Siber saldırganlar, yapay zekâ, otomasyon ve çeşitli teknikleri kullanarak yıkıcı sonuçlar yaratıyor. Bilgi ihlalleri ve bunlarla bağlı maliyetler süratle artıyor. Ayrıyeten daha evvel yaptıklarını yapmaya devam ediyor; hücumları hızlandırmak için mevcut taktik, teknik ve prosedürleri (TTP’ler) güçlendiriyorlar. İlk erişim ile kaçış müddeti ortasındaki mühlet artık dakikalarla ölçülüyor. Bu yüzden saatler yahut günler boyunca çalışmaya alışkın savunmacılar için de işlerin değişmesi gerekiyor. Siber güvenlik şirketi ESET atılması gereken adımları, alınması gerekenler tedbirleri paylaştı.
Yarım saatlik uyarı
Kaçış müddeti kıymetlidir zira ağ savunucuları bu noktada rakiplerini durduramazlarsa birinci hücum çok süratli bir formda büyük bir olaya dönüşebilir. Yanal kaçış için geçen ortalama müddet şu anda yaklaşık 30 dakika ve bir yıl öncesine nazaran yaklaşık %29 daha süratli .
Harekete geçme müddetinin süratle daralmasının birkaç nedeni vardır. Tehdit aktörleri çalışanların yasal kimlik bilgilerini çalma, kırma ve oltalama konusunda giderek daha yeterli hâle geliyorlar. Zayıf, tekrar kullanılan ve nadiren değiştirilen parolalar, çok faktörlü kimlik doğrulama (MFA) eksikliği bu bahiste onlara yardımcı oluyor. Ayrıca yardım masasını yahut çalışanları taklit ederek yardım masasını arayarak parola sıfırlama vishing hücumlarında da daha başarılı hâle geliyorlar. Yasal oturum açma bilgileriyle rastgele bir dâhili alarmı tetiklemeden kullanıcı kılığına girebilirler. Şirket içi güvenlik araçlarından saklı kalarak ağlarda yer edinmek için uç aygıtları maksat alan sıfırıncı gün istismarlarını kullanıyorlar. Keşif konusunda daha da ustalaşıyorlar; açık kaynak teknikleri ve yapay zekâ kullanarak, yüksek pahalı gayeler hakkında kamuya açık bilgileri bulmak için web’i tarıyorlar. Atakları kolaylaştırmak ve toplumsal mühendislik senaryoları tasarlamak için tertip yapısı, iç süreçler ve BT ortamı hakkında bilgi topluyorlar. Kimlik bilgilerini toplamak, mevcut kaynakları kullanmak ve hatta makûs maksatlı yazılım oluşturmak için yapay zekâ takviyeli komut belgeleri kullanarak istismar sonrası faaliyetleri otomatikleştiriyorlar.
Silo hâline gelmiş gruplar ve nokta tahliller ortasındaki boşluklardan yararlanıyorlar.
Yapay zekâ ateşiyle ateşe karşı koymak
Saldırganlar, yüksek ayrıcalıklarla ağa erişebiliyor yahut gözlemlenmeyen uç noktalarda bilinmeyen kalabiliyor ve akabinde rastgele bir alarmı tetiklemeden yatay olarak hareket edebiliyorsa insan gücüyle verilen cevap çoklukla çok yavaş olacaktır. Toplumsal mühendisliği sınırlamanız, kuşkulu davranışların algılanmasını düzgünleştirmek için savunma duruşunuzu güncellemeniz ve cevap müddetlerini hızlandırmanız gerekir.
Yapay zekâ takviyeli genişletilmiş tespit ve müdahale (XDR) ile yönetilen tespit ve müdahale (MDR), kuşkulu davranışları otomatik olarak işaretleyerek, bağlamsal bilgileri kullanarak ihtar doğruluğunu artırarak ve gerektiğinde düzeltme yaparak bu mevzuda yardımcı olabilir. Gelişmiş tahliller, ikazları kümeleyerek ve çok yüklenmiş SOC grupları için otomatik cevaplar oluşturarak da yardımcı olabilir; böylelikle gruplar, tehdit avcılığı üzere yüksek pahalı vazifelere vakit ayırabilir.
Uç noktalar, ağlar, bulut ve öteki katmanlar hakkında içgörüye sahip tek ve birleşik bir sağlayıcı, potansiyel atak yollarının tam görünürlüğü için nokta tahliller ortasında var olan boşlukları da ortaya çıkarabilir. Bu tıp araçların uç aygıtları da görebildiğinden ve güvenlik bilgisi ve olay idaresi (SIEM) ile güvenlik orkestrasyonu ve karşılığı (SOAR) araçlarınızla meselesiz bir formda çalıştığından emin olun.
Tehdit istihbaratı ve tehdit avcılığı da yapay zekâ dayanaklı saldırganlarla başa çıkmak için hayati ehemmiyet taşır. Her ikisini de kullanan bir yaklaşım, takımların değerli olan mevzulara odaklanmasına yardımcı olur: Saldırganların onları nasıl amaç aldığı ve bir sonraki adımda nereye yönelebileceği. Yapay zekâ casusları vakitle bu vazifelerin daha fazlasını otonom olarak üstlenerek karşılık müddetlerini daha da hızlandırabilir.
Yapay zekâ takviyesiyle inisiyatifi geri kazanabilirsiniz
Müdahale müddetlerini hızlandırmanın yolları ortasında şunlarda yer alıyor;
- Uç noktalar, ağ ve bulut ortamlarında daima izleme ve farkındalık,
- Şüpheli aktiflikleri ele almak için atılması gereken oturum sonlandırma, parola sıfırlama yahut ana bilgisayar izolasyonu üzere otomatik adımlar ve uygun durumlarda, ihtarları araştırmak ve bir tehdidi süratli bir formda denetim altına almak için gerekli adımları belirlemek üzere insan değerlendirmesi ile birleştirilmiş otomatik tahlil,
- Sıkı erişim denetimleri sağlamak ve hücumların tesir alanını en aza indirmek için en az ayrıcalıklı erişim siyasetleri, mikro segmentasyon ve Zero Trust’ın öbür özellikleri,
- Parola yöneticisinde yönetilen ve kimlik avına sağlam MFA ile desteklenen güçlü, eşsiz kimlik bilgilerine dayalı gelişmiş kimlik odaklı güvenlik,
- Güncellenmiş yardım masası süreçleri (ör. bant dışı geri aramalar) ve tesirli farkındalık eğitimi dâhil olmak üzere vishing tedbire adımları,
- Giriş sırasında otomatik parola kestirim akınlarını engelleyen kaba kuvvet muhafazası,
- Silah olarak kullanılabilecek, ifşa olmuş çalışan ve şirket bilgilerini tespit etmek için toplumsal medya ve dark web’in daima izlenmesi,
- LOTL davranışını tespit etmek ve engellemek için bellekte “ortaya çıkan” komut belgeleri ve süreçlerin izlenmesi,
- Sıfırıncı gün istismar tehditlerini azaltmak için kuşkulu belgelerin bulut sanal ortamında çalıştırılması.
Bu adımların hiçbiri tek başına sihirli bir tahlil değildir. Fakat saygın bir tedarikçinin sunduğu yapay zekâ dayanaklı MDR/XDR ile birleştirildiğinde, ağ savunucularının inisiyatifi yine ele almalarına yardımcı olabilirler. Bu bir silahlanma yarışı olabilir lakin temelde sonu görünmeyen bir yarış. Bu da yetişmek için vakit olduğu manasına gelir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
