Cyber Security Readiness (Siber Güvenlik Hazırlığı) bir organizasyonun siber tehditlere karşı etkili bir şekilde savunma ve yanıt verebilme hazırlığını ifade eder. Bu organizasyonun varlıklarını çeşitli siber saldırılardan korumak için gerekli güvenlik kontrollerine sahip olmasıyla ilgilidir.
Güvenlik kontrolleri aslında insanlar, süreçler ve kullanılan güvenlik teknolojilerinin bir kombinasyonudur. Ancak bu kontrollere sahip olmak yeterli değildir. Etkinliklerini sağlamak için bunları düzenli olarak gerçek dünya tehditlerine karşı test etmek gereklidir. Manuel test uygulamaları genellikle düzensiz olarak işletilir. Ayrıca bu yöntemler güncel ve aktif güvenlik zafiyetlerini tespit etmede yetersiz olabilir.
İhlal ve saldırı simülasyonu (BAS) platformları siber güvenlik savunmalarını test etmenin modern bir yoludur. Saldırganların davranışını taklit eder ve çeşitli siber saldırıları simüle ederek gerçek zamanlı veri üretir. BAS platformu marifetiyle kurumlar güvenlik kontrollerinin başarısız olduğu senaryoları, güvenlik savunmalarının yapısal zayıflıklarını ve genel siber güvenlik durumlarını iyileştirmek için kaynakları nereye yatıracağına dair bilinçli kararlar alabilirler.
Özet olarak Cyber Security Readiness, güçlü güvenlik kontrollerine sahip olmayı ve bunları etkinliklerini sağlamak için düzenli olarak gerçek dünya tehditlerine karşı test etmeyi içerir. BAS platformları gibi gelişmiş araçları kullanmak kurumların zayıf noktaları tespit etmelerine ve genel siber güvenlik durumlarını iyileştirmelerine yardımcı olur.
AttackIQ’nun temel amacı kurumların siber güvenlik kontrollerini gerçek dünya senaryolarında etkin bir şekilde test etmelerine ve iyileştirmeleri için doğru stratejileri belirlemelerine olanak tanımaktır. Böylece, organizasyonlar güvenlik açıklarını tespit edebilir, güvenlik yatırımlarını daha verimli bir şekilde yönlendirebilir ve siber saldırılara karşı daha dirençli hale gelebilirler.
AttackIQ güvenlik kontrollerinin etkinliğini test etmek ve iyileştirmek için tasarlanmıştır. Temel olarak kurumların güvenlik altyapısını gerçek dünya saldırı senaryolarına karşı test etmelerine olanak tanır. AttackIQ siber güvenlik ekiplerine güvenlik kontrollerini değerlendirmek, güçlendirmek ve optimize etmek için bir dizi araç ve özellik sunar.
1. AttackIQ Platformu: Kurumların güvenlik kontrollerini test etmelerine, güvenlik açıklarını belirlemelerine ve iyileştirmeleri için yol haritası oluşturmalarına olanak tanıyan merkezi bir yönetim uygulamasıdır.
2. AttackIQ Academy: Kullanıcıların AttackIQ platformunu nasıl kullanacaklarını öğrenmelerine ve siber güvenlik becerilerini geliştirmelerine yardımcı olan eğitim ve eğitim kaynaklarını içerir.
3. AttackIQ Threat Libraries: Gerçek dünya saldırılarını ve siber tehditleri modellemek için kullanılan kapsamlı bir kütüphanedir. Kurumlar bu tehdit modellerini kullanarak güvenlik kontrollerini test edebilir ve zayıf noktaları tespit edebilirler.
Tam Görünürlük: Güvenlik kontrollerinin ne kadar iyi çalıştığının önemine dikkat çeker. Bu kurumların genelinde uygulanan çeşitli güvenlik önlemlerinin etkinliğini ölçmeyi hedefler.
Otomatik Kontrol Doğrulaması: Otomasyon güvenlik kontrollerinin performansını sürekli olarak izlenmesi için önemlidir. Süreci otomatik hale getirerek kurumların kullanıcı hatalarına ve manuel işlem kaynaklı zaman kayıplarının önüne geçer.
Anlama, Yönetme ve Raporlama: Güvenlik kontrol performansının görünürlüğünü elde etmenin temel amacı kurumların siber güvenlik altyapısının güçlü ve zayıf yönlerini anlamalarını, tespit edilen sorunları etkili bir şekilde yönetmelerini ve siber güvenlik hazırlığının genel durumunu ilgili paydaşlara (Yöneticiler, Yönetim Kurulu Üyeleri, Düzenleyici Kurumlar…vb) bildirmelerini sağlamaktır.
MITRE ATT&CK: MITRE ATT&CK saldırganların saldırılarını planlama ve gerçekleştirme şekillerini anlamak için kullanılan bir çerçevedir. Bu çerçeve çeşitli saldırı tekniklerini ve taktikleri kapsar ve kurumlara saldırganların nasıl hareket ettiğini daha iyi anlamalarını sağlar. Bu sayede kurumlar savunma stratejilerini bu bilgiye dayanarak şekillendirebilir ve bilinen tehditlere karşı daha etkili bir şekilde hazırlanabilirler.
