Mitos Çağında Hayatta Kalmak: Richard Bejtlich, NDR Davası Üzerine Dünya Geneli

Mitos Çağında Hayatta Kalmak: Richard Bejtlich, NDR Davası Üzerine

Analistlerin elindeki çok sayıda telemetriye rağmen, birçok güvenlik operasyonu ekibi olay soruşturması sırasında birkaç temel soruyu yanıtlamakta zor...

Analistlerin elindeki çok sayıda telemetriye rağmen, birçok güvenlik operasyonu ekibi olay soruşturması sırasında birkaç temel soruyu yanıtlamakta zorlanıyor: Ne oldu? Elimizde hangi kanıt var? Her şeyi bağlam içinde gördüğümüzü nasıl bilebiliriz?

Bu soruları yanıtlamak, ekiplerin ilk önceliklendirmenin en yaygın temeli olan uyarıların ötesine geçmesini gerektirir. Ancak soruşturmalar (ve sonuçları) varsayımlara değil savunulabilir kanıtlara ihtiyaç duyar ve uyarıların sunduğu da budur.

Güvenlik açığı keşfi hızlandıkça (diğer adıyla Mitos Çağı) uyarılar daha az kullanışlı hale geliyor. Çoğu kuruluş, yeni bulguların hacmini mevcut iş akışlarıyla araştıramaz. Artan otomasyona rağmen SecOps ekiplerinin daha fazla ham telemetriye değil, aktif istismar ve ifşaya ilişkin doğrulanmış kanıtlara ihtiyacı var.

Yapay zeka hem saldırıları hem de savunmayı hızlandırdığından, güvenlik ekiplerinin bulguları doğrulamalarına, saldırgan davranışını anlamalarına ve şüpheli trafiği bir ihlalle sonuçlanmadan önce durdurmalarına olanak tanıyan zemini hazırlaması gerekir.

Richard Bejtlich'in Corelight ile ortaklaşa yayınlanan NDR Temelleri: Ağ Tespiti ve Yanıtı için Pratik Kılavuz, ağ algılama ve yanıtın (NDR) uygulayıcıların mevcut ağ çağında yön bulmasına nasıl yardımcı olduğunu araştırıyor. Ücretsiz kılavuz, NDR'ye bir giriş niteliğinde olup, tehdit avcılığını ve yapay zeka destekli araştırmaları güçlendirmek isteyen ekipler için pratik bir kaynaktır.

Ağ yasağı davası

Birçok güvenlik programı önlemeye odaklanır. Ancak gerçek şu ki, kuruluşlar öylece sola ya da sağa kayamaz. Tüm saldırı dizisi boyunca dikkat ve kontrol sağlanmalıdır.

Eğer önleyici kontroller basit cevap olsaydı, çalınan kimlik bilgileri bir saldırganın tutunacağı bir yer edindikten sonra işe yaramazdı. Kötü amaçlı yazılım çevrede durdurulacaktır. Ve veriler hiçbir zaman depolama ortamından ayrılmaz.

Ancak bu olaylar her zaman yaşanıyor.

Bu nedenlerden dolayı Bejtlich, esnek güvenlik programlarının yasaklamaya odaklanması gerektiğini savunuyor: Saldırganlar hedeflerine ulaşmadan önce kötü niyetli etkinlikleri tespit edip engellemek.

Gerçek savunma başarısı, bir kuruluşun ilk uzlaşmadan sonra ancak tam kapsamlı bir ihlalden önce kötü niyetli aktörleri izole etme ve kontrol altına alma becerisine bağlıdır. Yasaklamanın, odağı temel engelleme listelerinden çevre içindeki aktif tehdit engellemeye kaydırdığını savunuyor. Güvenlik açığının azaltılmasına ve tehditlerin kontrol altına alınmasına olanak tanıyarak, düşman temel bir misyona ulaşmadan önce saldırının durdurulmasına yardımcı olur.

Kılavuz, NDR'nin ağ boyunca hareket eden trafiğe görünürlük sağlayarak yasağı nasıl desteklediğini açıklıyor. Ağ kanıtlarının dört ana kaynağı derinlemesine araştırılmaya değerdir:

Tam paket yakalamaları

Çıkarılan dosyalar

İşlem günlükleri

Uyarılar ve algılamalar

Modern NDR, pasif bir bariyer işlevi görmek yerine aktif müdahaleyi kolaylaştırır. Güvenlik ekiplerine, bir saldırının yayılmasını önlemek ve yüksek kaliteli ağ kanıtlarını korumak için durumsal farkındalık ve bağlam sağlar.

Tehdit avcılığı bir hipotezle başlar

Kitabın en güçlü bölümlerinden biri, kuruluşların, geleneksel tespit sınırlarını aşabilen mevcut saldırgan tekniklerine uyacak şekilde tehdit avcılığını nasıl geliştirebileceklerine odaklanıyor.

Bejtlich'e göre tehdit avcılığı uyarı takibine dayanmamalı. Bunun yerine, rakip tekniklere ilişkin bir hipotezle başlamalıdır. Bir hipotez oluşturulduktan sonra analist, teoriyi doğrulamak veya çürütmek için ağ günlüklerine ve oturumlara karşı sorgular çalıştırır.

Ağ kanıtları soruşturmanın bağlantı noktası olmaya devam ediyor. Proaktif tehdit avcılığını destekleyen ağ tabanlı teknikler şunları içerir:

Yürütülebilir dosyaları tanımlayın

Olağandışı protokolleri araştırın

Büyük miktarda giden veri aktarımlarını takip edin

Yanal hareketi algıla

Sertifika maruziyetini analiz edin

Aramanın odak noktası genel güvenlik uyarıları yerine spesifik, gözlemlenebilir anormallikler olmalıdır; bu da tam olarak ağ işlemlerinin gözlemlenmesinden elde edilebilecek şeydir.

