Siber güvenlik: Yanlış pozitif diye bir şey yoktur

Tüm uyarılar, bir çalışanın daha fazla eğitime ihtiyacı olsa bile bir anlam ifade eder. İhlal tehdidi sabittir ve uyarılar hakkında varsayımlarda bulunan şirketlerin başı büyük belada olabilir.

<a href="https://www.techrepublic.com/a/hub/i/r/2021/06/02/a4cad0b1-c40f-403e-be22-688969084e88/resize/770x/ecbc97634b2469d827284971b747a8bd/cybersecurity.jpg" hedef ="_blank" data-component="modalEnlargeImage" data-headline="

" data-credit="Resim: kerly chonglor/Shutterstock">Siber güvenlik konsepti

Resim: kerly chonglor/Shutterstock

Güvenlik alanındaki yanlış pozitifler konusu, son zamanlarda sıkıntılı bir sistem yöneticisi olarak aklımda olan bir konu. Yanlış pozitif, aslında sorun olmayan, bilinen bir sorun olan veya göründüğü kadar büyük bir tehdit olmayan bir sorun hakkında uyarı verilmesini gerektirir.

GÖRMEK: Güvenlik olayı yanıt politikası (TechRepublic Premium)

Örneğin, birinin üretim sunucusuna root olarak giriş yaptığına dair bir uyarı aldım, bu yasak. Tüm komutların ve eylemlerin izlenebilmesi ve her bir kişiyle ilişkilendirilebilmesi için tüm kullanıcılar bu erişim için benzersiz hesaplara güvenmelidir. İlgili IP adresini kontrol ettim, bir iş arkadaşım olduğunu buldum Dave'i arayacağım ve onunla konuştum ve kendi hesabının o sunucuda kilitli olduğunu öğrenmek için onunla konuştum, bu yüzden kilidini açmak için root olarak giriş yapması ve ardından hemen oturumu kapatması gerekiyordu.

Yanlış pozitiflerle ilgili sorun, olan bitenin önemli olmadığını varsayarak BT veya güvenlik personelini memnun etmekle kalmaz, aynı zamanda küçük balıkları çok az veya hiç amaçsızca kovalamanızı sağlayarak sizi gerçek tehditlerden uzaklaştırabilir. Bir sonraki kök oturum açma uyarısını, "Dave yine iş başında, önemli değil!" diyerek görmezden gelemem.

Çözümün Zen tabanlı bir yaklaşımı var: Nerede olursa olsun tüm tehditlere eşit davranın. Bir test sisteminden gelen bu uyarı önemsiz görünebilir, ancak aynı test sistemi, güvenliği ihlal edilirse, potansiyel olarak bir saldırganın bundan üretime geri dönmesine izin verebilir.

Siber güvenlik çözümleri sağlayıcısı Huntress'te kıdemli güvenlik araştırmacısı olan John Hammond ile yanlış pozitifler hakkında konuştum.

Hammond bana şunları söyledi: "Geçen yıl pek çok kuruluş için bir uyanış çağrısıydı. Hızlı uzaktan çalışmaya geçiş sırasında evde daha fazla üretkenlik sağlamak için bir yara bandı yaklaşımı olarak uzak masaüstü protokolünü internete açma konusunda birçok sorun gördük. İşin güzel yanı, güvenlik araçlarını etkili bir şekilde kullanma konusunda nüanslı konuşmaları gün yüzüne çıkarmış olması. Küçük işletmelerde ve katma değerli bayi topluluklarında yükselen bir dalga görüyoruz. Güvenlik kaynakları ve eğitim söz konusu olduğunda daha fazla ilgiye ihtiyaç duymalarına rağmen, işletmeler ' t bağışıklık da."

GÖRMEK: Parolalar nasıl yönetilir: En iyi uygulamalar ve güvenlik ipuçları (ücretsiz PDF) (Teknoloji Cumhuriyeti)

Hammond, "Güvenlik araçlarını değerlendirirken, kuruluşlar yanlış pozitifler/negatifler için gösterge tablolarına her zamankinden daha fazla bakmalılar," diye devam etti. "2021'de gerçekten mükemmel araçlar veya yanlış pozitif diye bir şey yok. Güvenlik aracınız sizi uyarıyorsa, bunun bir nedeni var. Güvenlik kontrolleri, onları satın aldığınızda ayarlanmayacağı için kuruluşların yapması gerekecek. güvenlik ve iş ihtiyaçlarını karşılamak için bunları nasıl ayarlayacağınızı ve değiştireceğinizi öğrenin."

Scott Matteson: 2020'de şirketler arasında rahat güvenlikle ilgili ne tür sorunlar gördük?

John Hammond: Pandemi sırasında uzaktan çalışmaya devam eden geçişle birlikte, şirketler çalışanların kurumsal ağa erişmesine nasıl izin verileceği konusunda endişelenirken, RDP çok sık internete açılıyor. Halka açık RDP kötü bir hareket, ancak ne yazık ki birçok işletme ve organizasyonun ani tepkisi oldu.

Scott Matteson: Aynı şeyi ilk elden gördüm ve çoğu durumda, uyarılan başarısız RDP oturum açmalarının, gerçek saldırganlar yerine parolalarını sert parmaklarla kullanan meşru kullanıcılar olduğu varsayıldı. Bu tür varsayımlar çok tehlikelidir. Bunun arkasındaki mantık neydi?

