir; sağlam siber güvenlik savunmalarını sürdürmek için gereklidir. Vectra AI'nın gelişmiş çözümleri, güvenlik ekiplerinin gizli tehditleri verimli bir şekilde ortaya çıkarmasını ve ele almasını sağlayarak kuruluşunuzun siber saldırılara karşı direncini artırır. Tehdit avcılığı girişimlerinizi nasıl destekleyebileceğimizi ve güvenlik duruşunuzu nasıl güçlendirebileceğimizi öğrenmek için hemen bugün bize ulaşın.

Daha fazla siber güvenlik temelleri

Sıkça Sorulan Sorular

Tehdit Avcılığı Nedir?

Tehdit Avcılığı Neden Önemlidir?

Etkili Tehdit Avcılığı için Hangi Beceriler Gereklidir?

Vectra AI Tehdit Avcılığını Nasıl Kolaylaştırıyor?

Tehdit Avcılığında Kullanılan Yaygın Araçlar ve Teknolojiler Nelerdir?

Kurumlar Nasıl Tehdit Avlama Stratejisi Geliştirebilir?

Machine Learning Tehdit Avcılığında Nasıl Bir Rol Oynuyor?

Tehdit Avcılığı Otomatikleştirilebilir mi?

Tehdit Avcılığının Karşılaştığı Zorluklar Nelerdir?

Tehdit Avcılığı Genel Güvenlik Duruşunu Nasıl İyileştirir?