Uç nokta tespit ve müdahale konusunda doğru adımla başlamanın yolunu mu arıyorsunuz? Sistemlerinizde şeffaflığa öncelik verin.
Uç nokta tespit ve müdahale (EDR) çözümü benimsemeyi düşünen kuruluşlar için MITRE Engenuity’nin en yeni ATT&CK® Değerlendirmesi, olası bir EDR aracının gelişmiş tehditlerin karşısında nasıl durduğuna dair eşsiz bir bakış açısı sağlıyor. MITRE Engenuity ekibinin çalışması en karmaşık düşmanlar olan gelişmiş sürekli tehdit (APT) grupları tarafından kullanıldığı belgelenen taktik ve teknikleri kapsamlı bir şekilde taklit etmesiyle göze çarpıyor.
Sahne ışıklarını APT gruplarının kullandığı tekniklere çevirmek, bazı kuruluşların güvenlik stratejisi açısından anlamlı olsa da, bu bilgiden tam olarak yararlanabilmek, çok fazla kuruluşun sahip ya da hazır olmadığı düzeyde bir olgunluk ya da özellikle bu göreve atanmış, yeterli ölçüde eğitimli kurum içi BT personeli gerektiriyor. Birçok kuruluş açısından acı gerçek şu ki, sadece bir ya da iki BT yöneticileri var ve bunlar da, diğer birçok sorumluluklarıyla birlikte güvenliği yarı zamanlı olarak yönetiyorlar. Bu, APT gruplarına odaklanan bir değerlendirmeyi, böylesi eğitimli bir güvenlik personeli olmayan kuruluşlar açısından bir bakıma dar bir odak noktası haline getiriyor olabilir.
Ancak, APT grupları en kolay hedeflerini hazırlıksız kuruluşlar arasında buldukları için taklit edilen teknikler en yaygın tehditlere karşı bile koruma sağlamak için bulunması gereken güvenlik uygulamalarına (en temel yapılandırmalar ve ilkelerden, gelişmiş ince ayarlar ve optimizasyona kadar) değiniyor. Bu gibi kuruluşlar EDR’yi ilk kullandıklarında, güvenlik uygulamasının endüstri standartlarının gerisinde kaldığını fark edebilirler. Bu şekilde, güvenlik konusundaki açıkları kapatmaya başlamak adına, ATT&CK Değerlendirmeleri ve EDR daha az olgun kuruluşlara bile eyleme geçirilebilir bilgiler sağlayabilir.
Sağlam bir EDR çözümü uç noktalara yönelik şeffaflıkla başlar.
İyileştirilmiş güvenlik için EDR’den yararlanmak, mevcut sistemlerinize ilave ettiğiniz bir eklenti değildir. Hem şeffaflığa, hem de temel düzeyde korumaya dayalı olduğu için EDR doğrudan uç nokta güvenliği üzerine inşa edilir. Uç nokta güvenlik ürününün takip ettiği düşük düzeyli olaylar arasında, bir EDR aracının analiz edip bir güvenlik savunucusuna sundukları da yer alır.
EDR’nin uç nokta güvenliğinden ayrıldığı nokta, olayların ardında işleyen analitik mantığa dair şeffaflık düzeyidir. Uç nokta güvenlik ürünleri için bu neredeyse kapalı bir kutudur. Evet, risk almak konusunda isteksizlerse BT yöneticilerinin tespit hassasiyetini artırmak ya da kendilerine özgü ortamlara uyacak istisnalar oluşturmak için bazı yapılandırma seçenekleri olmalıdır. Ama tespit teknolojilerinin kendileri de tescilli bilgileri kullanır ve olayları analiz etmek ve koruma kararları almak için sizden güvenmenizi isterler.
