ESET Tehdit Araştırması Direktörü Jean-Ian Boutin ile ileri teknoloji ve insan uzmanlığını birleştiren MDR çözümlerinin KOBİ’ler için en pratik değeri nerede sağladığını konuştuk
Kurumsal BT ve güvenlik ekipleri, amansız ve giderek daha sofistike hâle gelen düşmanları uzak tutmak gibi zorlu bir görevi üstlenmiştir. Genellikle sınırlı kaynaklar ve genişleyen saldırı yüzeyleriyle karşı karşıya kalırlar ancak şirket içi Güvenlik Operasyon Merkezi’ni (SOC) yönetmek için üst düzey güvenlik uzmanlarını işe almak ve elde tutmak birçok kuruluş için ulaşılamaz bir hedeftir. Aynı zamanda, tehditler gelişmeye devam ederken düşmanlar tekniklerini geliştirerek iş operasyonlarını durma noktasına getiren olaylara yol açmaktadır.
Savunmacılar, geri adım atmamak için proaktif bir yaklaşıma ihtiyaç duyarlar. Bu yaklaşım, önleme, tespit ve iyileştirme ile doğru ve zamanında tehdit istihbaratını birleştirir. Bu yeteneği şirket içinde oluşturmak pratik değilse bir hizmet olarak kiralamak veya satın almak daha gerçekçi bir seçenektir. Elbette bu yeni bir kavram değildir. Küçük kuruluşlar, bürolar, yönetilen hizmet sağlayıcılar ve bulut bilişim aracılığıyla onlarca yıldır yeni BT yeniliklerinin avantajlarından yararlanmaktadır.
Aynı şeyi, gelişmiş siber güvenlik hizmetleri için de yapmak için güçlü argümanlar vardır. Bu noktada Yönetilen Tespit ve Müdahale (MDR) büyük bir etki yaratabilir. MDR, kuruluşlara elit bir SOC maliyeti gerektirmeden proaktif, uzman odaklı ve ölçeklenebilir bir tehdit izleme ve avlama yeteneği sağlar. Çok uzun zaman önce, MDR pahalı ve karmaşıktı ancak şirket içi özel bir kurulumdan daha azdı. Artık daha küçük kuruluşlar için de giderek daha pratik hâle gelmektedir.
Kısa bir süre önce ESET Tehdit Araştırması Direktörü Jean-Ian Boutin ile bir araya gelerek ekibinin çalışmaları ve tehdit araştırması ile istihbaratın MDR iş akışlarına nasıl katkıda bulunduğu hakkında konuştuk. Jean-Ian ayrıca özellikle KOBİ ortamları için en pratik değeri sağlayan, en son teknoloji ile insan uzmanlığının birleşiminin nerede olduğunu da bize gösterdi.
Küçük işletme kullanıcıları ESET Tehdit Araştırmasından ne kazanıyor? ESET MDR kullandıklarında bu durum nasıl değişiyor?
ESET’in birçok bölgede tehdit araştırma ekibi bulunmaktadır. Ben Montreal’deki ekibin bir üyesiyim ancak araştırmacılarımız Avrupa ve ABD’de de bulunmaktadır.
Tüm araştırmacılarımızın içeriklerinin yer aldığı WeLiveSecurity’deki yayınlarımız ve dünya çapındaki siber güvenlik konferanslarındaki konuşmalarımız ve sunumlarımız mevcut.
Ayrıca yalnızca ESET kurumsal müşterilerinin yararlanabileceği özellikler de vardır. Her türlü “ipucu ve püf noktası”, yani tehdit aktörlerinin ne yaptıkları, nasıl çalıştıkları gibi müşterilerimizin güvenliğini sağlamaya yardımcı olan bilgiler.
Yönetilen tespit ve müdahale söz konusu olduğunda tehdit istihbaratı, tespit ve müdahale ekibimizin çeşitli tehdit aktörlerinin nasıl çalıştığını ve bu bilgileri müşterilerimizi ihlallerden korumak için nasıl kullanabileceklerini anlamalarına yardımcı olan önemli bir bileşendir.
MDR’ın kullanıcıların nadiren gördüğü ancak kesinlikle kritik öneme sahip tüm arka planından yani buzdağının görünen kısmından biraz bahsettik. Bunu açıklayabilir misiniz?
Konsolunuzda ortaya çıkabilecek çeşitli uyarılar, bazen araştırmak istediğimiz uç nokta tespitleri olabilir. Ekibim, tüm yeni örneklerin ve tehditlerin müşteri ortamlarında ele alınmasını ve tespit edilmesini sağlamakla sorumludur. Dolayısıyla ekibin rolünün bir kısmı, tüm bu yeni eğilimlerin, tüm bu yeni örneklerin incelenmesini, araştırılmasını ve ardından müşterilerimizin tesislerinde tespit edilmesini sağlamaktır. Bu, en önemli hususlardan biridir.
E-suç, fidye yazılımı, APT grupları ve küresel kuruluşları hedef alan ulus devlet aktörleri hakkında tehdit istihbaratı verilerini düzenlemeye büyük özen gösteriyoruz. Araştırmacılarımız bu bilgileri kullanarak yeni ihlalleri geçmiş vakalarla ilişkilendiriyor.
Ayrıca ihlalin ciddiyetini de değerlendirirler ve saldırının arkasındaki amacın ne olabileceğini de belirleyebiliriz. Bu, müşteriye ne olabileceği, bir ihlal olup olmadığı ve hatta onları hedef alan belirli grubun kim olduğu konusunda tam bir görünüm sağlar.
MDR, mevcut ESET uç nokta korumasına ne gibi eklemeler yapar?
MDR daha özelleştirilmiştir ve müşteri ile olan ilişki iyileştirilmiş ve güçlendirilmiştir. Ancak ekibimin çıktısı tüm ürün setine dağıtılmıştır.
Son zamanlarda ESET özel raporları hakkında bazı tartışmalar yapıldı. Bu raporlar, çoğu küçük ve orta ölçekli işletmenin karşılaştığı sorunlarla ne kadar alakalı? Hedefli saldırılarla karşı karşıya mı? Peki ya ulus devlet aktörleri?
Tehdit profili kuruluştan kuruluşa değişir ve devlet aktörlerinin genellikle önceden tanımlanmış hedefleri vardır ve bu hedeflerle uyumlu kurbanları seçerler.
E-suçlar açısından bu çok geniştir. Bu, kitlesel hedeflemelerdir. Çok sayıda bilgi hırsızı görüyoruz. Çok sayıda fidye yazılımı da görüyoruz.
Bu nedenle, bizim rolümüz tüm bu grupların nasıl çalıştığını anlamak ve yeni teknikler geliştirdiklerinde çok hızlı hareket ederek tüm girişimleri engellemek.
Bu nihai hedefimizdir ancak aynı zamanda, bu tür şeyler yapan çok sayıda tehdit aktörü vardır ve çok daha fazla kötü amaçlı yazılım ailesi bulunmaktadır. Müşterilerin korunmasını sağlamak gerçekten günlük bir iştir. Kesinlikle iş sıkıntısı çekmiyoruz.
ESET’in güvenlik analistlerinden James Rodewald, üçgenleme kavramını kullanıyor: Sahada bir şey görmek, etkilenen bir müşteriden haber almak ve tehdit istihbarat ekibiyle görüşmek. Kullandığı bir örnek, FamousSparrow’un dâhil olduğu bir saldırı. Bunu kendi bakış açınızdan biraz daha ayrıntılı olarak anlatabilir misiniz?
Bu tür vakalarla fiilen ilgilenen kişilerle yakın ilişkiler kurmak önemlidir çünkü ekibimin ana görevi telemetriyi incelemektir, yani tüm uç noktalardan veri toplanır ve ilginç vakaları ve genel korumayı iyileştirmek için üzerinde çalışmamız gereken vakaları bulmaya çalışırız.
Ancak bazen MDR ekibi geçmişte gördüğümüz bir şeye rastlar ve bu da tehdit aktörünün gerçekte nasıl çalıştığını daha iyi anlamamızı sağlar.
Bu özel durumda, bu bizim için çok aydınlatıcı oldu çünkü bu tehdit aktörünü oldukça uzun bir süredir görmemiştik. MDR kullanan bir müşteriyi ilgilendiren bir vaka olduğunda, araştırma açısından daha iyidir çünkü müşteri ile daha yakın ilişki, onların altyapısı hakkında daha fazla bilgi sahibi olduğumuz anlamına gelir böylece onlara daha iyi yardımcı olabiliriz. Vakanın etkisini daha iyi anlayabiliriz. Bu bilgiler daha sonra diğer tehdit istihbaratı müşterilerine aktarılır, bu nedenle tüm bu ekiplere mümkün olduğunca yakın olmaya ve bu olayları birbirine bağlamaya çalışıyoruz. Böylece kapsamımızı genişletebilir ve tüm bu tehditleri daha iyi anlayabiliriz.
MDR analistleri ve D&R (Tespit ve Müdahale) ekibi ile çalışma ilişkilerinden bahsettiniz. Analistlerle ve belki de müşterilerle bu tür birebir ilişkileriniz olduğunda bu durum işinizi yapma şeklinizi ve tehditleri anlama şeklinizi nasıl değiştiriyor?
Bu her şeyi değiştirir çünkü MDR ile bu kuruluşun güvenlikten sorumlu kişiyle zaten bir çalışma ilişkimiz var, bu sayede saldırının kapsamını, tam olarak ne olduğunu, saldırganların neden orada olduğunu vb. çok hızlı bir şekilde anlayabiliriz.
Elimizdeki bilgiler, normal uç noktalarla elde edebileceğimiz bilgilerden kat kat daha fazladır. Bu nedenle, bu ilişki bizim için içgörü, görünürlük ve vakayı anlamamız açısından paha biçilmez bir değere sahiptir.
Geçen yıl Birleşik Krallık’ta, Jaguar Land Rover ve Marks & Spencer gibi büyük kuruluşları dış kaynaklı yardım masası hizmetleri aracılığıyla tehlikeye atan bir dizi saldırı yaşandı. Küçük ve orta ölçekli şirketler de tedarik zincirlerinin bir parçası olarak bu tür dış kaynaklı hizmetlere sahiptir ve genellikle büyük şirketlerin tedarik zincirlerinin daha az korunan kısımlarıdır. Endişelenmeleri gerekir mi?
Tedarik zinciri saldırılarının oluşturduğu risk önemlidir. Yıllar boyunca, tehdit aktörlerinin tedarik zincirindeki güvenlik açıklarını hedef aldığı ve genellikle daha az sıkı güvenlik önlemleri alan üçüncü taraf sağlayıcıları odak noktası hâline getirdiği çok sayıda belgelenmiş örnek vardır. Saldırganlar, bu tür sağlayıcıları tehlikeye atarak bir kuruluşun ağına ilk erişimi elde edebilir.
MDR ile ilgili olarak, sağladığı kapsamlı görünürlük, tüm tespit ve uyarıların kapsamlı bir görünümünü sağlayarak bir avantaj sunar. Bu özellik, küçük anomalileri bile daha etkili bir şekilde tespit etmemizi sağlar. Ekibimiz bu kuruluşları olası olaylar için sürekli olarak izlediğinden tehdit aktörlerinin ince hatalarını hızlı bir şekilde tespit edip bunlara yanıt verebiliyoruz.
Tedarik zinciri saldırıları, tüm üçüncü taraf kuruluşların güvenliğini sağlamanın zorluğu nedeniyle önemli zorluklar yaratır. Ancak etkili bir çözümün uygulanması, bu tür olaylara hızlı ve verimli bir şekilde tepki verme yeteneğimizi artırır.
Tehdit araştırma ekibinin başkanı olarak, MDR’ın müşteriler üzerindeki etkisini nasıl görüyorsunuz? MDR hizmetine sahip bir kuruluş ile henüz bu adımı atmamış bir kuruluş için etkisi ne olur?
Genel olarak, daha önce de belirttiğim gibi, MDR ile sürekli görünürlük çok daha fazladır. Kuruluşunuz bir kampanyadan etkilenirse saldırganların gerçekleştirdiği tüm farklı eylemleri bir araya getirmek ve ağınızda ne yaptıklarını anlamak için daha iyi araçlara sahip olursunuz.
Basitçe söylemek gerekirse MDR, saldırılar hakkında daha derin bir içgörü sağlar. Tehdit araştırması açısından bu en büyük avantajdır ve bu tür bir görünürlüğü değerli kılan bir diğer önemli neden de yanıt hızıdır. MDR ile araştırmacılar ve şirketiniz arasında zaten güvenli bir kanal vardır. Bu da ihlali hızlı bir şekilde kontrol altına alacak önlemleri adımları atabilecek birine ulaşmayı kolaylaştırır.
MDR’ı çok karmaşık veya pahalı bulan kuruluşlara ne dersiniz?
MDR, bir sigorta poliçesi gibi çalışır ve fidye yazılımı gibi tehditleri erken, genellikle büyük sorunlar ortaya çıkmadan önce tespit etmeye yardımcı olur. Saldırganlar genellikle ilk erişim aracılarını kullanarak sisteme girerler ancak önceden birkaç uyarı işareti tespit edilebilir. Fidye ödemek asla tavsiye edilmez ancak kurtarma süreci yine de işlerinizi aksatabilir. MDR, iş sürekliliğini destekler, böylece siz de temel hizmetlerinize odaklanmaya devam edebilirsiniz.
Teşekkürler!
Ölüm sonrası için dijital miras planlaması
