Güvenlik işlemleri

  • Makale
  • Okumak için 4 dakika

Güvenlik operasyonları, canlı saldırılar olarak sistemin güvenlik güvencelerini sürdürür ve geri sağlar. Güvenlik operasyonlarının görevleri Algılama, Yanıtlama ve Kurtarma'nın NIST Siber Güvenlik Çerçevesi işlevleri tarafından iyi şekilde açıklanmıştır.

  • Algılamak: Güvenlik operasyonları, sistemde çoğu durumda gizlenen ve hedeflerine ulaşmalarına gerek kalmadan ulaşmalarına izin veren hasımların varlığını algılamalı. Örnek olarak şüpheli etkinlik uyarısına tepki verme veya kurumsal etkinlik günlüklerinde anormal olayları proaktif bir şekilde avlama örnek olarak gösterebilirsiniz.

  • Yanıt: Olası bir saldırının veya kampanyanın algılanması üzerine, güvenlik operasyonları bunun gerçek bir saldırı (gerçek pozitif) veya yanlış alarm (hatalı pozitif) olup olmadığını belirlemek için hızlı bir şekilde araştırmalı ve ardından saldırının kapsamını ve hedeflerini belirlemeli.

  • Kurtarmak: Güvenlik operasyonlarının nihai amacı, saldırı sırasında ve sonrasında iş hizmetlerinin güvenlik güvencelerini (gizlilik, bütünlük, kullanılabilirlik) korumak veya geri yüklemektir.

Çoğu kuruluşun karşı karşıya olduğu en önemli güvenlik riski insan saldırısı operatörleridir (farklı beceri düzeylerinde). Bunun nedeni, otomatik/yinelenen saldırı riskinin çoğu kuruluş için imza ve makine öğrenmesi tabanlı yaklaşımlarla kötü amaçlı yazılımdan koruma yaklaşımıyla önemli ölçüde azaltılmasıdır (wannacrypt ve NotPetya gibi bu savunmalardan daha hızlı hareket eden önemli özel durumlar olsa da).

İnsan saldırısı operatörleri, uyarlanabilirlik (otomatik/yinelenen mantığa karşı) nedeniyle karşı karşıya olmakta zorlansa da, savunmacıyla aynı "insan hızında" çalışıyor ve bu da oyun alanını düzeyine yardımcı oluyor.

Güvenlik İşlemleri (bazen Güvenlik İşlemleri Merkezi (SOC) olarak da adlandırılır), bir saldırganın değerli sistemlere ve verilere ulaşabilmesi için gereken zamanı ve erişimi sınırlandırma açısından kritik bir role sahiptir. Bir saldırganın ortamdaki her dakikası, saldırı operasyonlarını yürütmeye ve hassas/değerli sistemlere erişmeye devam sınar.

Hedef ve ölçümler

Ölçülen ölçümler, güvenlik işlemlerinin davranışları ve sonuçları üzerinde önemli bir etkiye sahip olur. Doğru ölçümlere odaklanmak, riski anlamlı bir şekilde azaltan doğru alanlarda sürekli iyileştirmeye yardımcı olur.

Güvenlik işlemlerinin saldırganların erişimini etkili bir şekilde ele aldığına emin olmak için hedeflere odaklanın

  • Defender'lar hatalı pozitifleri araştırırken algılanan hasımların yoksaymaması için bir uyarıyı kabul etmek için gereken zamanı azaltma.

  • Bulunan bir hasılatı düzeltme süresini azaltarak, hassas sistemler yürütme ve saldırı yapma ve hassas sistemlere ulaşma fırsatlarını azaltma

  • Güvenlik yatırımlarının iç değeri yüksek olan sistemlere (büyük olasılıkla hedefler / yüksek iş etkisi) ve birçok sistem veya hassas sistem (yönetici hesapları ve hassas kullanıcılar) erişimine öncelik verir

  • Programınız olgunlaştıkça ve tepkisel olaylar denetim altına alındıkça, proaktif olarak rakipler için avlamaya odaklanın. Daha yüksek beceriye sahip bir hasım tarafından ortamda çalıştırılama süresini azaltmaya odaklanın (örneğin, reaktif uyarıları kaçacak kadar yetenekli).

Microsoft SOC'nin bu ölçümleri nasıl kullandığı hakkında daha fazla bilgi için bkz. https://aka.ms/ITSOC .

Hibrit kurumsal görünüm

Güvenlik operasyonları, araç, süreç ve analist beceri kümeleri sayesinde hibrit emlaklarının tüm süreçleri boyunca görünürlük sağlar.

