siem
Günümüzde meydana gelen olayların önemli bir kısmı, hesapların ele geçirilmesiyle başlıyor. İlk erişim aracıları tam anlamıyla bir suç endüstrisi haline geldiğinden, saldırganların şirketlerin altyapısına yönelik saldırıları, çalışanların parolaları ve giriş bilgilerini satın alarak çok daha kolay bir şekilde organize edebilmeleri mümkün hale geldi. Çeşitli uzaktan erişim yöntemlerinin yaygın olarak kullanılması, bu görevi daha da kolaylaştırmıştır. Aynı zamanda, bu tür saldırıların ilk aşamaları genellikle tamamen yasal çalışan eylemleri gibi görünür ve geleneksel güvenlik mekanizmaları tarafından uzun süre tespit edilemez.
Yalnızca hesap koruma önlemlerine ve parola ilkelerine güvenmek bir seçenek değildir. Saldırganların çeşitli kimlik avı saldırıları, bilgi hırsızı kötü amaçlı yazılımlar veya sadece iş ve kişisel hesapları için aynı parolayı yeniden kullanan ve üçüncü taraf hizmetlerdeki sızıntılara fazla dikkat etmeyen çalışanların dikkatsizliği yoluyla çalışanların kimlik bilgilerini ele geçirme olasılığı her zaman vardır.
Sonuç olarak, bir şirketin altyapısına yönelik saldırıları tespit etmek için, yalnızca bireysel tehdit imzalarını tespit edebilen araçların yanı sıra, normal kullanıcı ve sistem süreçlerinden sapmaları tespit edebilen Davranış Tespiti sistemlerine de ihtiyacınız vardır.
SIEM’de yapay zeka kullanarak hesap ihlallerini tespit etme
Önceki yazımızda da belirttiğimiz gibi, hesap ele geçirme saldırılarını tespit etmek için Kaspersky Unified Monitoring and Analysis Platform SIEM sistemimizi; kimlik doğrulama süreçleri, ağ etkinliği ve Windows tabanlı iş istasyonları ve sunucularda süreçlerin yürütülmesi sırasındaki anormallikleri tespit etmek üzere tasarlanmış bir dizi UEBA kuralıyla donattık. Son güncellemede, sistemi aynı yönde geliştirmeye devam ederek yapay zeka yaklaşımlarının kullanımını ekledik.
Sistem, kimlik doğrulama sırasında normal kullanıcı davranışının bir modelini oluşturur ve atipik oturum açma zamanları, olağandışı olay zincirleri ve anormal erişim girişimleri gibi olağan senaryolardan sapmaları izler. Bu yaklaşım, SIEM’in çalınan kimlik bilgileriyle yapılan kimlik doğrulama girişimlerini ve geçmişte fark edilmeyen karmaşık senaryolar da dahil olmak üzere, zaten ele geçirilmiş hesapların kullanımını tespit etmesini sağlar.
Sistem, tek tek göstergeleri aramak yerine normal kalıplardan sapmaları analiz eder. Bu, karmaşık saldırıların daha erken tespit edilmesini sağlarken, hatalı pozitiflerin sayısını azaltır ve SOC ekiplerinin operasyonel yükünü önemli ölçüde azaltır.
Daha önce, UEBA kurallarını kullanarak anomalileri tespit etmek için, ön hazırlık çalışmalarını gerçekleştiren ve ara verilerin depolandığı ek listeler oluşturan birkaç kural belirlemek gerekiyordu. Artık, yeni korelatör içeren SIEM’in yeni sürümünde, tek bir özel kural kullanarak hesap ele geçirme olaylarını tespit etmek mümkün.
Kaspersky Unified Monitoring and Analysis Platformundaki diğer güncellemeler
Altyapı ne kadar karmaşık ve etkinlik hacmi ne kadar büyük olursa; platform performansı, erişim yönetimi esnekliği ve günlük operasyon kolaylığı gereksinimleri de o kadar kritik hale gelir. Modern bir SIEM sistemi, tehditleri doğru bir şekilde tespit etmekle kalmamalı, aynı zamanda ekipmanı sürekli olarak yükseltmeye ve süreçleri yeniden oluşturmaya gerek kalmadan “dayanıklı” olmalıdır. Bu nedenle, 4.2 sürümünde platformu daha pratik ve uyarlanabilir hale getirmek için bir adım daha attık. Güncellemeler; mimariyi, algılama mekanizmalarını ve kullanıcı deneyimini etkiler.
Esnek roller ve ayrıntılı erişim kontrolü eklenmesi
SIEM’in yeni sürümündeki en önemli yeniliklerden biri esnek rol modelidir. Artık müşteriler, farklı sistem kullanıcıları için kendi rollerini oluşturabilir, mevcut rolleri çoğaltabilir ve belirli uzmanların görevleri için bir dizi erişim hakkını özelleştirebilir. Bu, SOC analistleri, yöneticileri ve müdürleri arasında sorumlulukların daha kesin bir şekilde ayrılmasını sağlar, aşırı ayrıcalık riskini azaltır ve SIEM ayarlarında şirketin iç süreçlerini daha iyi yansıtır.
Yeni ilişkilendirme cihazı ve bunun sonucunda artan platform kararlılığı
4.2 sürümünde; olayları daha hızlı işleyen ve daha az donanım kaynağı gerektiren yeni bir ilişkilendirme motorunun (2.0) beta sürümünü tanıttık. Müşteriler için bu şu anlamlara gelir:
- Yoğun operasyonlarda istikrarlı çalışma
- Acil altyapı genişletmesine gerek kalmadan büyük miktarda veriyi işleme yeteneği
- Daha öngörülebilir performans
MITRE ATT&CK matrisine göre TTP kapsamı
Ayrıca, MITRE ATT&CK teknik, taktik ve prosedür matrisinin kapsamını sistematik olarak genişletmeye devam ediyoruz: Bugün, Kaspersky SIEM matrisin tamamının %60’ından fazlasını kapsamaktadır. Algılama kuralları düzenli olarak güncellenir ve yanıt önerileriyle birlikte sunulur. Bu, müşterilerin hangi saldırı senaryolarının zaten kontrol altında olduğunu anlamalarına ve genel olarak kabul görmüş bir endüstri modeline dayalı olarak savunma stratejilerini planlamalarına yardımcı olur.
Diğer iyileştirmeler
Sürüm 4.2 ayrıca, olayları yedekleme ve geri yükleme özelliğinin yanı sıra, bütünlük kontrolü ile güvenli arşivlere veri aktarma özelliğini de sunmaktadır. Bu özellik; özellikle soruşturmalar, denetimler ve yasal uyumluluk açısından büyük önem taşımaktadır. Analistlerin rahatlığı için arka plan arama sorguları uygulanmıştır. Artık, karmaşık ve kaynak yoğun aramalar, öncelikli görevleri etkilemeden arka planda çalıştırılabilir. Bu, büyük veri kümelerinin analizini hızlandırır.
Kaspersky SIEM’i düzenli olarak güncellemeye devam ediyor, algılama yeteneklerini genişletiyor, mimariyi iyileştiriyor ve yapay zeka işlevselliği ekliyoruz. Böylece platform, bilgi güvenliği ekiplerinin gerçek dünya koşullarına en iyi şekilde uyum sağlıyor ve sadece olaylara müdahale etmekle kalmayıp, gelecek için sürdürülebilir bir koruma modeli oluşturmaya da yardımcı oluyor. Resmi ürün sayfasında SIEM sistemimiz olan Kaspersky Unified Monitoring and Analysis Platform’un güncellemelerini takip edin.
İpuçları