Ağ algılama ve yanıtta yapay zeka

Yapay

Yapay zeka, ağa yönelik saldırıları dönüştürdüğü gibi ağ savunmasını da dönüştürdü. Kılavuzun 5. bölümünde Bejtlich, SOC analistlerinin yapay zekayı daha büyük bir iyilik için nasıl kullanabileceğini anlatıyor; verimlilik yaratmak, bilişsel yükü azaltmak ve kanıt toplamayı geliştirmek.

Üç işlevsel alanı derinlemesine ele alıyor:

Optimize edilmiş uyarı çerçeveleri: Trafik verilerinin nerede ve nasıl yakalandığı (uç ve/veya merkez) ve her birinin analizi nasıl etkilediği. Olay müdahale döngülerini hızlandırmak için aracılı önceliklendirme: otonom aracıların taktikleri yürütmek için nasıl kullanılması gerektiği, ancak aynı derecede önemli olan, üst düzey insan analistlerinin stratejik karar verme yeteneklerinin geliştirilmesi. Araçların birlikte çalışabilirliği: Ağ genellikle "temel gerçek" olarak adlandırılsa da, modern saldırı araştırmaları ağın, uç noktaların, bulut platformlarının, uygulamaların vb. bütünsel bir görünümünü gerektirir. Yapay zeka orkestrasyonu, silolanmış araçları ve bunların çıktılarını koordine eder.

Maksimum etkinliğe ulaşmak için uygulayıcılar bu yapay zeka modellerini kendi özel kullanım durumları için günlük iş akışlarına entegre edebilirler (kitapta ayrıntılı olarak açıklanmıştır).

Günümüzün dijital ekosisteminde yapay zeka kaçınılmaz olsa da insan doğrulaması kritik bir kontrol noktası olmaya devam ediyor. En azından yakın vadede otomasyonun halüsinasyonları veya istenmeyen sonuçları önleyecek şekilde yönetilmesi gerekiyor. Doğru kullanıldığında yapay zeka, soruşturmalar ve bunları yöneten analistler için bir kazançtır.

Daha iyi operasyonlar için iki ders

Başarılı operasyon ekipleri sürekli olarak süreç iyileştirme arayışındadır. Operatörlerin, günümüzün hızına ve karmaşıklığına uyacak şekilde soruşturma teknikleri geliştirmesi gerekiyor ve ağ da bu temeli sunuyor. Kitap çok sayıda operasyonel tavsiye sunuyor ve bunlardan ikisi etkililiği açısından öne çıkıyor:

İlk uyarı temel çizgileri : Çok fazla önceden etkinleştirilmiş kural, uyarı yorgunluğuna neden olur. Buna karşılık, uyarı yorgunluğu güvenlik ekiplerini uyuşturur ve/veya gömer. Bu nedenle Bejtlich, kuruluşların "sıfır temel" stratejisini benimsemesini tavsiye ediyor. Bu yöntem hakkında daha fazla bilgiyi e-kitapta okuyabilirsiniz.

: Çok fazla önceden etkinleştirilmiş kural, uyarı yorgunluğuna neden olur. Buna karşılık, uyarı yorgunluğu güvenlik ekiplerini uyuşturur ve/veya gömer. Bu nedenle Bejtlich, kuruluşların "sıfır temel" stratejisini benimsemesini tavsiye ediyor. Bu yöntem hakkında daha fazla bilgiyi e-kitapta okuyabilirsiniz. Uyarı tanımları: Operatörler, bir uyarıyı bir olayın nihai tanımından ziyade bir soruşturmanın başlangıcı olarak ele almalıdır. Bunu yapmak, bir hipotezi desteklemek veya reddetmek için derin kanıt toplanmasını kolaylaştırır ve araştırmanın sonunda analistin kesin olarak şu soruyu yanıtlayabilmesini sağlar: Ne oldu? Elimizde hangi kanıt var? Her şeyi bağlam içinde gördüğümüzü nasıl bilebiliriz?

Ağ yasağı neden şimdi önemli?

Tehdit aktörleri taktiklerini geliştirmeye devam ediyor ancak ağ kanıtları savunma için kesin bir gerçek kaynağı olmaya devam ediyor. Modern, dayanıklı bir güvenlik mimarisi oluşturmak isteyen uygulayıcılar bu e-Kitapta uygulanabilir stratejiler bulabilirler.

NDR Essentials'ın değeri yalnızca NDR'yi açıklaması değildir. Modern araştırmalar hakkında düşünmek için pratik bir çerçeve sağlar.

Bu kavramları derinlemesine incelemek için NDR Essentials sayfasından ücretsiz PDF'yi indirin. Bu modern savunma stratejilerini uygulamaya çalışan kuruluşlar için ek bilgilere corelight.com/elitedefense adresinden ulaşabilirsiniz.

Corelight Ağ Tespiti ve Yanıtı

Corelight, yapay zeka destekli savunma yoluyla tehdit araştırmalarını hızlandıran ağ algılama ve yanıt (NDR) sağlar. Kapsamlı ağ görünürlüğü, davranış analizi ve kanıta dayalı algılama kullanan Corelight'ın Açık NDR Platformu, derin ağ telemetrisini eyleme dönüştürülebilir bağlamla birleştirir. Analistler tehditleri daha hızlı tespit edebilir, bulguları güvenle doğrulayabilir ve net bir şekilde harekete geçebilir.

Corelight.com/elitedefense adresinden daha fazla bilgi edinin.

Paylaş: