İş ortamları sürekli değişmekte, yeni araçlar tanıtılmakta, eski araçlar kaldırılmakta ve değişiklikleri desteklemek için bu yapılandırma değişiklikleri yapılmakta, bu da ortama yeni güvenlik açıkları getirebilmektedir. Son örnekler arasında F5'in BIG-IP'sinin Trafik Yönetimi Kullanıcı Arayüzünü (TMUI) etkileyen CVE-2020-5902 numaralı F5 güvenlik açığı yer almaktadır; bu bağlantı noktası asla herkese açık olmamalı ve kullanıcıların erişmeden önce güvenli bir şekilde kimlik doğrulaması yapmasını ve LAN'a bağlanmasını gerektirmelidir. Vectra AI'da, durumun böyle olmadığı ve TMUI'ye erişildiği ve istismar edildiği örnekleri gördük.
2020, COVID-19 nedeniyle uzaktan çalışmada büyük bir değişim getirdi ve operasyon ekiplerinin çabalamasına neden oldu:
Bu tür bir değişimi desteklemek, özellikle de bunu desteklemeye hazır olmayan bir işletme için, çok sayıda güvenlik sorununu beraberinde getirir.
Böyle sismik bir değişimde, işletmenin birincil odak noktası operasyonların kesintiye uğramamasını sağlamaktır; bu da güvenlik ekiplerinin uygulama üzerinde daha az etkiye sahip olmasına ve güvenlik göz önünde bulundurularak tasarlanmamış bir çözümü desteklemek zorunda kalmasına neden olur. Uygun gözetim olmadan, güvenlik açıkları ortaya çıkabilir ve saldırganlar bundan faydalanabilir.
Avcılığın neden önemli olduğuna dair pek çok örnek vardır ve aşağıda ele aldığımız iki örnek avcılık programlarına duyulan ihtiyacın altını çizmektedir.
Güvenlik ekiplerinin kötü niyetli davranışları avlamak için Vectra Detect ve Ağ Meta Verilerinizden nasıl yararlanabileceğini keşfedelim. Ayrıca, bu belgede Vectra Recall 'a atıfta bulunsak da, Vectra Recall için açıklanan teknikler Vectra Stream'deki verilerinizden yararlanılarak kolayca uygulanabilir.
Tehdit Avcılığı, kendi ağınızın özellikleri hakkında derinlemesine araştırma yapmak için zaman ayırmakla ilgilidir.
Tehdit avının amacı sadece ağınızda Vectra'nın Davranışsal Güdümlü Tespitlerinin tespit edemediği kötü niyetli aktörleri bulmak ya da öncül faaliyetleri bulmak değildir. Aynı zamanda kötü niyetli olması gerekmeyen, ancak güvenlik duruşunuzu ihlal edebilecek veya gereksiz yere güvensiz olabilecek ağ etkinliklerini bulmaktır. Öncelikle tehdit avcılığı, ağınızda neler olduğunu anlamanıza yardımcı olan bir öğrenme deneyimidir. Ağda neler olup bittiğini zaten anladığınız için bu, gelecekteki araştırmaları kolaylaştıracaktır.
Bir kuruluş olarak, şirket içinde bilgi paylaşımı için bulgularınızı belgelemek isteyebilirsiniz. Ekip olarak tehdit avcılığı için her hafta veya her ay belirli bir süre ayırmak isteyebilirsiniz; bu sürenin sonunda ekip olarak neleri tespit ettiklerini ve kuruluşunuz hakkında daha önce bilmediğiniz neleri artık bildiğinizi tartışabilirsiniz. Her gün saat 1'de SMB üzerinden dosya yedekleyen bir sunucu olabilir ya da bir Veri Merkezindeki bazı sunucuların yasal bir iş kullanımı için 46780 numaralı bağlantı noktasından harici olarak çok fazla veri gönderiyor olabilir. Bu bulgular gelecekte zaman kazandıracaktır, çünkü yeni ve ilgili herhangi bir şeye odaklanmak için bilinen, meşru kullanım durumlarını hızlı bir şekilde indirebilir ve hariç tutabilirsiniz.
Bir soruşturmacının bakış açısına göre, bir soruşturma sırasında iki ana kanıt kaynağı vardır: uç nokta kanıtları ve ağ kanıtları. Bu iki kaynak arasındaki farkı tanımlamanın en iyi yolu araba hırsızlığı benzetmesidir. Araba kaçırma, eğlence yolculuğu ve nihayetinde bir araba kazası olabilecek sonuca kadar birçok aşama vardır. Suç mahallinde olmak harikadır, ancak resmin tamamını oluşturmaz. Hırsız arabayı nasıl buldu? Nereden geldiler? Araba hangi rotayı izledi? Resmin tamamını görmenin tek yolu tüm unsurları birleştirmektir.
uç nokta kanıtları ihlalin ilk yerini görmek için en iyisi olsa da, ağ verileri resmin tamamını görmek ve noktaları birleştirmek için en iyisidir. Bir helikopterde araba hırsızlığını gözlemlediğinizi ve arabanın trafiğe girip çıkmasını, caddelerde ve şehir boyunca ilerlemesini izlediğinizi hayal edin. Her şeyi göreceğiz ve tam olarak nerede bittiğini göreceğiz.
Aşağıda, mevcut meta veriler ve her bir meta veri akışı için ortak özniteliklere ilişkin hızlı bir referans yer almaktadır.