Saldırganlar, bir kuruluşu hedeflerken eylemlerini belirli bir ortamla kısıtlamaz, kullanılabilir yöntemleri kullanarak herhangi bir platformda kaynaklara saldırır. Enterprise Azure ve AWS gibi bulut hizmetlerini benimseyen kuruluşlar, bulut ve şirket içi varlıkların hibrit bir şekilde faaliyete geçmektedir.

Güvenlik operasyonları araç ve işlemleri, bulut ve şirket içi varlıklara yapılan saldırılar ve saldırganların kimlik veya başka bir araç kullanarak bulut ile şirket içi kaynaklar arasında özetlemektedir. Kuruluş genelindeki bu görünüm, güvenlik operasyonları ekiplerinin saldırıları hızla algılamalarına, yanıtlamalarına ve saldırılardan kurtarmalarına olanak sağlayacak ve kuruluş riskini azaltacak.

Yerel algılamaları ve denetimleri uygulama

Mümkün olduğunda, buluttan olay günlüklerini kullanarak özel algılamalar oluşturmadan önce bulut platformunda yerleşik olarak yer alan güvenlik algılamalarını ve denetimleri kullanın.

Bulut platformları yeni özelliklerle hızla gelişmektedir ve bu da algılamaların korunmasını zor hale getirdi. Yerel denetimler bulut sağlayıcısı tarafından korunur ve genellikle yüksek kalitelidir (düşük hatalı pozitif oran).

Birçok kuruluş birden çok bulut platformu kullanabileceği ve kuruluş genelinde birleşik bir görünüme ihtiyaç kullanabileceği için, bu yerel algılamaların ve denetimlerin merkezi bir SIEM veya başka bir araç beslemesi sağlanması gerekir. Yerel algılamalar ve denetimler yerine genelleştirilmiş günlük analizi araçlarının ve sorgularının yerini almaya çalışmanız önerilmez. Bu araçlar proaktif avlanma etkinlikleri için çok sayıda değer sunsa da, bu araçlarla yüksek kaliteli bir uyarı almak için derin uzmanlık ve avlanmaya ve diğer etkinliklere daha iyi harcanabilecek zaman uygulaması gerekir.

Merkezi bir SIEM'in (Microsoft Sentinel, Splunk veya QRadar gibi) geniş görünürlüğünü tamamlamak için yerel algılamaları ve denetimleri aşağıdaki gibi kullanabilirsiniz:

  • Azure kullanan kuruluşların Azure platformunda uyarı oluşturma için Bulut için Microsoft Defender'ı kullanmaları gerekir.

  • Kuruluşların günlükleri merkezi bir görünüme çekmek için Azure İzleyici AWS CloudTrail gibi yerel günlük özelliklerini kullanmaları gerekir.

  • Azure kullanan kuruluşların Azure platformunda ağ etkinliklerine görünürlük için Ağ Güvenlik Grubu (NSG) özelliklerini kullanmaları gerekir.

  • Araştırma uygulamaları uç nokta algılama ve yanıt (EDR) çözümü, Kimlik araçları ve Microsoft Sentinel gibi varlık türü hakkında derin bilgi sahibi yerel araçları kullanmıştır.

Uyarı ve günlük tümleştirmesi önceliklerini belirleme

Yüksek hacimli düşük değerli veriler tanıtmadan kritik güvenlik uyarılarını ve günlüklerini SIEM'ler ile tümleştirin.

Çok fazla düşük değer verisi ortaya çıkararak SIEM maliyeti artırabilir, gürültüyü ve hatalı pozitifleri artırabilir ve performansı düşürebilirsiniz.

Toplayan veriler şu işlem etkinliklerinden birini veya daha fazlasını desteklemeye odaklanmış olması gerekir:

  • Uyarılar (mevcut araçlardan veya özel uyarılar oluşturmak için gereken verilerden gelen algılamalar)

  • Bir olayın araştırması (örneğin, yaygın sorgular için gereklidir)

  • Proaktif avlanma etkinlikleri

Daha fazla veri tümleştirerek uyarıları hızlı yanıt ve düzeltme (hatalı pozitifleri filtreleme, gerçek pozitifleri yükseltme gibi) sağlayan daha fazla bağlamla zenginleştirmeye olanak tanıyabilirsiniz ancak toplama algılama işlemi değildir. Verilerin değer sağlamasını makul bir beklentiye sahip değilyebilirsiniz (örneğin, yüksek hacimli güvenlik duvarı olayları engeller), bu olayların tümleştirmesi için gerekli olandan farklı olabilir.