Güvenli Pazartesi: Microsoft Siber Savunma Operasyonları Kumanda Merkezi ile tanışın

Microsoft-Cyber-Defense-Operations-Center

Etkin ve yenilikçi bir bakışla Kasım 2015’ten bu yana gelişen tehdit ortamına karşı mücadele eden Siber Savunma Operasyonları Kumanda Merkezi, en iyi uygulamaları paylaştı. Detayları paylaşıyoruz.

Her hafta dünyanın bir yerinde yeni bir siber güvenlik ihlâli yaşanıyor gibi görünüyor. Sadece 2016 yılında yaşanan birkaç yüksek profilli küresel saldırıda 3 milyarı aşkın müşteriye ait veri kaydının güvenliği kırıldı. Bugün siber güvenlikte yaşanan güçlüklere baktığımızda yine aynı tip saldırıları görüyoruz; ancak bu saldırıların her birinin düzeyi ve kapsamı giderek büyüyor ve gelişiyor. Siber saldırganlar, güvenlik ortamının koşullarına göre taktik ve hedeflerini değiştiriyorlar. Örneğin işletim sistemleri daha güvenli hâle geldikçe bilgisayar korsanları yeniden kimlik bilgilerinin gizliliğini bozmaya yöneldiler. Microsoft, Windows güvenliğini sürekli bir biçimde iyileştirdiği için korsanlar diğer sistemlere ve üçüncü taraf uygulamalara saldırıyorlar.

Hem internetin hem nesnelerin internetinin (IoT) büyümesiyle, birçoğu güvensiz, dağıtılmış hizmet engelleme (DDoS) saldırılarına hedef olabilen giderek daha fazla bağlı cihaz ortaya çıkıyor. Yerleşik internet bağlantısı olan cihazların güvensiz özellikleri nedeniyle bunların güvenliği düzenli olarak kırılıyor, siber saldırılarda kullanılıyor. Akıllı televizyonlar, hatta buzdolapları kullanılarak bugüne kadar milyonlarca kötücül istenmeyen e-posta gönderildi. Yazıcılar ve alıcı kutuları kullanılarak Bitcoin’ler ele geçirildi; siber suçlular, (olağan IoT cihazları olan) CCTV kameralarını kullanarak DDoS saldırılarını başlattılar.

Gelişen ve artan tehdit ortamında Microsoft neler yapıyor?

Microsoft, 200’ü aşkın bulut hizmeti, 100’den fazla veri merkezi, milyonlarca cihaz, tüm dünyada bir milyarı aşkın müşteri ve güvenli gelişme ve işlevlerin korunması, algılanması, yanıtlanmasına odaklanan güvenlik uzmanlarına yaptığı yatırımı kapsayan hiper ölçekli bulut hizmet alanı sayesinde, gelişen tehdit ortamına benzeri olmayan bir bakışa sahip.

Microsoft, saldırıları azaltabilmek amacıyla Microsoft Azure kapsamında DDoS saldırılarına hızlı yanıt veren otomatik bir platform geliştirdi. Yazılım tanımlı ağlarımızdaki veri düzlemi, bizim hizmet veya şirket ortamımızın saldırıya uğradığı durumlarda bile ağ trafiğine yanıt verecek ve öngörülü biçimde izleyecek şekilde yükseltilebilmektedir. DDoS koruma platformumuz trafiği gerçek zamanlı olarak analiz eder; bir saldırı olduğunu algıladığında 90 saniye içinde bu saldırıya yanıt verme ve etkisini azaltma yeteneğine sahiptir.

Şirketin siber saldırganlarla mücadele edecek siber güvenlik uzmanları ile veri bilimcilerini 7×24 çalışan bir tesiste bir araya getirmek amacıyla Kasım 2015’te Siber Savunma Operasyonları Kumanda Merkezi’ni (CDOC) açtık.

Açılıştan bu yana siber güvenlik tehditlerinin algılama, tanılama ve çözümlenmesini hızlandıran ilke ve uygulamaları geliştirdik; öğrendiğimiz kilit noktaları CDOC’yi ziyaret eden binlerce kurumsal müşterimizle paylaştık. Bugün, siber tehditlere ilişkin olarak gerçek zamanlı Koruma, Algılama, Yanıt Verme alanındaki en iyi uygulamalarımızdan bazılarını detaylandıran Siber Savunma Operasyonları Kumanda Merkezi strateji özetini paylaşıyoruz.

Microsoft’un önceliği, müşterilerimiz ve çalışanlarımız tarafından kullanılan bilişim ortamını korumak, bulut altyapımızın, hizmetlerimizin, ürün ve cihazlarımızın ve şirketimizin kurum içi kaynaklarının esnekliğini sağlamaktır.