Avcılık zaman alıcıdır, çoğu kuruluşun avcılıktan uzak durmasının bir nedeni vardır; bir yöneticinin bakış açısından, bir çıktıyı garanti etmediğinizde analist zamanını onaylamak zordur. Bizim görüşümüze göre, genellikle başarılı bir avın sonucu olan iki şey vardır.
Bir avda zaman geçiren her analist kaçınılmaz olarak bu deneyimden bir şeyler öğrenecek ve teorilerini araştırıp test etme ihtiyacı duyacaktır. Bu, Vectra AI platformunu kullanma konusunda daha rahat hale geldikçe yeni bir konunun keşfedildiği anlamına gelir ve bu da araştırmalar sırasında harcanan zamana dönüştürülebilir. Lucene sözdizimini, visualize ile verilerin nasıl yığılacağını ve mevcut meta veri alanlarını bilecekler.
Bu araştırmayla birlikte kendi ortamlarını da daha iyi anlayacaklardır çünkü her kurumsal ağın kullandığı belirli bir dizi politika ve araç vardır. Neyin normal olduğunu anlamak, neyin anormal olduğunu tespit etmeye yardımcı olacaktır. Bir analist avlanmak için zaman harcadıkça, kavrayışını artıracak ve bu da verimliliğe dönüşecektir.
Somut bir sonuç özel bir model olacaktır, böylece bilgi ve ortam anlayışı, kuruluşunuz için çalışacak özel bir özel model oluşturmak için uygulanabilir. Bunu yapmak, Vectra Detect'te özel modelin etkinleştirilmesine ve günlük analist iş akışına girmesine olanak tanıyarak hem saldırı kapsamını hem de verimliliği artıracaktır.
Günümüzün dinamik tehdit ortamında, proaktif tehdit avcılığı sadece faydalı değildir; sağlam siber güvenlik savunmalarını sürdürmek için gereklidir. Vectra AI'nın gelişmiş çözümleri, güvenlik ekiplerinin gizli tehditleri verimli bir şekilde ortaya çıkarmasını ve ele almasını sağlayarak kuruluşunuzun siber saldırılara karşı direncini artırır. Tehdit avcılığı girişimlerinizi nasıl destekleyebileceğimizi ve güvenlik duruşunuzu nasıl güçlendirebileceğimizi öğrenmek için hemen bugün bize ulaşın.
Tehdit avcılığı, bir ağda tespit edilmeden gizlenen siber tehditlerin proaktif olarak aranmasıdır. Uyarılara dayanan geleneksel güvenlik önlemlerinin aksine, tehdit avcılığı, kötü niyetli faaliyetleri belirlemek için aktif olarak taviz göstergelerini (IoC'ler) aramayı içerir.
Tehdit avcılığı çok önemlidir çünkü kurumların tehditleri zarar vermeden önce tespit etmelerine ve azaltmalarına yardımcı olur. Güvenlik ekiplerinin geleneksel tespit yöntemlerinden kaçan gizli malware, kalıcı tehditleri ve içeriden gelen tehditleri ortaya çıkararak saldırganlardan bir adım önde olmalarını sağlar.
Etkili tehdit avcılığı, ağ mimarisi bilgisi, siber güvenlik ilkeleri ve en son saldırı tekniklerine aşinalık gibi teknik becerilerin yanı sıra verileri yorumlamak ve kötü niyetli faaliyet modellerini belirlemek için analitik becerilerin bir kombinasyonunu gerektirir.
Vectra AI , gelişmiş tehditlerin göstergesi olan davranışları otomatik olarak tanımlayan yapay zeka odaklı algılama özellikleri sağlayarak tehdit avcılığını kolaylaştırır. Bu, güvenlik ekiplerinin çabalarını yüksek öncelikli riskleri araştırmaya odaklamalarına olanak tanıyarak tehdit avı sürecini kolaylaştırır.
Tehdit avcılığında kullanılan yaygın araçlar ve teknolojiler arasında Güvenlik Bilgi ve Olay Yönetimi (SIEM) sistemleri, uç nokta Tespit ve Yanıt (EDR) platformları, gelişmiş analitik ve çeşitli kaynaklardan veri toplamak ve analiz etmek için tehdit istihbarat beslemeleri bulunur.
Kurumlar net hedefler belirleyerek, yetenekli bir tehdit avlama ekibi kurarak, Vectra AI gibi gelişmiş güvenlik çözümlerinden yararlanarak ve bilgi tabanlarını en son tehdit istihbaratıyla sürekli güncelleyerek bir tehdit avlama stratejisi geliştirebilirler.
Makine öğrenimi, bir tehdide işaret edebilecek anormalliklerin ve kalıpların tespitini otomatikleştirerek tehdit avcılığında önemli bir rol oynar ve güvenlik ekiplerinin potansiyel risklerin daha derin analizine ve araştırılmasına odaklanmasını sağlar.
Tehdit avcılığının veri toplama ve ön analiz gibi belirli yönleri otomatikleştirilebilse de, ince taviz göstergelerini tanımlamanın ve yorumlamanın karmaşık yapısı insan uzmanlığı ve sezgisi gerektirir.
Zorluklar arasında kalifiye personel ihtiyacı, analiz edilmesi gereken büyük miktarda veri, yanlış pozitifler ile gerçek tehditler arasında ayrım yapma ve saldırganların gelişen taktiklerine sürekli olarak uyum sağlama yer almaktadır.
Tehdit avcılığı, güvenlik açıklarını ve tehditleri erken tespit ederek, zamanında hafifletmeye izin vererek, kuruluşun saldırı yüzeyini azaltarak ve mevcut güvenlik önlemlerinin etkinliğini artırarak genel güvenlik duruşunu iyileştirir.