SIEM’in sınırlamalarından biri, yalnızca sistem tarafından üretilen sinyallerin işlenmesidir. Saldırı, kötü amaçlı bir yazılım tarafından değil, elle yapılırsa bu fark edilmeyebilir. Yine yaklaşan bir tehdide işaret edebilecek kullanıcılara özgü anormallikler meydana gelebilir. Örneğin, iş yerinin bölümlerinden birindeki bir uzman, kötü niyetli eylemlerini planlarken, genellikle nadiren kullanılan sisteme birkaç kez arka arkaya bağlanarak kontrol eder. Veya başka bir senaryoda çalışanlardan birinin hesapları bir kimlik avı saldırısı sırasında çalındı ve bir davetsiz misafir tarafından alışılmadık bir zamanda veya yasal bir kullanıcıyla aynı anda sisteme erişmek için kullanıldı. Bu komut dosyaları Kullanıcı Davranışı Analizi (UBA) alanına girer. SIEM ile birlikte böyle bir analizin yapılmasına izin veren uygulamalar kullanırsak, hem sistemlerden hem de kullanıcılardan gelen dahili ve harici sinyalleri karşılaştırabilen bir sistem elde etmiş oluruz.
Bir SOC’u başlatmak ve sürdürmek kendi başına proaktif eylemi gerektirirken, birçok şirket standart stratejileri takip eder ve filtreleme uyarıları için çok fazla zaman harcar. Sızma testi ile tespit edilen izinsiz girişi önleme teknolojilerinin kullanıldığı yerlerde bile, ağların boyutu ve karmaşıklığı nedeniyle olay tepkisi ve geri dönüş genellikle çok yavaştır.
SOC (Security operations center)
Sorunun bir kısmı, SIEM / UBA hattındaki araçların çoğunun kendi başlarına çok yeterli olmamasıdır. Bununla birlikte, bu araçları diğer önlemlerle birlikte kullanmak mümkündür:
- Güvenlik duvarının dışında (Endpoint Detection and Response) Uç Nokta Cihaz Keşfi (EDR).
- Tehdit istihbaratı için bilgi kaynakları.
- Davetsiz misafirlere dosyalara, kullanıcılara ve hesaplara tuzaklar(bal çanağı).
- Önceden hazırlanmış algılama şemaları.
- Merkezi günlük yönetim teknolojisi.
Doğal olarak, şirketin eğitim programları ve yukarıdaki tüm fonların tek bir SOC’de nasıl birleştirileceğini açıklayan bir bilgi tabanı olmalıdır. En iyi güvenlik uzmanlığına ve yardımcı programlarına sahip iyi yönetilen bir SOC için başka bir seçenek de bulut SaaS uygulamalarını entegre etmektir. Yine Deep Web, DarkNet İzleme, Kimlik Avı Saldırısı Tespiti ve Azaltma, DNS Hijacking / Redirection saldırılarında BGBM uyarıları gibi istihbarat analizleri vardır.
Ancak, verimliliği artırmak ve kör noktaları azaltmak için SIEM, UBA, diğer güvenlikle ilgili yardımcı programları ve süreçleri entegre etseniz bile, başka iyileştirmeler yapılabilir.
SIEM etiketli verilerin büyük çoğunluğu, bir tehdit değildir. Bununla birlikte, analistlerin gerçek saldırılarla ilgili bilgilerin% 2-5’ini yakalamak için her vakayı analiz etmesi gerekir.
Bilgi güvenliği uzmanları, gürültüyü azaltmak ve verimliliği artırmak için tıp endüstrisinden bir örnek alabilir. Kaza mahalline bir ambulans geldiğinde, sağlık görevlileri çabalarını tüm kurbanlara eşit olarak dağıtmazlar. Tahmin edebileceği gibi, bir kişi kan kaybından ölmek üzere yatarken, kırık bir kola müdahele etmek için çalışmak, o çok değerli zamanı harcamak oldukça gariptir.
Yani, ilk müdahale hattındaki uzmanlar, kazanın ciddiyetini sıralar ve hızlı bir şekilde değerlendirir ve buna göre öncelik vererek hayati tehlikede olan kurtarılmaya çalışılır.
SOC ekibi, sıralamayı SIEM’e bağlayarak, ilgisiz bilgilerle zaman kaybetmek yerine en bariz ve önemli sinyallere hızla yanıt verebilir. Sıralama aynı zamanda analistin ilgisiz bilgilerin bulanıklaşmasının etkisinden kaçınmasına da yardımcı olur, bu da sürekli yanlış uyarı akışı nedeniyle gerçek tehditlerin kaçırılmasına yol açabilir.
Böylece, entegre bir UBA sistemine ve olayları sıralamak için bir platforma sahip SIEM, şimdiden ilginç görünmeye başlıyor. Ancak daha da ileri gidebilir mi?
Müdahele
SOC uzmanları olaylara ne kadar hızlı yanıt verebilirse, kesinti ve iş kayıpları olasılığı o kadar az olur. Uygulamayı, bir teknisyenin manuel olarak algılamasını beklemek yerine, önemli sinyalleri otomatik olarak algılayacak şekilde yapılandırmanız gerekir.
Örneğin, SIEM ve UBA’dan olası bir saldırı hakkında sinyaller varsa ve sıralama platformundan acil bir soruşturma başlatılması gerektiğine dair bir sinyal gelmişse, araştırma başlamadan önce IP adresleri engellenebilir, erişim hakları kaldırılabilir ve / veya ağlar izole edilebilir.
Sistem ve bağlamsal bilgilerin yapılandırılmış bir biçimde saklanacağı genel bir belge yönetim sistemi, bir olay meydana geldikten sonra incelemeyi büyük ölçüde basitleştirecektir.