Bir süredir Hizmet Olarak Yazılım (SaaS) modelleriyle çalışmamızla birlikte, artık tüm altyapıları (IaaS) ve platformları (PaaS) da sunabilmek adına benzer projeler bizim için daha ilgi çekici olmaya başladı. Bu yaklaşımın dünyada çapındaki kuruluşlar açısından iyi bir doğrultu olduğuna inanıyoruz; anahtar teslim bir çözüm kullanmak, işletmelerin temel görevlerine daha fazla odaklanabilmelerini sağlıyor. Ancak, kurumsal düzeydeki şirketlere Hizmet Olarak Güvenlik modeli kapsamında tam anlamıyla entegre bir koruma sağlamak mümkün mü?
Anahtar teslim koruma anlayışımız
Bu soruyu cevaplayabilmek için öncelikle tam entegre koruma ifadesiyle ne kastettiğimizi açıklamalıyız. Bu ifade, işletmelerden bahsediyorsak tehdit müdahalesinin tüm aşamalarında altyapının korunması anlamına gelir:
- Uç noktalarda uç nokta çözümlerini kullanarak, olay önleme aşamasında;
İstemci tarafından güvenlik çözümlerinden güvenlik operasyonları merkezine (SOC) geçen verileri izleyerek ve analiz ederek, tehdit algılama aşamasında; - Yeni tehditler hakkındaki hipotezleri test etmeyi ve yeni güvenlik ihlali ve saldırı göstergeleri (IoC’/IoA) için geçmiş verilerin geriye dönük taranmalarını içeren tehdit arama aşamasında;
- SOC ekibinin belirli bir şüpheli olayın gerçek bir tehdit mi, doğru bir eylem mi (yanlış alarm) olduğunu belirlediği tehdit doğrulama aşamasında;
- Saldırı zincirini yeniden oluşturup çözüm önerileri sunarken, olaya müdahale aşamasında.
- Uç Nokta Koruma Platformu ve Uç Nokta Tespiti ve Müdahale (EDR) sınıfı çözümleri, ilk aşamayı otomatik modda gerçekleştirir. Sonraki tüm aşamalar için SOC uzmanlarının sürece katılımı kritik önem taşır. Bununla birlikte, her işletme kurum içerisinde çalışacak bir SOC ekibini karşılayamaz.
SOC ekibine sahip olmayan şirketlerin durumu ne olacak?
Kurum içi bir SOC ekibine sahip olmak, kapsamlı korumaya sahip olmak için gerekli bir koşul değildir. Aslına bakılırsa, Gartner Peer Insights platformunda Uç Nokta Koruma tipi platformlar ile (SOC’nin mevcut olduğunu varsayan) EDR sınıfı çözümler için yapılan yorumların sayısı karşılaştırılarak elde edilen verilerde, büyük ölçekli şirketlerin büyük çoğunluğunda bir SOC ekibi bulunmadığı, yalnızca %20’sinin kurum içinde çalışan bir SOC ekibine sahip olduğu görülmüştür.
Peki geriye kalan %80’lik bölüm SOC işlemlerini nasıl yürütüyor? Çoğu için akılcı olan seçenek, güvenlik işlevlerini bir başkasına devretmektir. Söz konusu işlemler, yönetilen bir güvenlik hizmeti sağlayıcısı (MSSP) veya (bizim durumumuzda olduğu gibi) esas olarak MSSP işlevlerinin bir kısmını ele alan bir güvenlik çözümü tedarikçisinin yürüttüğü, tehditleri arama, değerlendirme, teyit etme ve olaylara müdahale amaçlı yapılan uzman çalışmaları tarafından gerçekleştirilebilir.
Bu yaklaşım kapsamında, müşteriler sıradan EDR’ye kıyasla çok daha geniş bir işlevsellik barındıran dizi çözüme sahip olurlar. Söz konusu işlevsellik kapsamında, hem ağ trafiğinde gerçekleşen anormallikleri (Ağ Tespiti ve Müdahale, NDR) analiz ederek tehdit algılamayı hem de olaya ilişkin bilgilerin uzmanlar tarafından yorumlanması (Yönetilen Tespit ve Müdahale, MDR) seçeneği yer alır. Sahip olduğumuz SOC hizmeti, uzmanların dünya çapındaki olaylar ve yeni tehditler hakkındaki bilgilere hızlı bir şekilde erişebilmeleri bakımından benzersizdir. Tehdit tespiti ve müdahale süreçleri (EDR + NDR = XDR) hâlihazırda oldukça iyi bir şekilde otomatikleştirilmiş olsa da, bu alanı sürekli olarak geliştiriyoruz ve gelecekte daha da güçlendirmeyi planlıyoruz.
ATT&CK Evaluation metodolojisi, sunduğumuz yaklaşımın etkinliğini kanıtladı. Yaklaşımın kendine özgü doğası dolayısıyla, MITRE ATT&CK Evaluation Round 2 çözümün özellikle tespit yeteneklerine odaklandı. Bu nedenle, SOC uzmanlarımızın benzersiz bir şekilde yetenekli olduğu olay müdahalesi, önleme ve tehdit avcılığı gibi diğer yönler kasıtlı olarak kapsam dışı bırakılmıştır.
EDR çözümlerimiz, kendilerini hem şirket içi hem de dış kaynak kullanımlı SOC’ler arasında güvenilirlik ve uygunluk açısından kanıtlanmıştır. Yukarıda belirtilen Gartner Peer Insights portalına göre, Kaspersky Anti Targeted Attack çözümümüz ilk 3’te yer almaktadır ve Uç Nokta Tespiti ve Müdahalesinde Müşterilerin Tercihi olarak kabul edilmiştir. Çözümümüz hakkında yorumda bulunmak için zaman ayıran tüm müşterilerimize teşekkür ederiz.
Özetle, müşterinin tercih ettiği araç setinin otomasyon derecesini seçebilme ve anahtar teslim çözümlerini ek özelliklerle yükseltebilme opsiyonuna sahip olması koşuluyla. bilgi güvenliğinin geleceğinin şüphesiz şekilde Hizmet Olarak Güvenlik’te olduğuna inanıyorum.