Intel Security Raporundan Şok Sonuçlar

Intel Security Raporu, Hedefli Saldırılarla Mücadeledeki Zorlukların Ayrıntılarına Yer Veriyor Güvenlik Olaylarının %28’i Hedefli Saldırırlarken; Olaylara Zamanında Yanıt Vermenin Önünde Duran Temel Zorluklarsa; Ürün Entegrasyonu, Olayın Anlaşılması ve Yetersiz Becerilerdir. Intel Security Raporundan Şok Sonuçlar SANTA CLARA, Kaliforniya – 21 Mayıs 2015 – Intel Security anlamında Enterprise Strategy Group’a (ESG) hazırlatılan Tackling Attack Detection and Incident Response (Saldırı Tespit ve Olay Müdahalesi) başlıklı yeni raporda, kurumların güvenlik stratejileri, siber hücum ortamı, olaya müdahale etmede yaşanan zorluklar ve ihtiyaçlar değerlendirildi. Anket sonuçlarına göre, güvenlik dalında çalışanlar, güvenlik olaylarıyla boğulmuş durumda; geçtiğimiz yıl her bir kuruluş için ortalama 78 inceleme oluşmuş olup bu olayların %28’i, siber saldırılar bünyesinde en tehlikeli ve potansiyel şekilde en aşırı ziyan verici hücum türü olan hedefli hücum niteliğindeydi. Ankete dahil olan bilgi işlem ve güvenlik profesyonellerine göre, saldırılara müdahale etme sorunlarını aşmak için daha iyi tetkik ve analiz araçlarını kullanmak, verilecek olan eğitimlerle personelin verimlilik ve etkinliğini arttırmak başlıca çözümler bünyesinde yer alıyor. McAfee Ülke Yöneticisi İlkem Ozar ESG’de kıdemli yönetici analist şekilde çalışan Jon Oltsik, hücum tetkik ve tepki meselesinde “zaman” ve “saldırının yol açacağı zarar” arasında çok fazla büyük bir korelasyon olduğunun altını çiziyor. Oltsik’e göre organizasyonun tespiti, soruşturması ve tepki vermesi ne kadar uzun sürerse, kıymetli verilerin ihlalinin önüne geçmek de bir o kadar zorlaşıyor. Bu sebepten Oltsik, CISO’ların hücum verilerini toplamanın ve işlemenin, tehdit tespiti ve cevabındaki önemini mutlaka akılda tutmaları gerektiğini öğütlüyor. Daha iyi entegrasyon Ankete katılanların yaklaşık %80’ine göre güvenlik tehditlerinin tetkik edilmesi ve tepki verilmesi konularında organizasyonlarının yaşadığı darboğazın sebebi, güvenlik araçları arasındaki entegrasyon ve iletişim eksikliği. Gerçek zamanlı ve detaylı görünürlük, hedefli saldırılara anında tepki verebilmek için büyük ciddiyet taşırken, katılımcıların %37’si güvenlik istihbarat ve BT operasyon araçları arasındaki sıkı entegrasyonun önemini vurguluyor. Saldırının kapsamının belirlenmesi ve etkisinin azaltılması amacıyla yapılan eylemler, en çok fazla süre arzulayan görevlerin başında geliyor ve bu tür operasyonlarda vasıtaların entegre çalışması süreçleri hızlandırabiliyor. Bir sıra muhtelif güvenlik ürününden oluşan yamalı mimariler; araçların, konsolların, süreçlerin ve raporların kullanımını ayırarak süre kaybına yol açıyor ve yeterince iyileştirme yapılamadığından, organizasyonlar aşırı daha hacimli hücum riskleriyle karşı karşıya kalıyor. Daha iyi algılama Profesyonellerin muzdarip oldukları öbür bir konuysa, kullanıcı, ağ, uygulamalar ve host davranışlarının kısıtlı anlaşılmasından ötürü zayıflayan gerçek zamanlı güvenlik görünürlüğü. En çok fazla toplanan 4 veri tipi file ilintili ve bunların %30’u da kullanıcı aktivitesi verisi olunca, elde edilen verilerin yeterli bulunmadığı ortaya çıkıyor. Kullanıcıların, hangi verilerin kaygı veren olduğunu anlamlandırabilmesi için daha fazla yardıma ihtiyacı oluyor. Bu boşluk da, neden organizasyonların nerdeyse yarısının (%47) hücum kapsam ve etki belirlemeyi bilhassa süre harcayıcı bulduğunu açıklıyor. Daha iyi analiz Kullanıcıların, güvenlik hadise ve tehlike istihbarat verilerini toplayarak hacimli bir veri dağı elde etmek yerine, yalnızca anlamlı olanı alıp onu tetkik ederek olayları değerlendirmek için kullanmanın önemini görmesi gerekiyor. Katılımcıların %58’i daha iyi tetkik araçlarına (bulut bazlı zekalarla çalışan statik ve dinamik analiz araçlar gibi), %53’ü ise güvenlik verisini işlenebilir istihbarata çeviren analiz araçlarına ihtiyaçları olduğunu söylüyor. Katılımcıların 1/3’ü