UÇ NOKTA GÜVENLİĞİNDE GİZLİ MALİYETLER

Fidye Yazılımı, Dosyasız Kötü Amaçlı Yazılımlar ve Diğer Gelişmiş Siber Tehditler Mevcut Uç Nokta Koruma Sistemlerine Hala Meydan Okuyor!

Yönetici Özeti

Uç nokta güvenliği söz konusu olduğunda CISO’lar çıkmaza düşerler. Çoğu, uç noktanın güvenliğinin bir noktada ihlal edileceğini varsayıyor ve bunda haklılar. Yakın zamanda CISO’larla yapılan bir ankette, katılımcıların %81’i son bir yıl içinde en az bir, %22’si ise beşten fazla izinsiz giriş yaşandığını bildirmiştir. Geleneksel anti-virüs çözümleri uç noktaları güvence altına almada yetersizdir; yani daha gelişmiş korumaya ihtiyaç duyulur.

Yeni nesil uç nokta tespit ve müdahale (EDR) çözümleri, algılama ve yanıt yetenekleri sunarak uç nokta güvenliğini iyileştirmekte, ancak aynı zamanda gizli maliyetler de doğurmaktadır. Yetersiz yanıt süreleri, firmayı fidye yazılımı ve hızlı hareket eden diğer tehditler nedeniyle riske maruz bırakmaktadır. Güvenlik personeli, sel gibi gelen uyarıları öncelik sırasına koymakla mücadele ederken, bu durum işyerindeki stres ve tehditlerin yanlış şekilde sınıflandırılması ihtimalini arttırmaktadır. İşletme sistemini ve tüm yazılımı silme ve kaldırma gibi manuel düzeltme çabaları, BT personelinin zamanını tüketip üretimin durmasına neden olmaktadır. Mevcut EDR çözümlerinin, CISO’ların uygun maliyetli, güvenilir uç nokta güvenliğini sağlamak için ihtiyaç duyduğu hız ve otomasyondan yoksun olduğu konusunda pek de şüphe yoktur.(1)

Korumanın Ötesinde

Son birkaç yılda uç nokta tehditleri karmaşıklaşıp geliştikçe, CISO’lar, sadece önlemeye odaklanan geleneksel uç nokta koruma platformlarının (EPP'ler) artık yeterli olmadığını fark ettiler. Önleme hiçbir zaman %100 etkili olamaz; gelişmiş tehditler, her zaman önleme esasına dayalı güvenlikten kaçıp kurtulacaktır. Kaçıp kurtulduklarında, tehditleri tespit etmek çok daha zordur. Yapılan bir çalışma, kuruluşların tehdit ağdan geçtikten sonra ihlali tespit etmelerinin altı aydan fazla sürdüğünü ortaya koymuştur.(3) Çoğu durumda, tehditler ancak önemli miktarda veri kaybından sonra tespit edilmektedir.

Ek olarak, saldırganlar uç nokta güvenliğini aşabilmek için daha karmaşık yollar geliştirmeye devam etmektedir. Siber suçlular, kuruluşun operasyonlarını bir dakikadan kısa sürede durdurabilecek fidye yazılımı gibi kötü amaçlı yazılımları iletmenin daha gizli yöntemlerine sahiptir. Örneğin, "living of the land" (LotL) atakları, AV çözümlerini kandırmak ve bilgisayarları etkilemek için yasal uygulamaları kullanmaktadır. Gelişmiş tehditler uç nokta güvenliğinden kurtulduktan sonra, maliyetli veri hırsızlığı, endüstriyel casusluk, üretim hatlarını ve çalışanlarını etkileyen kesintiler ve astronomik fidye talepleri gibi önemli hasarlara neden olurlar.

Uç Nota Güvenliği Yakınsaması

CISO'lar, tehditlerin belirli bir yüzdesinin her zaman güvenliği atlatacağını fark edip, kuruluşlarına sızan tehditleri tespit etme süresini kısaltmak için, EDR sistemlerini iş açısından kritik cihazlara kurarak uç nokta güvenliğini desteklemeye başladılar. EDR’ler, işlem enjeksiyonunu değiştirme, kayıt defteri anahtarlarını değiştirme veya güvenlik çözümlerini devre dışı bırakma girişimleri gibi bir tehdidin varlığına işaret edebilecek şüpheli davranışları tanımlamak için uç nokta olaylarını ve etkinliklerini izler. Bu yeni nesil EDR’ler, güvenlik analistlerinin olaylara hızlı yanıt vermesine ve bunları araştırmasına yardımcı olacak bilgiler sağlayabilir, ancak büyük ölçüde manuel işlemlere dayanır.

