Makaleler
Haberler
Etkinlikler
Röportajlar
Editörden

Incident Response İçin Tehdit İstihbaratı

Share
20/11/2019 tarihinde yayınlandı

Incident Response İçin Tehdit İstihbaratı

Tüm güvenlik gruplarında, olay müdahale ekipleri en çok vurgulanan kişilerdir. Sebeplerin arasında: Siber olay hacimleri yirmi yıldır düzenli olarak artmıştır. Tehditler daha karmaşık hale geldi ve analiz edilmesi zorlaştı; değişen tehditleri tanımak , kendi başına büyük bir görev haline geldi.

Güvenlik olaylarına müdahale ederken, analistler farklı kaynaklardan gelen verileri manuel olarak kontrol etmek ve yaymak için çok zaman harcamak zorunda kalıyorlar.

Saldırıların azaltılması ve güvenlik açıklarının ortadan kaldırılması, sürekli olarak daha da zorlaşmaktadır.

Sonuç olarak, olay müdahale ekipleri rutin olarak muazzam zaman baskısı altında çalışır ve çoğu zaman siber olayları derhal ele alamaz.

Devam Eden Zorluklar

Tipik bir organizasyonun yaşadığı olay sayısı konusunda kesin olmak zor olsa da, siber saldırı hacminin hızla arttığına dair hiçbir şüphe yoktur. SonicWall'a göre, küresel kötü amaçlı yazılım saldırıları yalnızca 2017'de yüzde 18'den fazla arttı. Şifreli trafik ve kimlik avı gibi diğer popüler saldırı vektörleri de her yıl hacimlerde önemli artışlar görüyor. Bu artan baskının bir kısmı önleyici teknolojilerle hafifletilirken, yine de, aşağıdaki faktörlerden dolayı olay müdahale ekiplerine büyük bir ek yük getiriliyor.

Beceri Açığı

IR, giriş düzeyinde bir güvenlik işlevi değil. Statik ve dinamik kötü amaçlı yazılım analizi, tersine mühendislik, dijital adli tıp ve daha fazlasını içeren geniş bir yetenek yelpazesini kapsar. Sektörde tecrübesi olan ve baskı altında karmaşık işlemlerin gerçekleştirilmesine güvenebilecek analistler gerektirir.

Son derece kamuoyuna açık siber güvenlik becerileri açığı, son on yılda sürekli olarak daha da genişledi. ISSA'nın 2017 tarihli bir araştırma raporuna göre, güvenlik uzmanlarının neredeyse dörtte üçü organizasyonlarının küresel beceri sıkıntısından etkilendiğini iddia ediyor. En son Global Bilgi Güvenliği İşgücü Çalışması'nda Frost & Sullivan, yetenek açığının 2022 yılına kadar 1.8 milyon işçiye çıkacağını tahmin ediyor.

Çok fazla uyarı, Çok az zaman

Mevcut personel eksikliği ile bağlantılı olarak, olay müdahale ekipleri yönetilemeyen bir dizi uyarı ile bombalandı. Ponemon “Kötü Amaçlı Yazılım Koruması Maliyeti” raporuna göre, güvenlik ekipleri neredeyse oturum açmayı bekleyebilirler.

Tipik bir haftada 17.000 kötü amaçlı yazılım uyarısı. Bu, 7 gün 24 saat çalışan bir ekip için saatte 100'den fazla uyarıdır. Ve bunlar yalnızca kötü amaçlı yazılım olaylarından gelen uyarılardır.

Bu rakamları perspektife koymak için, tüm bu uyarılar, güvenlik ekiplerinin her yıl yanlış pozitifleri kovalamak için 21.000 adam-saat harcamasına neden olabilir. Bu, yalnızca kötü uyarıları iyi olanlardan ayırmak için gerekli olan 2,625 standart sekiz saatlik vardiyadır.