normal sistem davranışlarını taban çizgisine oturtup, farklılıkları daha hızlı tetkik edebilecekleri araçlara ihtiyaç duyuyor. Daha iyi uzmanlık Ankete katılanlar, güncel tehlikeler konusu için ayrıntıları ve güvenlik soruşturması becerileri konusundaki eksikliklerinin farkında. Bu nedenle teknik entegrasyon ve analitik beceriler artsa bile, gördükleri verileri anlamlandıramamaktan kaygı ediyorlar. Katılımcıların sadece %45’i menfaatlerini yararsız yazılımları perdeleme teknikleri meselesinde bilgili görürken, %40’ı siber güvenlik bilgi ve yetkinliklerinin artarak çoğalması için daha aşırı eğitime ihtiyaç duyduklarını belirtiyor. Aksiyon için otomasyon Soruşturmaların hacmi ve kısıtlı kaynaklara sahip yetkinlikler, satın alanların hadise tetkik ve tepki yardımına olan ihtiyaçlarını kuvvetlendiriyor. %42’nin bildirdiğine göre, en aşırı zamanlarını piyasa görev, bir saldırının etkisini en üye indirgemek için yapılanlar oluyor. Katılımcıların %27’si, gerçek zamanlı bir değerleme için güvenlik istihbaratları sebebiyle otomotize edilmiş analizleri tercih edeceklerini belirtirken, %15’i süreçlerin otomasyonunu personelini daha önemli işlere yönlendire-bilmek için istiyor. Intel Security Genel Müdürü Chris Young, güvenlik operasyonlarında uygulanan süreleri kalp krizi geçiren hastaların kurtulabilmesi için hastaneye yetiştirilmeleri gereken altın saate benzetiyor. Young’a göre güvenlik sahası de,tıpkı kalp krizi örneğinde bulunduğu gibi, çalışmalarını organizasyonlarının saldıranı tetkik ve savuşturma zamanlarını kısaltarak, ziyan almamasını engellemeye yönlendirmeli. Young, “Bunun için, zor da olsa, nelerin bizi yarıda bıraktığını kendimize sorarak, düşüncelerimizi güvenliği nasıl sağlamamız gerektiği üzerine yoğunlaştırmalıyız” diyor. ESG, Intel Security araştırması arasında en iyi uygulamalar ve çıkarılan dersler açısından çok sayıda ipucu sunduğunu belirtiyor. Bu verilere göre CISO’lara bazı önerilerde bulunuyor: * Sıkı bir biçimde entegre edilmiş güvenlik teknolojisi mimarisini yaratmak: CISO’lar, münferit güvenlik araçlarını entegre güvenlik mimarisiyle değiştirmelidir. Bu stratejiyle amaç; kullanıcı, uç nokta ve file davranışlarını gözlemleyerek, hücum bilgilerinin paylaşılması ve böylece kuruluş genelinde görünürlüğü arttırarak, daha etkili ve koordineli cevaplar alınmasıdır. * Siber güvenlik stratejisini kuvvetli analizlerle destekleyerek, hacimden anlamlı veriye geçmek: Siber güvenlik stratejileri, kuvvetli güvenlik analizlerine dayalı olmalıdır. Büyük miktarlarda iç verilerin (örneğin, loglar, akışlar, paketler, uç nokta delil toplama (forensik), statik/dinamik fena amaçlı yazılım analizi, kurumsal istihbarat (örneğin, kullanıcı davranışı, işletme davranışı vs.)) ve hariç verilerin (örneğin, tehdit istihbaratı, zaafiyet bildirimleri vs.) toplanması, işlenmesi, analiz edilmesi ve anlamlı veriye ulaşılması gerekiyor. * Olay tespiti ve olaya yanıtın otomasyonunu sağlamak: Kurumlar, en yeni hücum tekniklerine ayak uydurma konusu için zorlandığından dolayı, CISO’lar modern yararsız yazılım analizleri, akıllı algoritmalar ve tehdit istihbaratının tüketimi benzeri konularda süreçlerin otomasyonuna daha fazla öncelik vermelidir. Böylece kurum içi davranışı, tehdit göstergeleriyle (IoC) ve siber saldırganlar nedeniyle uygulanan metod ve prosedürlerin (TTP) karşılaştırılması otomatize edilir. * Sürekli siber güvenlik eğitimi sunmak: CISO’lar, profesyonellere tehditleri daha iyi anlamalarını ve etkili hadise yanıtı için en iyi uygulamaları öğrenebilecekleri yıllık eğitim kursları benzeri siber eğitimlerini devamlı şekilde güvenlik ekiplerine sunulmasını İlgi etmelidir. Intel Security araştırması raporunun tamamını okumak için bu adresi ziyaret edebilirsiniz: http://www.mcafee.com/us/resources/reports/rp-esg-tackling-attack-detection-incident-response.pdf


Yapılan Yorumlar
Erdem OFLAZ

Bir mum, diğer mumu tutuşturmakla ışığından bir şey kaybetmez.
 Kategoriler
 Popüler yazılar