CISO’lar, bu tespit araçlarının uç nokta görünürlüklerini ve tehdit tespitlerini geliştirdiğini fark etmişlerdir. EDR araçları daha çok benimsendikçe, geleneksel EPP ve yeni nesil EDR birbirine yaklaşmaktadır. Şu anda, kurumsal CISO’lar, EPP çözümlerinin dosya tabanlı kötü amaçlı yazılım saldırılarını önleme, kötü amaçlı etkinlikleri tespit etme ve dinamik güvenlik olaylarına ve uyarılarına yanıt vermek için gereken araştırma ve iyileştirme yeteneklerini sağlama donanımına sahip olması gerektiği beklentisindeler.

Yeni Nesil EDR Çözümlerinin Gizli Maliyetleri

EDR çözümleri, uç nokta olaylarını kaydedip depolamak amacıyla ve olası güvenlik olaylarını belirlemek (veya uyarmak), tehditlere yanıt vermek ve adli soruşturmalara yardımcı olmak için davranışa dayalı algılamadan yararlanmak amacıyla tasarlanmıştır. Yakın zamanda yapılan bir araştırma, bir önceki yıla göre yüzde 11’lik bir artışla ankete katılan kuruluşların %47’sinin EDR yeteneklerine sahip olduğunu göstermektedir.

Yeni nesil EDR çözümleri şüphesiz uç nokta görünürlüğünü ve tehdit tespitini artırmış olsa da, bu iyileştirmeler beraberinde ek maliyetler getirmiştir ve bunların çoğu ilk bakışta görülememektedir.

Yetersiz yanıt süreleri

Yakın zamana kadar, yanıt süreleri ile, ortalama tespit süresi (MTTD) ve ortalama yanıt süresi (MTTR); günler, haftalar ve hatta aylarla ölçülüyordu. Bir kaynağa göre, 2019’da MTTD 206 gün, tespitten sonraki ortalama kontrol altına alma süresi (MTTC) ise 73 gündü.(4) Gelecekte ise, ciddi bir gelişme mümkün: Başka bir çalışmada, ihlallerin %62’sinin uç noktaya ulaştıktan sonraki 24 saat içinde tespit edilebileceği bulunmuştur.(5)

Birincil amacı veri hırsızlığı olan siber saldırılar söz konusu olduğunda, zaman sorunu yeni nesil EDR çözümlerinde bir şekilde yönetilebilir bir sorun olmaktadır. Bu tür saldırılar bilgi toplamak, ağın haritasını çıkarmak ve değerli varlıkların konumunu belirlemek için sinsice hareket eder; bu, haftalar sürebilen bir süreçtir. Pek çok CISO veri hırsızlığını önlemek için bu tür tehditlerle mücadele ederken, 24 saatlik, hatta birkaç günlük bir tespit ve yanıt süresinin yeterli olacağını düşünmektedir.

Buna karşılık, fidye yazılımı gibi diğer saldırıların amacı veri hırsızlığı değil sabotajdır. Bu hızlı hareket eden tehditler dakikalar ve hatta saniyeler içinde çalışır ve zaman çerçevesini önemli ölçüde azaltır. Örneğin, WannaCry fidye yazılımının dosyaları şifrelemesi ve küresel ölçekte yayılması yalnızca birkaç saniye sürmüştür; 24 saat gibi bir sürede 150 ülkeye ve 200.000’den fazla bilgisayara bulaşmıştır.6

Diğer bir örnek, fidye yazılımı kılığına girmiş ancak yıkıma neden olacak şekilde tasarlanmış bir siber silah olan NotPetya’dır. Saldırı, herhangi bir güvenlik ekibinin manuel olarak yanıt verip yeni nesil EDR çözümlerini kullanarak kontrol altına alabileceğinden çok daha hızlı gerçekleşmiştir.(7) Gerçek zamanlı engellemenin ötesindeki her şey, kuruluşun başarılı saldırı yaşama riskini artırır.