Tepki zamanı artıyor

Çok az kalifiye personeliniz ve çok fazla uyarınız olduğunda, sadece bir sonuç vardır: gerçek güvenlik olaylarını çözme zamanı artacaktır. Son Verizon Data İhlali Araştırmaları Raporu'ndan alınan kaynak verilerin analizine göre, olayın tespiti için medyan süre oldukça makul bir dört saat iken, çözünürlük için medyan süre (MTTR) dört günden fazladır.

Tabii ki, siber suçluların böyle bir zaman kısıtlaması yoktur. Hedef ağ içinde bir yer edindiklerinde, uzlaşma süresi genellikle dakikalar içinde ölçülür.

Parça parça bir yaklaşım

Çoğu kuruluşun güvenlik grubu, siber riskteki artışlara paralel olarak organik olarak büyüdü. Sonuç olarak, güvenlik teknolojileri eklediler ve stratejik bir tasarıma gerek duymadan parça parça sistemlerini işlediler.

Bu geçici yaklaşım tamamen normal olmakla birlikte, olay müdahale ekiplerini çeşitli güvenlik teknolojilerinden (örneğin, SIEM, EDR ve güvenlik duvarı günlükleri) ve tehdit beslemelerinden verileri ve bağlamı toplamak için çok fazla zaman harcamak için zorlar. Bu çaba, yanıt sürelerini önemli ölçüde uzatmakta ve hataların yapılması olasılığını arttırmaktadır.

Tehdit İstihbaratı ile Olay Tepkilerinin-IR Güçlendirilmesi

Tartışmamızdan açıkça anlaşmalıyız ki, güvenlik teknolojileri kendi başlarına insan analistlerine duyulan güveni azaltmak için yeterli değildir.

Tehdit zekası, olay müdahale ekipleri üzerindeki baskıyı en aza indirebilir ve incelemekte olduğumuz sorunların çoğunu ele alabilir:

False- pozitif uyarıları otomatik olarak tanımlama ve reddetme

Uyarıları dark web üzerinden gerçek zamanlı içerikle zenginleştirmek

Orijinal tehditleri belirlemek için iç ve dış veri kaynaklarından gelen bilgileri bir araya getirmek ve karşılaştırmak

Kurumun özel ihtiyaçlarına ve altyapısına göre tehdit puanlama

Başka bir deyişle, tehdit zekası olay ekiplerine daha hızlı ve daha iyi kararlar vermek için ihtiyaç duydukları tam olarak eyleme geçirilebilir içgörüler sağlarken, tipik olarak işlerini zorlaştıran anlamsız ve güvenilmez uyarıların gelgitini engeller.

Şimdi, güçlü bir tehdit istihbarat kabiliyetinin özelliklerini ve olay müdahale ekiplerinin en büyük zor noktaları nasıl ele aldıklarını incelememizin zamanı geldi.

Kapsamlı

Olay müdahale ekipleri için değerli olmak adına tehdit kaynakları, açık kaynaklar, teknik yayınlar ve karanlık ağ –dark web üzerindeki mümkün olan en geniş konumlardan otomatik olarak yakalanmalıdır. Aksi takdirde, analistler önemli hiçbir şeyin kaçırılmamasını sağlamak için kendi araştırmalarını yapmak zorunda kalacaklar.

Bir analistin, bir IP adresinin kötü amaçlı etkinlikle ilişkili olup olmadığını bilmesi gerektiğini düşünün. Tehdit istihbaratının kapsamlı bir tehdit kaynağından kaynaklandığına güveniyorsa, verileri anında sorgulayabilir ve sonucun doğru olduğundan emin olabilir. Kendinden emin değilse, IP adresini çeşitli tehdit veri kaynaklarına karşı elle kontrol etmek için zaman harcayacaktır.

Uygun

Olayları belirlemek ve içermek için çalışırken tüm false-pozitiflerden kaçınmak imkansızdır. Ancak tehdit zekası, olay müdahale ekiplerinin SIEM ve EDR ürünleri gibi güvenlik teknolojileri tarafından oluşturulan false- pozitifleri hızlı bir şekilde tespit etmesine ve temizlemesine yardımcı olmalıdır.