John Hammond: Doğru çözüm bir VPN hizmetinden yararlanmak olsa da, bazı şirketler hızlı düzeltme yolunu seçiyor ve kötü niyetli kişilerin de bir yol bulabileceği anlamına gelse bile, çalışanlar için bazı hizmetlere uzaktan erişilebilirlik açıyor. Tehdit aktörleri aktif olarak yararlanmak için bu gibi durumları aradıkları için bandaj takmak uzun vadeli etkileri iyileştirmeyecektir.

Scott Matteson: Daha iyi ne yapılabilirdi?

John Hammond: Belki de hatırlanması gereken en basit şey (genellikle ihmal edilir), en az ayrıcalık ilkesi ve yalnızca belirli seviyelerdeki çalışanların en hassas bilgilere erişmesini sağlamak için erişim kontrolleri ilkesidir. Güvenlik kontrollerini düzgün bir şekilde kurmak ve uzaktan erişimin bir güvenlik açığı olmasını önlemek için başka bir parça ekibine sahip olmak çok önemlidir.

GÖRMEK: İş dizüstü bilgisayarınızı veya telefonunuzu kişisel şeyler için kullanmayı bırakın, çünkü öyle olduğunuzu biliyorum. (Teknoloji Cumhuriyeti)

Scott Matteson: Mükemmel araçlar gibi şeyler var mı? Neden veya neden olmasın?

John Hammond: Kısa cevap hayır. Bir araç bir insan tarafından geliştirilmeli ve yaratılmalıdır ve insanlar mükemmel olmadığından, bir araca veya programa yavaş yavaş sızabilecek yazılım kusurları yaratan hatalar ve meydana gelen bilinmeyen kazalar olması zorunludur. Bununla birlikte, aynı şekilde, insanlar makinelerden daha akıllıdır ve bir sonraki harika güvenlik aracı inşa edildiği anda, birileri hemen onu yıkmaya çalışıyor – bu, böyle bir duruma yanıt vermek için savunma tarafında insanlara ihtiyaç olduğunu gösteriyor. tehditler.

Güvenlik aracınız sizi uyarıyorsa, sizi bir nedenle uyarıyor demektir. Güvenlik kontrolleri, bunları satın aldığınızda ayarlanmayacaktır, bu nedenle kuruluşların güvenlik ve iş ihtiyaçlarını karşılamak için bunları nasıl ayarlayacaklarını ve değiştireceklerini öğrenmeleri gerekecektir.

Scott Matteson: Gerçekten hiç yanlış pozitif var mı? Neden veya neden olmasın?

John Hammond: Evet ve hayır; bakış açınıza bağlıdır. Bir alarm çalıyorsa ve sistem yöneticisi daha önce buna benzer şeyler görmüşse endişelenecek bir şey olmadığını biliyorsa ve bu yanlış bir pozitifse kesinlikle yapılması gereken bir durum vardır. Bununla birlikte, madalyonun diğer yüzü, makinenin belirli bir şey olduğunda veya tetiklendiğinde bir uyarı vermek üzere programlandığını ve iyi huylu olsa bile, orada hala anlaşılması gereken bir şey olabileceğini düşünüyor.

Scott Matteson: Bu nasıl ele alınmalıdır?

John Hammond: Şirketler güçlü bir güvenlik koluna sahip olamıyorsa, tespit edip düzeltebilecek bir ekip olmalıdır. Sadece bir BT bireyi olamaz, daha çok keskin ve eğitimli özel bir grup olabilir. Takım dış kaynaklı olsa bile, yine de bu ekstra savunma katmanını ekleme amacına hizmet eder.

GÖRMEK: Güvenli bir mesafede, güvenli bir şekilde çalışma: Sanayi sitelerinde uzaktan çalışma, ekstra siber risk getiriyor (Teknoloji Cumhuriyeti)

Scott Matteson: 2021'in geri kalanı bizi neler bekliyor?

John Hammond: Çoğu yılda olduğu gibi, son birkaç yılda gördüğümüz şeyleri ve bu tehditlerin birçoğunu, örneğin fidye yazılımıdurmayacak ve daha da kötüye gitmeye devam edecek. Özellikle SolarWinds'e baktığımızda, bu olayın başka yerlerde koptuğunu ve koptuğunu görmeye başlıyoruz. Seçim ve pandeminin ardından, bu genel olarak saldırıların gerçekleşmesi için uygunsuz bir zamandır. Bunun önüne geçmedikçe ve on yıllık güvenlik açıklarını ele almadıkça ve eski yazılımları değiştirmedikçe hiçbir şey değişmeyecek.

Scott Matteson: BT uzmanları ve işletmeleri neye odaklanmalıdır?

John Hammond: Tüm BT uzmanları ve işletmelerin bilgi sahibi olması gerekir. Güvenlik uygulayıcıları, çeşitli güvenlik tavsiyelerini izlemeli ve bunları okumak için gerçekten zaman ayırmalıdır. Yakın zamanda yayınlanan çok sayıda CISA acil durum yönergesi gördük ve bunların sindirilmesi önemlidir. Güvenlik çok uzun zamandır sonradan akla gelen bir şeydi ve artık olamaz.

Ayrıca bkz.

Source link

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*