GÜVENLİK, TESPİT AŞAMASI TAMAMLANINCA BİTMEZ
Güvenlik açıklarının tespiti yapılacak çalışmada aslında işin başlangıcıdır. Önünüzde uzanan bu yol, kadrosu yetersiz ama işi başından aşkın bir ekibin elle/manuel olarak gerçekleştirdiği ve bir hayli zaman alıcı olan görevlerden oluşmaktadır. Tespit edilen her bir vakanın araştırılması/sorgulaması gerektiği gibi, bertaraf edilmeden önce güvenlik analistleri ve vak’a yanıtçıları (incident responder) tarafından eninde sonunda bir çaresinin bulunması gerekmektedir. Gelgelelim, bu türden görevleri yerine getirebilecek yetkinliğe haiz güvenlikçi eleman nadir bulunduğu gibi, bu alanda yaşanan çok büyük yetenek kıtlığı nedeniyle istihdamı da hayli zordur. Bu nedenle, çoğu kurum aynı anda pek çok işle uğraşmak ve kendilerini aşırı zorlamak durumunda kalmanın yanı sıra ve düşük doğruluğa sahip güvenlik uyarıları ve yanlış pozitiflerle güçsüzleşerek iyice şiddetlenen seyrek bir kaplam belirtisiyle mücadele etmektedir. İşin daha da kötüsü, güvenlik bütçeleri, tehdit önlemeden ziyade tehdit tespit etmeye giderek daha fazla ayrıldığı için söz konusu ekibin iş yükü daha da artmaktadır.
SOC ekibinizin elini bağlamayı bırakmanın ve onlara imkan sağlamanın zamanı geldi.
SOC EKİPLERİ PERSONEL MÜCADELESİ VERİRKEN YANITLAMA SÜRESİ KÖTÜYE GİDİYOR
Vak’a yanıt kapasitesi üzerine SANS Institute tarafından yakın zamanda gerçekleştirilen bir araştırma, şirketlerin neredeyse % 65’inin siber güvenlik açığını vakalara etkili ve yeterli yanıt verme becerilerini engelleyen bir unsur olarak gördüklerini ortaya koymuştur. Çoğu vak’a yanıt ekibinin çekirdek bir kadroyla vardiya usulü yürütmekte olduğu bu süreçte, yüksek riskli vakalar kolaylıkla gözden kaçmakta ve yanıt süreleri saatler, günler hatta haftalar alabilmektedir. Neyse ki, Exabeam Advanced Analytics gibi modern araçlar iş yükünün önceliklendirilmesi ve daha hassas doğruluk sinyalleri (higher fidelity signals) alınmasında yardımcı olmakta, Exabeam Incident Responder gibi çözümler sayesinde de vak’a araştırma ve yanıt süreci otomatikleştirilebilmektedir.
ORKESTRASYON VE OTOMASYON İMDADA YETİŞİYOR
Exabeam Incident Responder, çoğu SOC ekibi tarafından halihazırda kullanılmakta olan öncelik belirleme ve vak’a yönetim sistemlerinden (case management systems) farklı olarak, güvenlik orkestrasyonu ve iş akışı otomasyonu vasıtasıyla otomatikleştirilmiş bir vak’a yanıt olanağı sağlamaktadır. IT altyapısı ve güvenlik çözümleriyle API entegrasyonlarından sonuna kadar yararlanan Incident Responder, güvenlik vakalarını yarı otomatik ya da tam otomatik bir şekilde inceleme, kontrol altına alma ve hafifletme (mitigate) olanağı sağlamaktadır. Bu durum IR ekiplerinin verimliliğinde büyük bir ilerleme sağlamakta ve daha düşük yanıt sürelerine ve daha az sayıda manuel hata oluşmasına olanak tanımaktadır.
Otomasyon, mevcut analistlerin vakitlerini daha verimli işlere harcamalarına imkan vermek, tecrübesiz analistlerin ise daha fazla etki yaratacak yetkilere sahip olmalarına olanak tanımak suretiyle, siber beceri açıklarını kapatmakta ve böylelikleişe alım baskısını hafifletmektedir.
TEMEL ÖZELLİKLER
Exabeam Incident Responder IR/SOC verimliliğini azami düzeye çıkartmak, otomatikleştirilmiş, tekrarlanabilen araştırma ve yanıtlama becerilerini sunmak ve insan kaynaklı hataları azaltmak amacıyla baştan aşağıya yeniden oluşturulmuştur. Sistem aşağıdaki olanakları sunmaktadır:
• Vak’a araştırma ve yanıt sürecinin yarı veya tam otomasyonu
• Sık görülen vakalara yönelik olarak önceden tasarlanmış yinelenebilir/tekrarlanabilir playbook’lar
• İsteğe göre uyarlanabilen playbook’lar ve iş akışları
• Tamamıyla isteğe göre uyarlanabilen vaka yönetim sistemi
• Vak’a türüne uygun bilgileri değişimli olarak veren/seçenek olarak sunan içerik bilinçli tasarım
• Yerleşik/Gömülü analist işbirliği sayesinde ekip üyeleri ve vardiyalar arasında kolay bilgi alışverişi
• Kurulum ve kullanım kolaylığı
• Güvenli çözümleriyle API-bazlı entegrasyonlar
• Herhangi bir UEBA/ sistem günlüğü yönetim sistemi ile birlikte çalışabilirlik
• Çok-düğümlü mimari dağıtıklaştırma
• Boyutu önceden kararlaştırılabilen bir fiziksel teçhizat ya da buluta-hazır bir VM olarak konuşlandırma