Dikkate alınması gereken iki false pozitif kategorisi vardır:

Bir kuruluşla alakalı olan ancak yanlış veya yararsız olan uyarılar

Doğru ve / veya ilginç ancak kuruluşla ilgili olmayan uyarılar

Her iki tür de çok fazla sayıda olay yanıt analistinin zamanını boşa harcama potansiyeline sahiptir.

Gelişmiş tehdit istihbarat ürünleri, yanlış pozitifleri otomatik olarak tanımlamak ve silmek ve analistlerin dikkatini en önemli (yani en alakalı) istihbarata çekmek için makine öğrenme teknolojisini kullanıyor.

Tehdit istihbarat teknolojinizi özenle seçmezseniz, ekibiniz yanlış, eski veya kurumunuzla ilgisi olmayan istihbarat konusunda çok fazla zaman harcayabilir.

Tüm tehditler eşit yaratılmamıştır. İlgili tehdit uyarıları arasında bile, bazıları kaçınılmaz olarak daha acil ve önemli olacak. Tek bir kaynaktan yapılan bir uyarı hem hesaplanmış hem de ilgili olabilir, ancak yine de özellikle yüksek öncelikli olmayabilir.

Bağlamın bu kadar önemli olmasının nedeni budur: kuruluşunuz için hangi uyarıların daha önemli olacağı konusunda kritik ipuçları sağlar.

Bir uyarıyla ilgili içeriğe bağlı bilgiler şunları içerebilir:

Aynı tip alarmın son saldırılarla ilişkilendirildiği çoklu kaynaklardan onaylama

Tehditle ilişkili olduğunu onaylama

Endüstrinizde aktif olduğu bilinen oyuncular

Uyarının, saldırılarla bağlantılı diğer etkinliklerden biraz önce veya sonra gerçekleştiğini gösteren bir zaman çizelgesi

Modern makine öğrenimi ve yapay zeka (AI) teknolojileri, bir tehdit zekası çözümünün aynı anda birden fazla kaynağı göz önünde bulundurmasını ve hangi uyarıların belirli bir kuruluş için en önemli olduğunu belirlemesini mümkün kılar.

Entegre

Bir tehdit istihbarat sisteminin en kritik işlevleri arasında, SIEM ve olay müdahale çözümleri de dahil olmak üzere geniş bir dizi güvenlik aracıyla entegrasyon yeteneği, oluşturdukları uyarıları incelemek ve:

Her bir uyarının false- pozitif olarak görevden uzaklaştırılıp kaldırılmayacağını belirleyin

Uyarıyı önem derecesine göre puanlayın

Uyarıyı değerli ekstra bağlamla zenginleştirin

Bu entegrasyon, analistlerin her uyarıyı çeşitli güvenlik ve tehdit istihbarat araçlarındaki bilgilerle manuel olarak karşılaştırma ihtiyacını ortadan kaldırıyor. Daha da önemlisi, entegrasyon ve otomatikleştirilmiş işlemler, bir insan analisti tarafından kontrol edilmeksizin çok sayıda false- pozitifi filtreleyebilir. Bu kabiliyetin kazandırdığı zaman, olay müdahale ekipleri için belki de tehdit istihbaratının en büyük yararını sağlıyor.

Share
İlginizi Çekebilecek Yazılar
YÜKSEK TEHDİT SEVİYELERİ İLERİ DÜZEY BİR WAF GEREKTİRİR! Tehdit manzarası sadece 5 yıl öncekinden çok farklı. Geleneksel bir web uygulaması güvenlik duvarı (WAF), uygulama katmanı saldırılarını azaltmak için bir ...
Yönetimde kentsel teknolojiler – Akıllı çevre Akıllı şehirlerin bir diğer ayağı ise çevrenin korunması ve insanların temiz bir şehirde yaşamasında teknolojilerin kullanımı oluyor. Şehirlerdeki kirliliğin kontrolü, iklim ...
Yerli Olmayan E-Posta Ve Bulut Kullanılamayacak Bu haftanın önemli gelişmelerinden birisi bilgi ve iletişim güvenliği alanında bir cumhurbaşkanlığı genelgesi yayınlanması idi. Bu genelgenin en önemli noktasını, kamu ...

