Neden Her VPN Yanında Güçlü Bir SIEM'e İhtiyaç Duyar?

Yayınlanan: 2020-08-05

Sanal özel ağlar, bireyler ve kuruluşlar tarafından yirmi yılın büyük bir bölümünde kullanılmaktadır. Bir VPN, şifrelenmiş bilgilerin bir noktadan diğerine aktarılmasına izin veren güvenli bir tünel oluşturur. İş dünyasında, çalışanların kuruluşlarının ağına bağlanmasını ve güvenli bir şekilde bilgi gönderip almasını mümkün kılar. İçinde bulunduğumuz ev ortamından çalışma düşünüldüğünde VPN'ler daha büyük bir rol üstlenmiştir.

İnsanların evden ne kadar süre çalışacağı da belli değil. Bazı kuruluşlar, pandemi geçtikten sonra bile işgücünün bir kısmının uzaktan çalışacağını zaten gösterdi. Daha fazla insanın evden çalışıyor olması siber suçluların dikkatini çekti. Ev ortamından çalışmayı, yararlanabilecekleri güvenlik açıkları yaratıyor olarak görüyorlar.

İçindekiler tablosu gösterisi
  • VPN'lere Yönelik Siber Saldırılar
  • Temel Güvenlik Önlemlerinden daha fazlasına ihtiyaç vardır
  • Bir SIEM Platformu kuruluşunuza nasıl fayda sağlayabilir?
  • SIEM, evden çalışma ortamındaki güvenlik risklerini azaltmaya nasıl yardımcı oluyor?
  • CEO Dolandırıcılığının neden olduğu hasarı tespit etmek ve azaltmak için SIEM'i kullanma
  • Siber güvenliği iyileştirmek için SIEM'den toplanan bilgileri kullanma

VPN'lere Yönelik Siber Saldırılar

siber-güvenlik-koruma-gizlilik-şifreleme-emniyet-şifre-güvenlik duvarı-erişim

Uzmanlardan alıntı yapan Privacy Australia'dan Will Ellis, siber suçluların saldırılarını gerçekleştirmelerinin başlıca yollarından birinin VPN'lere sızmaya çalışmak olduğunu gördü. Bahsettiği gibi, “Maalesef son aylarda pek çok durumda başarılı oldular. Bu, işletmelerin ve devlet kurumlarının güvenlik önlemlerini sıkılaştırmasına neden oldu.”

Siber suçlular VPN'i aşıp bir kuruluşun ağına erişir erişmez şekerci dükkanındaki çocuklar gibidirler. Ağ ve hizmetler aracılığıyla tüfek kullanabilirler. Boş zamanlarında güvenlik açıklarını, yanlış yapılandırmaları ve zayıflıkları arayabilirler. Suçluların, verileri manipüle etme, sistemleri yok etme veya aktarılan hassas verileri kesintiye uğratma erişimine sahip olduklarında neden olabilecekleri zararın bir sınırı yoktur.

Sizin için önerilen: VPN ve Proxy: Farklar Nelerdir? Hangisi daha iyi?

Temel Güvenlik Önlemlerinden daha fazlasına ihtiyaç vardır

güvenlik-güvenlik-internet-şifre-kilidi-SIEM

Çoğu kuruluş, VPN güvenliklerini iyileştirmek için önerilen temel adımları zaten kullanıyor. Bu, karmaşık, benzersiz ve periyodik olarak değişen güçlü parolaların zorunlu kılınmasını içerir. Tedarik veya rol tabanlı denetim erişimi, kaynakları gruplara göre sınırlamak anlamına gelir. Ayrıcalıklı kullanıcılar veya hassas verilere ve yazılımlara erişmesi gerekenler için çok faktörlü kimlik doğrulama da kullanılıyor.

Bu adımların önemi küçümsenmemelidir. Bir kuruluş, karmaşıklığı sürekli artan siber güvenlik saldırılarına karşı kendilerini korumak için gereken tek şeyin bu temel adımlar olduğuna inanırsa kendini kandırır.

Gelişmiş saldırılar, Güvenlik Bilgileri ve Olay Yönetimi platformu gibi gelişmiş bir çözüm gerektirir. SIEM'ler, VPN'leri de dahil olmak üzere bir kuruluşun kullandığı güvenlik araçlarından veri toplamaktan ve ilişkilendirmekten sorumlu araçlardır.

SIEM'ler, ayrı güvenlik araçları tarafından toplanan bilgilerin, verilere ayrı ayrı bakıldığında elde edilmesi kolay olmayabilecek güvenlik tehditlerine ilişkin içgörü sağlamak için birlikte derlenmesine olanak tanır. Bu platformlar, bir kuruluşun gerçekten yüksek riskli olayları belirlemesine ve bunları gürültüden ayırmasına yardımcı olabilir.

Örneğin, bir çalışan New York City'den bir VPN'e bağlanabilir. Kırk beş dakika sonra, aynı çalışan Minneapolis, MN'den kuruluşun VPN'sine bağlanıyor. Bir SIEM platformu, bunun fiziksel olarak imkansız olduğunu söyleyebilmeli ve ardından bunu araştırılması gereken şüpheli davranış olarak işaretleyebilmelidir.

Bir SIEM Platformu kuruluşunuza nasıl fayda sağlayabilir?

tehlike-güvenlik-tehdit-siber-suç-dolandırıcılık-virüs-hack

SIEM çözümleri, gerçek zamanlı tehdit tespiti sunar. Verimliliği artırır, maliyetleri düşürür, potansiyel tehditleri en aza indirir, raporlamayı ve günlük analizini iyileştirir ve BT uyumluluğunu destekler. SIEM çözümleri, çeşitli cihaz ve uygulamalardan olay günlüklerini bağlayabildiğinden, BT personeli olası güvenlik ihlallerini hızlı bir şekilde belirleyebilir, yanıtlayabilir ve gözden geçirebilir. Bir siber güvenlik tehdidi ne kadar hızlı belirlenirse, etkisi o kadar az olur. Bazen hasar tamamen önlenebilir.

SIEM platformları, bir BT ekibinin bir kuruluşun güvenlik araçlarının onu koruduğu tüm tehditlerin büyük bir resmini görmesine olanak tanır. Kötü amaçlı yazılım veya virüsten koruma filtresinden gelen tek bir uyarı o kadar da önemli olmayabilir veya alarm vermeyebilir. Ancak güvenlik duvarı, antivirüs filtresi ve VPN'den aynı anda uyarı gelmesi ciddi bir ihlalin devam ettiğini gösterebilir. SIEM, farklı yerlerden uyarıları toplayacak ve ardından bunları merkezi bir konsolda görüntüleyerek yanıt sürelerini en üst düzeye çıkaracaktır.

İlginizi çekebilir: VPN, RDS ve VDI: Güvenli Uzaktan Erişim İçin Ne Seçilmelidir?

SIEM, evden çalışma ortamındaki güvenlik risklerini azaltmaya nasıl yardımcı oluyor?

SIEM-Güvenlik-Bilgi-Olay-Yönetimi

Koronavirüs pandemisi, kuruluşları yerinde personelden tamamen uzak bir iş gücüne, birçok kuruluşun onarıldığından daha hızlı geçiş yapmaya zorladı. Bu, müşterilerine tutarlı bir hizmet sağlamakla yüksek düzeyde siber güvenlik sağlamak arasında bir denge kurmaları ve muhtemelen uzlaşmaları gerektiği anlamına geliyordu.

Bu değişikliği başarıyla kaldırabilecek kuralları ve savunmaları manuel olarak yapılandırmak zaman alıcıdır. Halihazırda SIEM platformlarını kullanmayan kuruluşlar, evde kalma kararlarının ilk birkaç haftasında sinir bozucu, tehlikeli ve maliyetli bir telafi oyunu oynadılar.

Halihazırda SIEM kullanan kuruluşlar daha kolay geçiş yapabilir. Davranış analitiği ve makine öğreniminden yararlanan kapsamlı bir sisteme sahip oldukları için çalışma ortamındaki değişikliklere otomatik olarak uyum sağlayabiliyorlardı. Bu, BT ekiplerinin üzerindeki stresi büyük ölçüde azaltır.

Davranış analitiğinin en önemli faydalarından biri, bir kuruluş ve kullanıcıları için temel bir normal aktiviteye bakma ve ardından bu normal aktiviteden sapmalar olduğunda otomatik olarak algılayıp alarm verme yeteneğidir. Bu şekilde, bir kuruluşun güvenlik kontrolleri esnektir ve iş ortamı değiştikçe değişebilir. Evden çalışan çalışanların yeni normal haline gelmesi gibi yeni şeyler olarak otomatik olarak uyum sağlarlar.

CEO Dolandırıcılığının neden olduğu hasarı tespit etmek ve azaltmak için SIEM'i kullanma

klavye-dizüstü bilgisayar-kırmızı-kopya-hack-siber-güvenlik-veri-SIEM

Evde çalışma ortamı, e-posta iletişimini her zamankinden daha önemli hale getirdi. Bunun nedeni, bir ofiste çalışmanın bir parçası olan yüz yüze etkileşimin ortadan kalkmasıdır. Ne yazık ki, bir e-posta yağmuru ileri geri gönderildiğinden, yönetim, direktörler veya diğer sorumlu kişiler adına sahte e-postaların gönderilme olasılığı vardır.

CEO dolandırıcılığı, nispeten yeni bir siber suç biçimidir. Sosyal mühendislik saldırıları, kuruluştaki bir kişiyi dolandırıcılık yapan kişi veya kişilere para veya gizli bilgi göndermesi için kandırmak için kullanılır.

CEO dolandırıcılığı COVID-19'dan önce de vardı. Sadece üç yıl içinde 2,3 milyar dolardan fazla zarara yol açabileceği tahmin ediliyor. İnsanlar, yönetimle bire bir iletişim kurdukları bir ofis ortamında çalışırken, birçok kuruluş yanlışlıkla e-posta dolandırıcılıklarını kendi başlarına tespit etmenin onlar için kolay olduğunu düşündü.

Bununla birlikte, CEO dolandırıcılığı vakalarını incelerken, dolandırıcılarla kurban arasında birden fazla e-postanın gidip geldiği ve kurbanın daha akıllı olmadığı açıktır. CEO dolandırıcılığı, uygun araçlar olmadan yakalanması sofistike ve neredeyse imkansız bir dolandırıcılık türüdür. Nispeten güvenli ofis ortamında bunu yakalamak zorsa, şimdi çalışanların dağıldığı ve yüz yüze iletişim miktarının azaldığı bir ortamda bunu yakaladığınızı hayal edin.

CEO dolandırıcılığı kendisini iki şekilde gösterir. Biri, üst düzey bir yöneticinin e-posta hesabının saldırıya uğradığı yerdir. Diğeri, meşru iş alanına benzer bir alandan bir e-postanın gönderildiği yerdir. İlk durumda, dolandırıcılar kıdemli çalışanların e-posta hesaplarını tehlikeye atacaktır. İkinci örnekte, yazım hatası, çalışanları gözetim konumundaki bireylerden bilgi aldıklarına inandırmak için kandırmak için kullanılır.

Bir SIEM çözümü yardımcı olabilir. Bir kuruluşun güvenliği ihlal edilmiş kimlik bilgisi risklerinin önüne geçmesine olanak tanır. Bir CEO, müdür veya sorumlu bir pozisyondaki başka bir kişinin e-posta hesabı tehlikeye girerse, SIEM çözümleri ihlali gerçekleşmeden önce tespit edip durdurmaya yardımcı olabilir. Bunun nedeni, SIEM çözümlerinin ağınızdaki verileri izlemesidir. Buna active directory hizmetleri, O365, güvenlik duvarları, depolama birimleri, Salesforce ve daha fazlası dahildir.

Tüm bilgiler SIEM'e gönderildikten sonra, veriler toplanacak ve gelişmiş analitik tarafından ilişkilendirilecek ve incelenecektir. Amaç, uzlaşma göstergeleri bulmak veya şüpheli davranışların gerçekleşip gerçekleşmediğini gösteren kalıplar bulmaktır. Bu bilgiler kaydedilebilir ve hemen bir kuruluşun güvenlik ekibine gönderilebilir.

Bu gerçek zamanlı olarak gerçekleştiğinden, birçok saldırı zarar verici bir etkiye sahip olmadan önce önlenebilir. Gelişmiş makine öğrenimi, ağa gizlice giren yavaş saldırıları belirlemek üzere eğitilebilir. Olağandışı faaliyet kalıpları tespit edilebilir ve tehditler gerçekleşmeden önce hafifletilebilir. Spear-phishing dolandırıcılığı gibi diğer e-posta tehdidi türlerini belirlemek için aynı yaklaşımları kullanabilirler. Burada yine bir SIEM çözümünün VPN'den sunulmayan değer katma gücünü görüyoruz.

Şunlar da ilginizi çekebilir: NordVPN ve SiteLock VPN - Sizin İçin En İyisi Hangisi?

Siber güvenliği iyileştirmek için SIEM'den toplanan bilgileri kullanma

siber-güvenlik-kilidi-internet-güvenliği-hack-şifreleme

Anormallikler tespit edildiğinde, kuruluşlar gelecekteki güvenlik ihlallerini önlemek için koruma önlemleri alabilir. Bir adım, çalışanları karşılaştıkları siber güvenlik tehditleri konusunda eğitmek olabilir. Çalışanlara denenen farklı saldırıları göstererek, çalışanlar riskli davranışları hafifletmeye teşvik edilir.

Bir BT ekibine sağduyu gibi gelebilecek bazı önleme ipuçları, çalışanlar tarafından gözden kaçabilir. Örneğin, çalışanlara anında yanıt verilmesini talep eden sorulmayan e-postaları görmezden gelmeleri hatırlatılmalıdır. Gönderenin e-posta adreslerini ve etki alanlarını sık sık kontrol etmeleri ve bunları gerçek e-posta adresleri ve alanlarıyla karşılaştırmaları teşvik edilmelidir. Çalışanlara beklenmeyen ekleri açmamaları ve tanınmayan göndericilerden e-postalar alındığında daha dikkatli olmaları gerektiği hatırlatılmalıdır.

Kesin olan bir şey varsa o da siber suçluların güvenlik açıklarını aramaktan vazgeçmeyecekleri. Kuruluşların VPN'ler, antivirüs araçları ve kötü amaçlı yazılım koruması gibi güvenlik özelliklerini kullanarak ve ardından bunları SIEM platformlarıyla yedekleyerek kendilerini, verilerini ve çalışanlarını korumaları gerekir.