Microsoft’un koruma taktiklerinden bazıları

  • Küresel veri merkezlerimizin fiziksel ortamı, kameralar, personel tarama, duvar ve bariyerler, fiziksel erişim için çok faktörlü kimlik doğrulama gibi uygulamalarla kapsamlı olarak izlenir ve denetlenir.
  • Yazılım tanımlı ağlar bulut altyapımızı izinsiz erişim ve dağıtılmış hizmet engelleme saldırılarına karşı korur.
  • Kimlik ve erişim yönetiminin denetlenmesi amacıyla tüm altyapımız genelinde çok faktörlü kimlik doğrulama kullanılır.
  • Altyapı ve hizmetlerden sorumlu mühendislik personeline tam zamanında ve tam gerektiği kadar ayrıcalık tanıyan kalıcı olmayan yönetim ortamı geliştirilmiştir. Bu, yükseltilmiş erişim için önceden belirlenmiş bir sürenin sonunda geçerliliği biten özgün bir kimlik bilgileri kümesi sağlar.
  • Güncel kötü amaçlı yazılımdan koruma, katı düzeltme ekleri ve yapılandırma yönetimine uyum yoluyla titizlikle korunan özel bir hijyen ortamı sağlanır.
  • Microsoft Kötü Amaçlı Yazılımdan Koruma Merkezi’ndeki araştırmacılar, ters mühendislik işlemiyle kötü amaçlı yazılım imzaları tanımlayıp geliştirdikten sonra, gelişmiş algılama ve savunma sağlamak için bunları altyapımız geneline dağıtır. Bu imzalar, Microsoft kötü amaçlı yazılımdan koruma çözümlerini kullanan milyonlarca müşterimizin kullanımına açıktır.
  • Microsoft Güvenlik Geliştirme Yaşam Döngüsü kullanılarak tüm uygulamalar, çevrimiçi hizmetler, ürünler güçlendirilir; sızma testleri ve güvenlik açığı taramasıyla etkililiği düzenli olarak doğrulanır.
  • Tehdit modelleme ve saldırı yüzey analiziyle potansiyel tehditler ve hizmetin korunmasız kalan yönleri değerlendirilir, hizmetleri kısıtlama veya gereksiz işlevleri kaldırma yoluyla saldırı yüzeyi en aza indirgenir.
  • Veriler, duyarlılık düzeylerine göre (yüksek, orta ya da düşük iş etkisi) sınıflandırılıp, korumaya yönelik, aktarım ve bekleme sırasında şifreleme gibi uygun önlemler alınır; en düşük ayrıcalıklı erişim ilkesi uygulanarak daha ek koruma sağlanır.
  • Kullanıcı ile güvenlik ekibi arasında güven ilişkisini besleyen farkındalık eğitimleriyle, kullanıcıların ne gibi sonuçları olacağı kaygısını yaşamadan olay ve anormallikleri bildirebileceği bir ortam geliştirilir.

Microsoft’un algılama taktiklerinden bazıları

  • Ağ ortamı ve fiziksel ortam potansiyel siber güvenlik olayları açısından yıl boyunca 7×24 izlenir. Kullanım kalıpları ve hizmetlerimize karşı özel tehditleri anlayışımız temelinde davranış profili oluşturulur.
  • Anormal etkinlikleri vurgulamak amacıyla kimlik ve davranış analizleri geliştirilir.
  • Düzensizlikleri ortaya çıkarmak ve etiketleyip izlemek için düzenli olarak makine öğrenmesi yazılım araç ve teknikleri kullanılır.
  • Anormal etkinlikleri ve yeni ilişkilendirme yeteneklerini daha fazla tanımlayabilmek için gelişmiş analiz araç ve süreçleri kullanılır. Bu, çok büyük miktarlarda veriden hemen hemen gerçek zamanlı olarak bağlama özel algılamaların oluşturulmasını sağlar.
  • Artırılmış verimlilik için sürekli denetlenen ve geliştirilen yazılım tabanlı otomatik süreçler kullanılır.
  • Sıra dışı özellikler gösteren ve hedeflerin daha fazla analiz edilmesini gerektiren ilerleyen olayları incelemek için veri bilimciler ve güvenlik uzmanları düzenli olarak yan yana çalışır. Böylelikle potansiyel yanıt ve düzeltme çalışmalarını belirlerler.

Sistemlerimizde anormal bir durum algılarsak, sistem yanıt ekiplerimizi müdahale için harekete geçirir.

Microsoft’un yanıtlama taktiklerinden bazıları

  • Otomatik yanıt sistemleri risk tabanlı algoritmalar kullanarak insan müdahalesini gerektiren olaylara bayrak koyar.
  • Kesintisiz iyileştirme modelinde yer alan iyi tanımlanmış, belgelenmiş ve ölçeklenir olay yanıt süreçleri, bunları tüm yanıtlayıcıların kullanımına sunarak saldırganların önünde gitmemize yardımcı olur.
  • Kriz yönetimi, adli tıp, yetkisiz erişim analizi gibi birçok güvenlik alanında konuya özel uzmanlığa sahip kişilerden oluşan ekiplerimiz ve bulut veri merkezlerimizde çalışan platform, hizmet, uygulamalara dair derin anlayışımız, olayların birçok farklı yönden ele alınması becerilerini sağlar.
  • Bir olayın kapsamını belirlemek amacıyla bulut, karma ve kurum içi veri ve sistemler genelinde geniş çaplı kurum araması yürütülür.
  • Büyük tehditler söz konusu olduğunda, olayları anlamak, bunların kontrol altına alınıp ortadan kaldırılmasına yardımcı olmak amacıyla uzmanlar tarafından derin adli analiz yürütülür.
  • Microsoft’un güvenlik yazılım araçları, otomasyon ve hiper ölçekli bulut altyapısı, güvenlik uzmanlarımızın siber saldırıları algılama, araştırma, analiz etme, yanıt verme ve kurtarma süresini azaltır.

Bu strateji özetinde yararlı bulacağınızı umduğum birçok veri yer alıyor. Siber güvenlik tehditlerine karşı koruma sağlamak, bu tehditleri algılamak ve yanıtlamak amacıyla nasıl çalıştığımıza dair daha kapsamlı bilgi için Siber Savunma Operasyonları Kumanda Merkezi strateji özetini indirebilirsiniz. Ayrıca, sizin uç noktalarınızda korunmanıza, tehditleri daha hızlı algılayacak şekilde hareket etmenize ve güvenlik ihlâllerine yanıt vermenize yardımcı olmak amacıyla Microsoft ürün ve hizmetlerine güvenliği nasıl yerleştirdiğimizi öğrenmek için Microsoft Secure web sitesini ziyaret edebilirsiniz.