ESET’in ilkesi, EDR ile birlikte analitik mantığı açık bir kitap haline getirmektir. Toplanan olaylara uygulanan yerleşik kural seti, bu olayların manuel olarak analiz edilmesinde aktif bir rol alabilmeleri ve neyin bir tehdit teşkil ettiği ve etmediği ile ilgili kararlara katılabilmeleri için güvenlik savunucularının görev alanına da açıktır. Bir uç nokta güvenlik yazılımını olduğu kadar bir EDR çözümünü tanımlaması gereken önemli eylem, koruma kararlarınızı en iyi bilgilendirebilecek şekilde, ortamınızın güvenlik durumuna ilişkin dengeli ve odaklanmış bir bakış açısı sağlamaktır.
Uç nokta koruma platformu tasarlamak dengeleyici bir eylemdir
Güvenlik uzun zamandır şeffaflığa güçlü bir şekilde bağımlıdır ama bu bağımlılık rastgele değildir. Sürekli olarak her unsuru tarayan bir uç nokta güvenlik ürünü ya da her unsur ile ilgili alarm veren bir EDR çözümü tasarlamak kullanılabilirlik, performans, verimlilik ve bir güvenlik ürününün sahip olması gereken diğer amaçların aleyhine çalışır. En etkili güvenlik çözümleri elbette uç noktalarda olup biten bir sürü düşük düzeyli etkinliği taramalıdır, ama bu işlemi önceliklendirme olmadan yapmamalıdır.
Hangi uygulama programlama arabirimlerinin (API’ler) taranacağı, hangi davranışların şüpheli ve kesinlikle kötü amaçlı kabul edileceği, şüpheli olaylar zinciri için eşiğe ne zaman ulaşılacağı ve artık buna izin verilmeyeceği, yanlış teşhislerden nasıl kaçınılacağı, performans üzerindeki etkinin nerede en aza indirgeneceği ve benzeri konularda dikkatli tasarım kararları alınmalıdır. Bu tercihler bir ürünün hangi koruma katmanlarını sunacağı, her katmanda hangi tespit teknolojisi türlerinin kullanılacağı ve sonunda da, kötü amaçlı etkinliğin ne zaman işaretlenip ilerlediği yolda durdurulacağını doğrudan etkiler.
Bir EDR kural seti tasarlarken, bir uç noktadaki tüm olayları, en azından üzerinde dağıtılan uç nokta güvenlik yazılımına görülebilir olanları takip edebilirsiniz. Ancak bu sadece EDR olaylar veri tabanınızın muazzam miktarda veri ile dolup taşmasına yol açmakla kalmaz, aynı zamanda, güvenlik muhafızlarının incelemeleri gereken ve bir saldırının göstergesi olabilecek olayları önceliklendirme konusunda başarısız olunmasına da neden olacaktır.
Carbanak ve FIN7 ATT&CK Değerlendirmesi’nde uç nokta korumasının test edilmesi
Bu tasarım seçeneklerinin etkisi, Carbanak ve FIN7 APT gruplarını taklit eden en son ATT&CK Değerlendirmesinin koruma senaryosunda anlatılmaktadır. Örneğin Test 12’de, ESET Endpoint Security samcat.exe’yi karantinaya alarak saldırının hemen ilk adımında karşılık verdi; çünkü bu açık kaynaklı bir parola dökümü aracı olan Mimikatz olarak saptandı.
Buna karşılık, Test 15’te ESET Endpoint Security, bir rundll32.exe işlemini, sızma testlerinde sıkça kullanılan ters kabuk olan Meterpreter olarak saptadığı sondan bir önceki adımda, saldırıyı engelledi. Diğer satıcılar saldırıyı aynı zamanda ya da önceki bir adımda engelledi ya da saldırıda kullanılan tekniklerden herhangi birini tespit etmedi.
Açıkçası, koruma testleri mevcut uç nokta güvenliği çözümlerinde, belirli saldırıları tespit etmeyen ve engellemeyen birkaç boşluk olduğunu ortaya koydu. Ama daha da önemlisi, çeşitli saldırıların engellendiği çok fazla sayıda farklı aşama olduğunu da gösterdi. Tepkilerdeki bu çeşitlilik, büyük ölçüde söz konusu olan uç nokta güvenlik ürünlerinde alınan tasarım kararlarının sonucunda ortaya çıkmaktadır.
