Siber Tehditler Hızlanırken Güvenlik Operasyonları Neden Yetersiz Kalıyor? Linux

Siber Tehditler Hızlanırken Güvenlik Operasyonları Neden Yetersiz Kalıyor?

Saldırganlar altyapılarını dakikalar içinde kurup değiştirirken, SOC ekipleri hâlâ eski ve dağınık verilerle yetiniyor. Canlı internet haritası ve oto

Siber güvenlik analistleri için her vaka incelemesi, bir an gelir, araç seti bir tarayıcı sekmesi karmaşasına dönüşür. Bir EDR uyarısı, proxy günlüğü, güvenlik duvarı olayı veya uzun süredir sessiz kalan bir tespit kuralından çıkan bir IP adresiyle başlar her şey. İlk soru basittir: Bu şey nedir? Ama kritik olan şu: Geçen hafta neydi değil, başka bir OSINT beslemesinin etiketi ne demiş değil, şu an ne yapıyor?

İşte bu noktada birçok güvenlik operasyonu şaşırtıcı derecede gayriresmî kalıyor. Kendi sistemlerimizden telemetri toplamak için ciddi bütçeler ayırırken, kontrol edemediğimiz internet hakkında eski, tutarsız veya ödünç alınmış bağlamlarla yetiniyoruz. Bir besleme adresi kötü amaçlı derken, diğeri temiz olduğunu söylüyor. Pasif bir DNS aracı üç ay öncesine ait bir alan adı gösteriyor. Bir kötü amaçlı yazılım kum havuzunda yalnızca tek bir örnek var. Bir tarama sitesi açık bir port görüyor ama yeterli geçmiş yok. Ve böylece başlıyor sekmeler: VirusTotal, Shodan, DNS sorguları, sertifika kontrolleri, ekran görüntüleri, Cobalt Strike çalışıp çalışmadığı...

Bu yöntemlerin hiçbiri kötü analiz pratiği değil. Aksine, gerçeğin dağınık olduğu durumlarda iyi analistlerin yapacağı şey tam olarak bu. Ancak sorun şu: İnternet bu model için çok hızlı hale geldi. Saldırganlar altyapılarını kaydediyor, dağıtıyor, proxy'liyor, döndürüyor ve terk ediyor; çoğu zenginleştirme hattının bunu açıklayabileceğinden daha hızlı. Otomasyon ölçeğin maliyetini düşürdü. Yapay zeka modelleri giriş engelini aşağı çekti ve açık kaynak modeller de geride kalmıyor.

Sonuç, sinematik bir siber kıyamet değil; daha sıradan ama operasyonel olarak daha sinir bozucu bir durum: daha fazla altyapı, daha hızlı değişiyor ve 'ilk görülme' ile 'vahşi ortamda kullanılma' arasındaki süre kısalıyor. Bu da savunmacıların dış istihbarattan ne beklediğini değiştiriyor. Bir SOC, kamusal interneti ikinci el dedikodular koleksiyonu olarak görmemeli. Olay müdahalesi, üç farklı araçta kalan eserlerden tarih yeniden inşa etmek zorunda kalmamalı. Tehdit avcıları, ham internet verileri ile uzman küratörlüğünde atıflar arasında seçim yapmak zorunda bırakılmamalı.

Neyse ki savunmacıların da artık kendi yapay zeka araçları var. Bu araçlar, internet meta verilerini büyük bir hızla işleyerek egzotik tehdit sinyallerini bulabiliyor. Savunmacıların ihtiyacı, canlı bir internet altyapı haritası: ana bilgisayarlar, hizmetler, portlar, protokoller, sertifikalar, DNS, web siteleri, ekran görüntüleri, yazılımlar, güvenlik açıkları, etiketler, geçmiş ve düşmanca altyapı sinyalleri. SOC'nin internete doğrudan sorular sorabilmesi gerekiyor: Bu IP bu sabah Cobalt Strike çalıştırıyor muydu? Bu sertifikayı başka ne paylaştı? Bu alan adı gece boyunca altyapı değiştirdi mi? Uyarı tetiklenmeden önce bu ana bilgisayar riskli bir hizmeti açığa çıkarıyor muydu? Bu tek seferlik bir gösterge mi yoksa avlayabileceğimiz bir desenin parçası mı?

Sistem Güvenliği

Bu sorular yalnızca triyaj için değil; olay müdahalesinde zaman ve geçmişin kapsamı belirlediği, tehdit avcılığında altyapı yeniden kullanımının bir operasyonu ortamınıza ulaşmadan önce açığa çıkarabileceği, tespit mühendisliğinde en iyi tespitlerin uç nokta yükü görmeyen yukarı akışta başladığı ve maruziyet yönetiminde kendi internet yüzeyinizin düşman altyapısıyla aynı operasyonel resmin parçası olduğu durumlar için kritik.

Teslimat modeli de önemli. Bazı ekipler Censys web uygulamasında analist çalıştırmak isterken, bazıları SIEM'de zenginleştirme (Censys sınırsız arama API'si sunar), bazıları özel besleme gibi davranan koleksiyonlar, bazıları SDK, veri indirme, webhook, entegrasyon veya MCP ister. Esneklik, paketleme baş ağrısına mal olmamalı. Bu, dış bağlamın bir arama alışkanlığı olmaktan çıkıp güvenlik işletim sisteminin bir parçası haline gelmesini sağlar.

Nasıl Önlem Alınmalı?

Analistler elli sekme açmaya devam edebilir; iyi analistler her zaman yapacaktır. Ancak soru, günlüklerinizdeki altyapının bu sabah tehlikeli olup olmadığı olduğunda, cevap hangi sekmenin önce şanslı olduğuna bağlı olmamalıdır. Gerçek zamanlı, doğrudan ve otomatize edilmiş bir internet zekası, modern siber savunmanın olmazsa olmazıdır.

Kaynak: cybersecuritydive.com

Paylaş: