Şöyle düşünün: Masanıza “veri sızdırma hızında 4 kat artış” gibi sayılarla gelen bir güvenlik raporu sadece veri değildir. Bu, bir alarmdır. İşini yapmaya çalışan sıradan biri için bu, güvendikleri sistemlerin giderek daha az güvenilir hale geldiği ve kötü niyetli kişilerin açıklar arasından sıyrılmakta korkutucu derecede ustalaştığı anlamına gelir. Unit 42‘nin son raporundan çıkan temel mesaj, yeni ve havalı teknolojiler hakkında değil; maruz kaldığımız genel bir değişim ve savunmalarımızın bu değişime ayak uydurup uydurmadığı hakkında.
Yıllardır uç noktaları güvenliğin kalesi olarak gördük. Elbette, hala önemliler. Ama dünya laptop’ta durmadı. Buluta sıçradı, yer sarmaşığı gibi mikroservisler türetti ve kullanıcıları bir düzine uzaktan konumda dağıttı. Şimdi bu farklı bölgeler – kimlik ve erişim, bulut varlıkları, OT, IoT, yapay zeka – her biri kendi güvenlik araçları ve günlükleriyle, devasa boşluklara dönüşüyor. Saldırganlar aptal değil; bu sistemler arasındaki karmaşık boşluklardan faydalanıyorlar. Bu, bir hırsızın evin sadece ön kapısına değil, her penceresini ve kapısını kontrol etmesi gibi. Unit 42, gördükleri olayların %75’inde kanıtların günlüklerde olduğunu, ama bulmanın çok zor olduğunu belirtiyor.
Görünmez Pivot: Uç Noktaların Başarısız Olduğu Yer
Düşünün. Bir saldırgan yanlış yapılandırılmış bir bulut hizmeti erişim anahtarıyla bir başlangıç noktası elde ediyor. Oradan bir bulut sunucusuna sıçrayabilir. Uç nokta günlüklerine dikkatle bakan bir SOC analisti için bu ilk saldırı ve sonraki keşif aşamasının tamamı tamamen meşru kullanıcı etkinliği gibi görünebilir. Tıpkı buharlaştı. Görünmez. Eylemi uç noktada olmadığı için uç nokta EDR’ı hiçbir şey görmüyor. Kontrolü elinde tutan, ipuçlarını çeken bulutun içinde.
Sonra kimlik hırsızlığı boyutu var. Saldırganlar, meşru bulut uygulamaları için kimlik bilgilerini çalmaya çalışırken, bozuk bir DNS tünellemesiyle ele geçirilmiş bir cihazı kontrol edebilirler. Kötü amaçlı C2 trafiğini normal görünen uygulama kullanımı içine gizlerler. Eğer güvenlik ekibiniz sadece bir makinedeki kötü amaçlı yazılım imzalarını arıyorsa, ağ genelinde, tüm bu SaaS uygulamaları genelinde yaşanan kimlik ihlalini gözden kaçırıyor demektir. Bu, dijital bir duman perdesi.
Ve gölge BT ile o yasa dışı cihazlardan hiç bahsetmeyelim. Genellikle yönetilmezler, aracılar eksiktir ve bu nedenle geleneksel EDR ve SIEM araçlarına görünmezler. Saldırganlar bunu sever. Ağın bu unutulmuş köşelerine kendi kalıcı araçlarını yerleştirebilirler ve SOC’nizin bundan haberi bile olmaz. Bu, arka kapıyı açık bırakıp kimsenin fark etmeyeceğini ummak gibi.
“Uç nokta algılama ve müdahale (EDR) odaklı bir yaklaşım temel bir unsur olsa da, yalnızca herhangi bir EDR’ye güvenmek saldırganların görünmez bir şekilde hareket etmek için kullandığı boşluklar yaratır.”
Bu alıntı tam isabet. EDR kötü değil; sadece EDR’ye güvenmek felaket davetiyesi. Sadece bir hendekle dijital kaleler inşa ediyoruz ve saldırganlar etrafından dolaşabileceklerini anladılar.
Geliştiriciler ve DevOps İçin Neden Önemli?
Sistemleri inşa edenler için bu, kodunuzun, dağıtımlarınızın ve bulut yapılandırmalarınızın EDR’nin bile görmeyebileceği potansiyel giriş noktaları olduğu anlamına gelir. Yanlış yapılandırılmış bir S3 kovası veya zayıf bir IAM rolü bir uç nokta sorunu değildir. Güvenlik için bulut-yerel bir görünüm gerektiren bulut-yerel bir sorundur. “Bir aracı yükle, virüsleri tara” şeklindeki eski oyun kitabı artık işe yaramıyor. Kod deposundan dağıtılmış mikroservise kadar tüm saldırı yüzeyini ve bunların birbirleriyle (ve neyle konuştukları) nasıl iletişim kurduğunu düşünmemiz gerekiyor.
“Tek bir cam bölme” vaadi her güvenlik satıcısının peşinde koştuğu şarkıdır. Palo Alto Networks, Unit 42 aracılığıyla Cortex XSIAM platformunu çözüm olarak sunuyor. Fikir, bulut altyapısından kimlik sağlayıcılara, o yasa dışı IoT cihazlarına kadar tüm güvenlik günlüklerini tek bir merkezi depoda birleştirmek. Ardından, yapay zeka bunlarla başa çıkabilir, saldırının tutarlı bir resmini çizmek için farklı olayları bir araya getirebilir. Bu, gizli verilerin %75’ini görünür kılmakla ilgili.
Yapay zeka güdümlü SOC’lerden, makine öğrenmesi tabanlı olay puanlamasından ve anormallikleri tırmanmadan önce yakalamak için kullanıcı davranış analizinden bahsediyorlar. Gerçek değer buradadır, eğer vaat edilenleri yerine getirirse.