Üretim kesinti süresi

Güvenlik ekipleri güvenliği ihlal edilmiş bir uç nokta tespit ettiğinde, ilk adım tehdidi kontrol altına almaktır. Yeni nesil EDR araçları, saldırının yayılmasını ve veri kaybı yaşanmasını önlemek için genellikle uç noktayı karantinaya alır. Bu teknik, kontrol altına alma açısından etkilidir, ancak uç noktayı kullanıcı için kullanışsız hale getirir ve hatta üretim süreçlerini devre dışı bırakabilir. Güvenlik ekipleri, uç noktaları karantinaya almadan önce tehdidin gerçek olduğundan emin olmak için uyarıları manuel olarak öncelik sırasına koyarken genellikle önemli ölçüde zaman harcarlar.

Benzer şekilde, güvenlik analistleri, süreci devre dışı bırakma ve uç noktayı karantinaya alma gibi otomatik yanıtlar vaat eden uç nokta koruma araçlarına şüpheyle yaklaşmaktadırlar. Uyarının yanlış olduğu ortaya çıkarsa, otomatik çözümler, üretim hattını devre dışı bırakan bir karantinayı hala uygulayabilir; bu, maliyetli ve utanç verici bir hatadır.

İyileştirme aşaması sırasında, çoğu BT kuruluşu, temizlemede kalıcılık sorunu olan ve bu yeniden virüs bulaşması riski taşıyan geleneksel anti-virüs araçlarına güvenmediklerinden, virüslü cihazın işletim sistemini ve tüm yazılımını silmeyi ve kaldırmayı tercih etmektedir. Dahası, güvenlik uzmanlarının %97’si işletim sistemini ve tüm yazılımını silmeyi ve kaldırma sürecine güvendiklerini söylemektedir.(10) Ancak işletim sistemini ve tüm yazılımını silip kaldırmak manuel ve zaman alıcıdır; kuruluşların sadece %10’undan daha azında uç nokta düzeltmesi için tam otomatik bir süreç bulunmaktadır ve bu, düzeltme sırasında cihazın çevrimdışı olmasını gerektirmektedir.(11)

Kuruluşun BT cephesine bakıldığında, bilgi çalışanları işlerini yapmak için kişisel bilgisayarlarına güvenirler. Düzeltme amacıyla dizüstü ve masaüstü bilgisayarlarının ellerinden alınması üretkenliklerini engeller. Dahası, birçok kuruluş, önemli kesinti sürelerini önlemek için virüslü cihazı temiz bir cihazla değiştirir. Kurumun operasyonel teknoloji (OT) cephesinde ise durum tamamen farklıdır. Kritik bir kontrol sisteminin veya üretim makinesinin devreden çıkarılması, tüm üretim hattını devre dışı bırakabilir ve bu da siparişleri karşılamada gecikmeler yaşanması, gelir kaybı yaşanması ve hattı yeniden devreye almak içi teknisyenlerin çalıştırılması gibi ciddi maliyetlere neden olabilir.

Yanlış Alarmlar

Tasarım gereği, EDR sistemleri çok sayıda uyarı veya gösterge üretir; kötü niyetli olanları zararsız olanlardan ayırmak için bunların manuel olarak öncelik sıralamasına konması gerekir. Bu faaliyet, güvenlik ekipleri için önemli bir üretkenlik düşüşü demektir ve saldırı simülasyon testleri ve olaymüdahale prosedürleri gibi kuruluşun güvenlik olgunluğunu artıran faaliyetlerden zaman çalar. Ayrıca, saldırıların hacmi artmaya devam ettikçe, özellikle de aşağıda tartışılan yetenek eksiklikleri dikkate alındığında, manuel öncelik sıralamasının ölçeklendirilmesi zordur. Yüksek düzeydeki yanlış alarmlar, uyarı kirliliğine yol açabilir ve bu da analistlerin yanlış tespit edilen tehdit kirliliği içinde gerçek olanları gözden kaçırmasına neden olabilir.

Bir dizi yanlış alarmla karşı karşıya kalan birçok kuruluş haklı olarak eski güvenlik araçlarını, sorun giderme ve tehditleri giderme gibi kritik görevler için uygun olmayan kör araçlar olarak görmektedir. Bunun yerine, kişisel bilgisayarlarındaki işletim sistemini ve tüm yazılımı silme ve kaldırma ve cihazları karantinaya alma gibi daha acımasız önlemleri tercih etmektedir. BT yöneticileri genellikle bu eylemlerin daha güvenli olduğunu düşünürler, ancak daha önce de açıklandığı gibi bu eylemler iş operasyonlarını sekteye uğratabilirler.

