Siber saldırganlar, yapay zekâ, otomasyon ve çeşitli teknikleri kullanarak yıkıcı sonuçlar yaratıyor. Data ihlalleri ve bunlarla bağlı maliyetler süratle artıyor. Ayrıyeten daha evvel yaptıklarını yapmaya devam ediyor; taarruzları hızlandırmak için mevcut taktik, teknik ve prosedürleri (TTP’ler) güçlendiriyorlar. İlk erişim ile kaçış mühleti ortasındaki mühlet artık dakikalarla ölçülüyor. Bu yüzden saatler yahut günler boyunca çalışmaya alışkın savunmacılar için de işlerin değişmesi gerekiyor. Siber güvenlik şirketi ESET atılması gereken adımları, alınması gerekenler tedbirleri paylaştı.
Yarım saatlik uyarı
Kaçış mühleti değerlidir zira ağ savunucuları bu noktada rakiplerini durduramazlarsa birinci akın çok süratli bir halde büyük bir olaya dönüşebilir. Yanal kaçış için geçen ortalama müddet şu anda yaklaşık 30 dakika ve bir yıl öncesine nazaran yaklaşık %29 daha süratli .
Harekete geçme müddetinin süratle daralmasının birkaç nedeni vardır. Tehdit aktörleri çalışanların yasal kimlik bilgilerini çalma, kırma ve oltalama konusunda giderek daha âlâ hâle geliyorlar. Zayıf, tekrar kullanılan ve nadiren değiştirilen parolalar, çok faktörlü kimlik doğrulama (MFA) eksikliği bu mevzuda onlara yardımcı oluyor. Ayrıca yardım masasını yahut çalışanları taklit ederek yardım masasını arayarak parola sıfırlama vishing ataklarında da daha başarılı hâle geliyorlar. Legal oturum açma bilgileriyle rastgele bir dâhili alarmı tetiklemeden kullanıcı kılığına girebilirler. Şirket içi güvenlik araçlarından zımnî kalarak ağlarda yer edinmek için uç aygıtları amaç alan sıfırıncı gün istismarlarını kullanıyorlar. Keşif konusunda daha da ustalaşıyorlar; açık kaynak teknikleri ve yapay zekâ kullanarak, yüksek kıymetli maksatlar hakkında kamuya açık bilgileri bulmak için web’i tarıyorlar. Taarruzları kolaylaştırmak ve toplumsal mühendislik senaryoları tasarlamak için tertip yapısı, iç süreçler ve BT ortamı hakkında bilgi topluyorlar. Kimlik bilgilerini toplamak, mevcut kaynakları kullanmak ve hatta makus maksatlı yazılım oluşturmak için yapay zekâ dayanaklı komut belgeleri kullanarak istismar sonrası faaliyetleri otomatikleştiriyorlar.
Silo hâline gelmiş gruplar ve nokta tahliller ortasındaki boşluklardan yararlanıyorlar.
Yapay zekâ ateşiyle ateşe karşı koymak
Saldırganlar, yüksek ayrıcalıklarla ağa erişebiliyor yahut gözlemlenmeyen uç noktalarda zımnî kalabiliyor ve akabinde rastgele bir alarmı tetiklemeden yatay olarak hareket edebiliyorsa insan gücüyle verilen karşılık ekseriyetle çok yavaş olacaktır. Toplumsal mühendisliği sınırlamanız, kuşkulu davranışların algılanmasını uygunlaştırmak için savunma duruşunuzu güncellemeniz ve karşılık müddetlerini hızlandırmanız gerekir.
Yapay zekâ takviyeli genişletilmiş tespit ve müdahale (XDR) ile yönetilen tespit ve müdahale (MDR), kuşkulu davranışları otomatik olarak işaretleyerek, bağlamsal dataları kullanarak ihtar doğruluğunu artırarak ve gerektiğinde düzeltme yaparak bu hususta yardımcı olabilir. Gelişmiş tahliller, ikazları kümeleyerek ve çok yüklenmiş SOC takımları için otomatik cevaplar oluşturarak da yardımcı olabilir; böylelikle gruplar, tehdit avcılığı üzere yüksek pahalı misyonlara vakit ayırabilir.
Uç noktalar, ağlar, bulut ve öbür katmanlar hakkında içgörüye sahip tek ve birleşik bir sağlayıcı, potansiyel atak yollarının tam görünürlüğü için nokta tahliller ortasında var olan boşlukları da ortaya çıkarabilir. Bu tıp araçların uç aygıtları da görebildiğinden ve güvenlik bilgisi ve olay idaresi (SIEM) ile güvenlik orkestrasyonu ve karşılığı (SOAR) araçlarınızla meselesiz bir halde çalıştığından emin olun.
Tehdit istihbaratı ve tehdit avcılığı da yapay zekâ takviyeli saldırganlarla başa çıkmak için hayati kıymet taşır. Her ikisini de kullanan bir yaklaşım, grupların değerli olan mevzulara odaklanmasına yardımcı olur: Saldırganların onları nasıl gaye aldığı ve bir sonraki adımda nereye yönelebileceği. Yapay zekâ casusları vakitle bu misyonların daha fazlasını otonom olarak üstlenerek cevap müddetlerini daha da hızlandırabilir.
Yapay zekâ dayanağıyla inisiyatifi geri kazanabilirsiniz
Müdahale müddetlerini hızlandırmanın yolları ortasında şunlarda yer alıyor;
- Uç noktalar, ağ ve bulut ortamlarında daima izleme ve farkındalık,
- Şüpheli aktiflikleri ele almak için atılması gereken oturum sonlandırma, parola sıfırlama yahut ana bilgisayar izolasyonu üzere otomatik adımlar ve uygun durumlarda, ihtarları araştırmak ve bir tehdidi süratli bir biçimde denetim altına almak için gerekli adımları belirlemek üzere insan değerlendirmesi ile birleştirilmiş otomatik tahlil,
- Sıkı erişim denetimleri sağlamak ve hücumların tesir alanını en aza indirmek için en az ayrıcalıklı erişim siyasetleri, mikro segmentasyon ve Zero Trust’ın öteki özellikleri,
- Parola yöneticisinde yönetilen ve kimlik avına güçlü MFA ile desteklenen güçlü, eşsiz kimlik bilgilerine dayalı gelişmiş kimlik odaklı güvenlik,
- Güncellenmiş yardım masası süreçleri (ör. bant dışı geri aramalar) ve tesirli farkındalık eğitimi dâhil olmak üzere vishing tedbire adımları,
- Giriş sırasında otomatik parola varsayım ataklarını engelleyen kaba kuvvet müdafaası,
- Silah olarak kullanılabilecek, ifşa olmuş çalışan ve şirket bilgilerini tespit etmek için toplumsal medya ve dark web’in daima izlenmesi,
- LOTL davranışını tespit etmek ve engellemek için bellekte “ortaya çıkan” komut evrakları ve süreçlerin izlenmesi,
- Sıfırıncı gün istismar tehditlerini azaltmak için kuşkulu belgelerin bulut sanal ortamında çalıştırılması.
Bu adımların hiçbiri tek başına sihirli bir tahlil değildir. Fakat saygın bir tedarikçinin sunduğu yapay zekâ takviyeli MDR/XDR ile birleştirildiğinde, ağ savunucularının inisiyatifi tekrar ele almalarına yardımcı olabilirler. Bu bir silahlanma yarışı olabilir lakin temelde sonu görünmeyen bir yarış. Bu da yetişmek için vakit olduğu manasına gelir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