Tehdit Bilgilendirmeli (Thread Informed) Savunma Stratejisi: Bu strateji kurumların bilinen tehdit aktörlerine odaklanmalarını ve savunma önlemlerini bu tehditler doğrultusunda optimize etmelerini sağlar. Yani kurumlar saldırganların kullanabileceği belirli taktikleri ve teknikleri dikkate alarak savunma stratejilerini geliştirirler.
Güncel ve Tarihsel Performans Verileri: Kurumlar hem belirli anlarda (güncel) hem de zaman içinde (tarihsel) performans verilerine erişebilirler. Belirli bir zamandaki performans verileri güncel durumu gösterirken, tarihsel veriler zaman içindeki trendleri ve değişimleri gösterir.
Süreç Yönetimi: Performans verileri aynı zamanda kurumların süreçlerini yönetmelerine de yardımcı olur. Hangi süreçlerin verimli çalıştığını belirlemek ve hangilerinin iyileştirilmesi gerektiğini tespit etmek için bu veriler kullanılabilir. Bu da kurumların süreçlerini optimize etmelerine ve verimliliği artırmalarına olanak tanır.
Teknoloji Yatırımları: Performans verileri kurumların teknoloji yatırımlarını doğru şekilde yapmalarına yardımcı olur. Hangi teknolojilerin kurum hedeflerine daha fazla katkı sağladığını belirlemek ve hangi alanlara daha fazla yatırım yapılması gerektiğini anlamak için performans verileri analiz edilebilir.
AttackIQ Yönetim Platformu kurumların kullanıcıları, erişimleri, işletim sistemlerini, ağları, bulut sistemleri ve uzak erişimleri test etmelerine yardımcı olan açık standartlar test platformudur. AttackIQ’nun üç kolay kullanılan test modu vardır:
1. Atomik Test: Atomik test belirli bir işlevi veya güvenlik kontrolünü test etmek veya belirli bir uyarıyı tetiklemek için tasarlanmış bireysel senaryoları içeren testtir. Örneğin, “EDR aracı X kimlik bilgisi toplama aracı çalıştırıldığında durdurabilir mi? SOC ekibi alarmı görür mü?”
2. Ağ Testi: Sızma olduğunu varsayarak ve güvenlik kontrollerinin sık sık ve sessizce başarısız olduğunu varsayımı ile saldırganların kullanılan ağ trafiği tekniklerini yeniden oynatarak ağı test eder. Örneğin, “X saldırgan grubu, veriyi ağdan çıkarmak için Y yöntemini kullanır. Bu trafiği iki nokta arasındaki herhangi bir PCAP ile yeniden oynatılırsa durdurulabilir mi? Bunu durduran kontrol SOC’a alarm verir mi?”
3. Anatomik Test: Anatomik Test sonuçları bir modelden diğerine (Atomik Test, Ağ Testi) aktaran bir dizi senaryo içeren testtir. Bu birden fazla taktik, teknik veya prosedürü (TTP’ler) uygulamak için kullanılır ve saldırgan gibi hareket eder. Saldırganların ne kadar ilerleyebileceklerini görmek için tasarlanır. Örneğin, “Kimlik bilgilerini toplamak için bir test çalıştırın. Ardından bu kimlik bilgilerini yanal haraket testine dahil edin, vb.”
Atomik Test ve Ağ Testi kurumların belirli kontrolleri uygulama ve test etme ihtiyacından dolayı kritik öneme sahiptir. Anatomik Test ise tek bir testte tetiklenmeyen ve saldırının ilerlemesini görmek için saldırı ilerledikten sonra aktif olan AI/ML tabanlı güvenlik kontrollerini tetiklemek için hayati öneme sahiptir.
AttackIQ Platformu üç bileşenden oluşur:
Management Platform
On-prem yada SaaS olarak çalışabilmektedir. On-prem kurulumda Virtual Appliance olarak kurulum paketi kullanılmaktadır.
Ajanlar
Ajanlar testlerin işletileceği işletim sistemlerine kurulan ve Management Platform tarafından yönetilen bileşenlerdir. Windows, Linux ve MacOs tabanlı işletim sistemleri için ajanlar desteklenmektedir. Test Noktası (Test Point) olarak ifade edilmektedir.
Integration Manager
Integration Manager kurulumu isteğe bağlı bir özelliktir. Ancak AttackIQ Management Platformu’nun güvenlik teknolojileri ve SIEM sistemleri ile entegre olmasını sağlar. Böylece ajanlar tarafından yürütülen testlere göre yapılan tespitlerin belirlenmesine imkan tanır.
Management Platform on-prem olarak kullanılacaksa Integration Manager kurulumun içerisinde gelmektedir. Managament Platform SaaS olarak kullanılcaksa Integration Manager’ın on-prem olarak kurulması gerekmektedir. Bunun için Linux kurulum seçeneği bulunmaktadır.
