Şirketler Hedefli Saldırıları Zamanında Tespit Edebilme Becerilerine Güvenmiyor

Artık Intel Security ailesinin bir parçası olan McAfee, bugün yeni bir rapor yayınladı: When Minutes Count/ Dakikaların Önemi. Raporda, kuruluşların hedefli saldırıları tespit edebilme ve savuşturma becerileri değerlendiriliyor; en kritik sekiz saldırı göstergesi açıklanıyor ve aktif olay yanıtı için ise en iyi uygulamalar mercek altına alınıyor. Rapor, firmaların etkinliğinin üstü kapalı saldırı faaliyetlerine karşın eğer gerçek zamanlı, çok değişkenli analiz yapabilip, risk puanlaması ve olay yanıt önceliklerinde zaman ile tehdit istihbaratını hesaba katabildiklerinde, nasıl daha etkin hale geldiklerini net bir şekilde gözler önüne seriyor.

Intel Security tarafından Evalueserve'e yaptırılan bir ankette, raporla da bağlantılı olarak, şirketlerin büyük bir çoğunluğunun hedefli saldırıları zamanında tespit edebilme becerilerine yeterince güvenmediklerini ileri sürüyor. Hedefli saldırılarla mücadele etmek için en hazırlıklı şirketler dahi, yüksek hacimli olayları araştırmak için ekstra zaman ayırıyor; böylelikle daha erken tespit ve daha etkili korunma için yaratıcı yaklaşımlar belirlemekle ilgili kuruluşun aciliyet duygusu ve konuya odaklanılmasına katkıda bulunuyor.

Kilit bulgular:

• Ankete katılanların %74'ü hedefli saldırıların kuruluşları için en önemli kaygı olduğunu belirtiyor

• Kuruluşların %58'i geçen yıl 10 veya daha fazla saldırı hakkında araştırma yaptı

• Şirketlerin yalnızca %24'ü bir saldırıyı dakikalar içinde tespit etme becerilerine güveniyor; yarıdan biraz azı ise şüpheli davranışı tespit etmelerinin günler, haftalar ve hatta aylar alacağını belirtiyor

• Tehditleri dakikalar içinde tespit edebilenlerin %78'i aktif, gerçek zamanlı Bilgi Güvenliği ve Olay Yönetimi (SIEM) sistemine sahip

• Ankete katılan şirketlerin yarısı, daha hızlı olay yanıtı sağlamak için yeterli araç ve teknolojilere sahip olduklarını belirtti; ancak, çoğunlukla kritik göstergeler üretilen binlerce uyarıdan ayrışık olmadığı için, bilişim ekiplerinin omuzlarına tehdit uyarılarını manuel ayıklama yükü konmuş oluyor

Kritik göstergeleri belirlemenin önemi dikkate alındığında, Intel Security raporu, başarılı kuruluşların hedefli saldırıları tespit etmek ve savuşturmak üzere takip ettikleri en yaygın saldırı faaliyetlerini ortaya çıkardı. Bunların beş tanesinde, olaylar bir zamana yayılarak gerçekleşmiş ve dolayısıyla bağlamsal ilişkilendirmenin önemi ortaya konmuştur:

1. Bilinen geçersiz hedeflerle veya kuruluşun ticari faaliyetinin bulunmadığı yabancı bir ülkeyle iletişim kuran iç yöneticiler.

2. Örneğin varsayılan ağ kapısı, port 80 üzerinden http trafiği ile değil de komut kabuğu (SSH) göndermek suretiyle, standart dışı portlar veya protokol/port uyuşmazlığı kullanarak dış yöneticilerle iletişim kuran iç yöneticiler.

3. İç sunucularla iletişim kuran kamu erişimine açık veya (DMZ) yöneticileri. Bu sayede, dışardan içeri ve tekrar geri atlanmasına, böylece verilerin dışarı sızdırılmasına ve varlıklara uzaktan erişilmesine izin verilmiş olur. DMZ'nin değerini nötralize eder.

4. Mesai saati dışında kötü niyetli yazılım tespit edilmesi. Standart mesai saatlerinin dışında ortaya çıkan uyarılar (gece saatlerinde veya hafta sonları) ihlal edilmiş bir yöneticiye işaret edebilir.

5. Kısa bir süre zarfında çoklu yöneticilerle iletişim kuran iç yöneticiler tarafından yapılan ağ taramaları, ağ içerisinde yanal olarak hareket eden bir saldırganı ortaya çıkarabilir. Güvenlik duvarı ve IPS gibi çevre ağ savunmaları, nadiren iç ağdaki trafiği izleyecek şekilde yapılandırılmış olurlar (ancak aksi de olabilir).

6. Tek bir yöneticiden gelen çoklu uyarı olayları veya tekrarlayan başarısız kimlik doğrulama gibi, aynı alt ağ içindeki birden çok makinede 24 saatlik bir süre zarfında birbirinin aynı olayların görülmesi.

7. Bir sistemin, temizlendikten sonra beş dakika içinde kötü niyetli yazılımla yeniden enfekte olması—tekrarlayan enfeksiyonlar arka planda çalışan programların veya ısrarcı bir ihlalin varlığına işaret eder.

8. Farklı bölgelere/bölgelerden birkaç dakika içinde çoklu kaynaklara giriş yapmaya çalışan bir kullanıcı hesabı—kullanıcının kimlik bilgilerinin çalındığına veya kullanıcının suç işlemeye çalıştığına işaret eder.

Rapora katkı sağlayan bir ticari çözümler sağlayıcısı Volusion'da Bilgi Güvenliği ve Uygunluğu Kıdemli Müdürü Lance Wright, "Alan kontrolörüne sabah saat ikide tuhaf kimlik doğrulama istekleri gönderen bir iş istasyonu fark ettik. Bu normal bir faaliyet olabilir; öte yandan kötü niyetli bir durumun işareti de olabilir," diyor. "Bu olayın ardından; saldırıyı, herhangi bir veri ihlali gerçekleşmeden önce, erken tespit etmemize yardımcı olmak üzere mesai saati dışında beşten fazla kimlik doğrulama talebi gönderen bir iş istasyonu olduğunda uyarı verilmesi şeklinde bir kural oluşturduk."

Allphin sözlerini şöyle sürdürdü; "Gerçek zamanlı, istihbaratı dikkate alan SIEM teknolojileri, analiz sırasında göstergelerin bağlama oturtulması ile otomatik politika güdümlü yanıtlar esasında ihlallerin aktif şekilde önlenmesine yardımcı olmak için tespit süresini asgariye indirgiyor. Olayları tespit etme, olaylara yanıt verme ve olaylardan ders çıkarma becerilerini hızlandıracak bir kuvvetle, kuruluşlar güvenlikle ilgili duruşlarını avdan avcı konumuna dönüştürebilirler."