EDR ile uç noktaları açık kitap haline getirme
Uç nokta koruması tarafından sağlanan “otomatik” güvenliğin basitçe daha fazla olgunlaşmanıza yeterli olmadığı bir eşik vardır. Uç nokta güvenliği tek başına, sizden otomatik bir tür güvenli sağlayacağı konusunda onda güvenmenizi istemesi anlamında sınırlıdır ve bu güvenliğe yönelik bir tür ayarla ve unut (siz yine de çok fazla unutmayın!) yaklaşımıdır.
Baz tehditler böyle otomatik izleme ve tespit kategorilerine direnirler; çünkü her siber tehdidin ardında yanlış kullanılmış olsa da, insan zekasının etkisi yatar. Ve söz konusu insan zekası bazen öyle bir tuhaf, hedefe yönelik ya da sinsi bir saldırı tasarlar ki, bunu çok fazla hasara yol açmadan önce, sadece bir başka insan zekası (bir güvenlik savunucusu) fark edebilir.
Bir EDR aracını ustaca kullanarak güvenlik muhafızları, uç noktalar tarafından oluşturulan ve uç nokta güvenlik ürünleri tarafından talip edilen düşük düzeyli olaylara göz atma gücüne sahip olurlar. Ortamları ile aşina olması ve doğru olay filtrelerinin bulunmasıyla güçlenen savunucularınız, bir saldırının başladığı adımdan tamamlandığı adıma kadar tüm adım dizisine odaklanabilir ve bunu yeniden oluşturabilir.
Carbanak ve FIN7 ATT&CK Değerlendirmesi’nde uç nokta koruma ve tepkinin test edilmesi
Carbanak ve FIN7 ATT&CK Değerlendirmesi’nin koruma senaryosu uç nokta korumasını değerlendirse de, tespit senaryoları uç nokta tespit ve müdahalesini teste tabi tutar. ESET’in EDR aracı – ESET Enterprise Inspector – saldırı senaryolarındaki adımların %100’ünü ve alt adımların %91’ini algıladı.ESET CTO’suJuraj Malcho’nun Know your enemy: MITRE Engenuity’s ATT&CK® Evaluations show the need for balanced approach to EDR use (Düşmanınızı tanıyın: MITRE Engenuity’nin ATT&CK® Değerlendirmeleri, EDR kullanımına yönelik dengeli yaklaşım ihtiyacını gösteriyor) başlıklı blog yazısında ESET Enterprise Inspector’un değerlendirmede nasıl başarılı olduğuna ilişkin düşüncelerini okuyabilirsiniz.
Yine de, APT gruplarıyla karşılaşmaya hazır olmayan kuruluşların böyle bir değerlendirmeye bakarken asıl dikkat etmeleri gereken husus, bunun güvenlik olgunluklarını geliştirmelerine nasıl yardımcı olabileceğidir. Sonuçta, güvenlik mühendislerinin önemli amaçlarından biri de, kuruluşlarının kullandıkları sistemleri tanımak ve korumayı buna uygun olarak önceliklendirmektir. Bu her zaman mevcut olması gereken temel güvenlik uygulamalarına ilavedir. EDR’den yararlanmak, güvenlik duruşunuzda olgunlaşabilmeniz için ortamınıza dair gizli bilgileri edinmekle ilgilidir ve bu APT saldırıları avlamak için bir ön koşuldur.
ESET Enterprise Inspector’ın değerlendirme sonuçlarının da gösterdiği gibi, ESET’in EDR aracı yüksek seviyede şeffaflık sağlıyor. Yine de, şeffaflık önemli bir güvenlik bileşeni olsa da, bu sadece başlangıçtır. Sistemlerini ve EDR araçlarını tanıma ve bunu ortamlarına en uygun olacak şekilde ayarlamak yükümlülüğü, güvenlik savunucularına ait olmaya devam ediyor.