Yapay Zekâ ve Kişisel Veriler: Teknoloji ve Hukuk Arasında Başka Bir Boyut 2018’in belki de en popüler konularından biri olan ve önümüzdeki birkaç yıl içinde popülerliği devam edecek yapay zekâ, ününü sadece gelişmekte ...
Yanıltma Nedir? Dolandırıcılar ve düzenbazların haksız kazanç elde etmek için aldatıcı yöntemlerle insanları aldattığı kandırma eylemi, en az suç kadar eskilere dayanır. Bu ...
Veriler her yerde ve çok para ediyor, hem de çok İş sonuçlarından marka imajına, veri ihlalinden denetim riskine kadar verilerin korunması günümüzde iş dünyasının kritik başarı faktörlerinden biri haline geldi.

VERİ SINIFLANDIRILMASI VE HASSAS VERİNİN SIZDIRILMASI VERİ SINIFLANDIRILMASI VE HASSAS VERİNİN SIZDIRILMASIÖrnek Veri TipleriCEMİLE DENEREL BAŞAK, PLATİN BİLİŞİM KIDEMLİ SİSTEM MÜHENDİSİ 1-)GİZLİ: Bu bilgi varlıklarına erişim sıkı olarak korunmalı ...
Veri Kaybı Önleme – Data Loss Prevention (DLP) Nedir ? Veri güvenliğinin oldukça kritik bir hal aldığı bugünlerde, firmalar; edindikleri güvenlik stratejileri ile öne geçmektedir. Dolayısıyla ortaya çıkan tabloda veri güvenliğini ...
Veri Entegrasyon Modelleri Nelerdir? Nerelerde Kullanılır? Çeşitli dijital kaynaktan gelen standartlaştırılmamış veri saldırısı, işletmeleri veri entegrasyon modellerini ciddiye almaya itiyor. Bunun nedeni, veri entegrasyon modelinin verileri standartlaştırmasına ...

Üniversiteler için kesintisiz çalışırlık neden önemli? Yükseköğretimin maliyeti ve önemi sektörün her zaman denetlenmeye ihtiyacı olduğu anlamına geliyor. Bu denetleme siyasetçiler ve gazeteciler tarafından olabildiği gibi, kendi ...
Türkiye’ye Yönelik Yapılan Bazı Oltalama Saldırıları ve MuddyWater Saldırısı Hedefli siber saldırılar, tüm dünyadan belirli ülkeleri, kamu kurumlarını, kritik altyapıları etkileyebilen, saldırganlara oldukça kritik yetki ve bilgiler sağlayabilen saldırılardır. Zaman ...
TÜRKİYE’NİN DİJİTAL ATILIM STRATEJİSİ Türkiye’de Bilgi-İletişim ve Telekomünikasyon sektörlerinde mal ve hizmet üretimi ve ihracaatın mevcut büyüklüğünün iki katına çıkarılması için izlenecek yol haritası, belirlenen ...

TÜRKİYE’DE EN ÇOK KARŞILAŞILAN BEŞ SİBER SALDIRI ÇEŞİDİ SİBER SALDIRILAR SON DÖNEMDE HERKESİN GÜNDEMİNDE YER ALIYOR. İNTERNET VE VERİ GÜVENLİĞİNDE KÜRESEL ÇÖZÜM SAĞLAYICI TREND MICRO,TÜRKİYE’DE EN ÇOK GÖRÜLEN SİBER ...
Tehdit Zekası Hakkında Bildiklerinizi Unutun! Bir konferansta veya fuarda tartışılan tehdit zekasını duymuş olabilirsiniz. Belki de bir danışman tarafından tehdit zekasının güvenlik kararları için dış bağlam ...
Symantec Web Isolation! Kullanıcıları, çoğu zaman kategorilere ayrılmamış ve potansiyel olarak riskli web siteleri tarafından web'e erişimi engellemeden iletilen kötü amaçlı yazılımlardan ve kimlik ...