Yetenek Açığı

Etkili bir olay algılama ve müdahale stratejisi tasarlamak ve yürütmek, yetenekli güvenlik uzmanları gerektirir. Ancak bu, güvenlik becerilerindeki açık nedeniyle zordur. Yalnızca ABD’de, siber güvenlik işgücü açığı, yani açık pozisyonların sayısı yaklaşık 500.000’dir.(12) Sadece işletmelerin mevcut ihtiyaçlarını karşılamak için, siber güvenlik işgücünün %62 oranında büyümesi gerekmektedir.(13)

Siber güvenlik becerileri konusunda yaşanan bu sıkıntılar, CISO’lar için önemli bir endişe kaynağıdır. Gerçekten de, yakın tarihte yapılan bir ankette, CISO’ların yarısından fazlası, siber güvenlik becerilerindeki açığın en büyük güvenlik sorunu olduğunu belirtmiştir.(14)

Güvenlik becerileri eksikliğinin bir sonucu olarak, CISO’lar kazanma ihtimalinin olmadığı bir durumla karşı karşıyadır. Kilit pozisyonları hızlı bir şekilde dolduramazlarsa, bu boşluklar uç nokta güvenliğini zayıflatıp mevcut personelin işyerinde yaşadığı stresi arttıracaktır. Öte yandan, deneyimsiz adayların işe alınması, kritik güvenlik güncellemelerinin dengesiz bir şekilde dağıtılması ve çok sayıda yanlış pozitif üreten yanlış yapılandırmalar gibi maliyetli hatalara yol açabilir

Sonuç

Eski uç nokta güvenlik çözümleri, büyük ölçüde önlemeye dayanır ya da gerçek zamanlı yanıt olmaksızın tespit imkanı sunar. Bu, artık gelişmiş tehditlerle dolu bir ortamının zorluklarının üstesinden gelmek için yeterli değildir. Gelişmiş tehdit ortamının ele alınması gittikçe zorlaşmaktadır. Siber saldırıların karmaşıklığı ve hızı, ayak uyduramayan geleneksel uç nokta güvenlik yaklaşımlarını alt etmektedir.

İhtiyaç duyulan becerilere sahip güvenlik profesyonellerini belirlemek, işe almak ve elde tutmak güvenlik liderleri için bir mücadele olduğundan, korumasız güvenlik açıklarını doldurmak da bir o kadar zordur. Mevcut güvenlik ekipleri, tehdit uyarılarının ve bunlarla ilişkili yanlış pozitiflerin çoğalması nedeniyle zaten bunalmış durumdalardır. Adeta felç olurlar ve bunun sonucunda, güvenlik sistemlerinin oluşturduğu devasa boyuttaki tehdit istihbaratını gözden geçiremezler.

KAYNAK: www.exclusive-networks.com

  1. “The CISO and Cybersecurity: A Report on Current Priorities and Challenges,”Fortinet, 26 Nisan 2019.
  2. “2019 Cost of a Data Breach Report,” Ponemon Institute, erişim tarihi: 4 Şubat 2020.
  3. Aynı kaynakta.
  4. Aynı kaynakta.
  5. Justin Henderson ve John Hubbard, “2019 SANS Survey on Next-Generation Endpoint Risks and Protections,” SANS Institute, 2 Aralık 2019.
  6. Elizabeth Dwoskin ve Karla Adam “More than 150 countries affected by massive cyberattack, Europol says,” The Washington Post, 14 Mayıs 2017.
  7. Mohit Kumar, “TSMC Chip Maker Blames WannaCry Malware for Production Halt,” The Hacker News, 7 Ağustos 2018.
  8. Andy Greenberg “The Untold Story of NotPetya, the Most Devastating Cyberattack in History,” WIRED, 22 Ağustos 2018.
  9. Justin Henderson ve John Hubbard, “2019 SANS Survey on Next-Generation Endpoint Risks and Protections,” SANS Institute, 2 Aralık 2019.
  10. Aynı kaynakta.
  11. Aynı kaynakta.
  12. “Strategies for Building and Growing Strong Cybersecurity Teams: (ISC)2 Cybersecurity Workforce Study, 2019,” (ISC)2, 2019.
  13. Aynı kaynakta.
  14. Jon Oltsik, “Is the Cybersecurity Skills Shortage Getting Worse?” ESG, 10 Mayıs 2019.
  15. "Strategies for Building and Growing Strong Cybersecurity Teams: (ISC)2 Cybersecurity Workforce Study, 2019,” (ISC)2, 2019.