Aslında, birçok kuruluş EDR çözümlerini ilk kez kurduktan sonra bir sürpriz yaşayabilirler. BT ekibiniz çalışanlara makinelerinde yerel yönetici hesapları mı ayarlıyor ya da onlara ihtiyaçları olmayan şirket kaynaklarına ya da muhtemelen güvenli olmayan uygulamalara serbest erişim izni mi veriyor? Uzaktan izleme ve yönetim (RMM) araçları, uzak masaüstü protokolü (RDP), TeamViewer ya da VNC gibi araçlarla ağınıza uzaktan erişimi koruma altına aldınız mı? Bir EDR aracı ile sağlanan şeffaflık, şu ana kadar gözden kaçırılan riskli uygulamalar ve alışkanlıklardan bazılarını ortaya çıkarabilir.
EDR’nizi yönetmek için gerekli kapasiteniz ya da zamanınız mı yok?
En azından temel düzeyde olmak üzere, en iyi güvenlik uygulaması iyi bilinen bir oyun kitabıdır ama birçok kuruluş, yine güvenlik sorumluluğunu yarı zamanlı üstlenen bir ya da iki yönetici gibi, kapasite eksikliği kadar basit engellere bağlı olarak oyunlarda ustalaşamamaktadır. EDR’nin benimsenmesinin ardındaki mantık olarak açıklanan şey (APT saldırılarına dair şeffaflık), bu tür bir düşmanla mücadele etmek için belirli bir düzeyde güvenlik olgunluğu olduğunu varsayar.
Bazı kuruluşlar için bir diğer zorluk da, güvenliğin temel iş modelinin dışında kaldığı durumlardır. Bu gibi durumlarda, bu kuruluşlar güvenlik sorumluluğunu yönetilen hizmetler sağlayıcısına devreder ve güvenlik olgunluğu seviyesini büyük ölçüde yatırım, güven ve üçüncü şahıs sağlayıcının deneyimi ve müşterilerinin altyapı ve tehdit modellerini anlama becerisi düzeylerine bağlı hale getirir. EDR’nin kullanım senaryosu için gerçekten iyi bir seçenek olduğu durumlarda, APT gruplarına odaklanmak, eksiksiz güvenlik ekipleri istihdam etmek için gerekli bütçeye ve düzenleme dürtülerine sahip bankalar gibi çok olgun kuruluşların ellerindedir.
Sonuç
Her geçen gün daha fazla sayıda kuruluş EDR’yi satıcılar, analistler tarafından ve özellikle de ATT&CK Değerlendirmeleri’nde yaygın bir şekilde açıklandığı şekilde incelerken, EDR’ye giriş düzeyi güvenlik olgunluğuyla bile birlikte yaklaşmanın avantajlarını göz önünde bulundurmalıdır. Basitçe ifade etmek gerekirse, EDR’ye geçiş hamlesi BT yöneticilerinizi daha iyi güvenlik uygulamaları konusunda eğitmeye başlarsa yatırım muhtemelen bu çabaya değecek demektir. Sonuçta, ister sorunlarla delik deşik olmuş bir güvenlik uygulaması geçmişinden, ister ihmalden, ister cehaletten kaynaklansın, kuruluşunuzu harekete geçirmek için EDR çözümünde uyarılar verilmesi gerekse bile, kötü alışkanlıklardan kurtulunmuş olur.
MITRE Engenuity değerlendiricileri tarafından tercih ve taklit edilen APT grupları için bir şeyler söylemek gerekirse, her biri güvenlik personelinin hem olgun harici düşmanlar hem de kendi kuruluşlarının güvenlik duruşunun neden olduğu bileşik riskleri anlamak için cazip bir yer olarak duruyor.