SSL/TLS Trafiğinizi F5 ile Yönetin SSL, Netscape Communications Corporation tarafından 1994 yılında, World Wide Web (www) üzerinden yapılan işlemlerin güvenliğini sağlamak amacıyla tasarlandı. SSL’in 1. Sürümü ...
SOC - SECURITY OPERATION CENTER! Güvenlik Operasyon Merkezi ( SOC ), Siber güvenlik olaylarının tespiti, önlenmesi ve bunlarla ilgili olarak aksiyon alınmasını sağlayan, aynı zamanda kurumların ...
SİBER SUÇ TAKİBİ NASIL YAPILIR? Şimdiye kadar birçok yerde "IP nasıl gizlenir?", "kendimizi nasıl gizleriz?", "izleri nasıl sileriz?" gibi soruları ve cevapları görmüş olabilirsiniz. Burada ise ...


Arama
Son Yazılar
Bulutistan, Şirketlerin Güvenli Şekilde Buluta Geçiş Sürecini Sağlayacak Giyilebilir Cihazlar Gizlilik Riski Taşıyor Mu? Kurumsal Cihazları Hedef Alan Zararlı Yazılımların %53'ü Veri Çalıyor! Kaspersky, Kullanıcı Kimlik Bilgilerinin Peşinde Olan Veri Hırsızlarına Karşı Uyardı Çipli Kimlik Kartlarınız Hem Ehliyet Hem Pasaportunuz Olabilir Güçlü Siber Güvenliğin Şifresi Azerbaycan’da Açiklanacak Doğuş Teknoloji, Siber Güvenlik Tecrübesini Azerbaycan Sigorta Sektörü Ile Paylaşacak Kvkk Günü’nde Ki̇şi̇leri̇n Ve Şi̇rketleri̇n Veri̇ Güvenli̇ği̇ni̇ Korumasinin Yollari Eğitimde Yapay Zeka Dönemi Geliyor Fotoğraflara Saklanan Zararlı Yazılımlar Mobil Tehditleri Hafife Almayın
E-Bülten'e Kayıt Olun
Arşivler
Ağustos 2015Eylül 2015Ekim 2015Kasım 2015Aralık 2015Ocak 2016Şubat 2016Mart 2016Nisan 2016Mayıs 2016Haziran 2016Temmuz 2016Ağustos 2016Eylül 2016Ekim 2016Kasım 2016Aralık 2016Ocak 2017Şubat 2017Mart 2017Nisan 2017Mayıs 2017Haziran 2017Temmuz 2017Ağustos 2017Eylül 2017Ekim 2017Kasım 2017Aralık 2017Ocak 2018Şubat 2018Mart 2018Nisan 2018Mayıs 2018Haziran 2018Temmuz 2018Ağustos 2018Eylül 2018Ekim 2018Kasım 2018Aralık 2018Ocak 2019Şubat 2019Mart 2019Nisan 2019Mayıs 2019Haziran 2019Temmuz 2019Ağustos 2019Eylül 2019Ekim 2019Kasım 2019Aralık 2019 Ocak 2020Şubat 2020Mart 2020Nisan 2020Mayıs 2020Haziran 2020Temmuz 2020Ağustos 2020Eylül 2020Ekim 2020Kasım 2020Aralık 2020Ocak 2021Şubat 2021Mart 2021Nisan 2021Mayıs 2021Haziran 2021Temmuz 2021Ağustos 2021Eylül 2021Ekim 2021Kasım 2021Aralık 2021Ocak 2022Şubat 2022Mart 2022Nisan 2022Mayıs 2022Haziran 2022Temmuz 2022Ağustos 2022Eylül 2022Ekim 2022Kasım 2022Aralık 2022Ocak 2023Şubat 2023Mart 2023Nisan 2023Mayıs 2023Haziran 2023Temmuz 2023Ağustos 2023Eylül 2023Ekim 2023Kasım 2023Aralık 2023Ocak 2024Şubat 2024Mart 2024Nisan 2024
İletişim | Gizlilik | Kullanım Koşulları