Kimlik avı sessizce, erken dönemde ortaya çıkarılması en zor kurumsal tehditlerden biri haline geldi. Modern kampanyalar, kaba yemler ve bariz veriler yerine güvenilir altyapıya, meşru görünen kimlik doğrulama akışlarına ve kötü niyetli davranışları geleneksel algılama katmanlarından gizleyen şifreli trafiğe güveniyor. CISO'lar için öncelik artık net: Kimlik avı tespitini, SOC'nin kimlik bilgileri hırsızlığı, iş kesintisi ve yönetim kurulu düzeyinde olumsuz sonuçlara dönüşmeden önce gerçek riski ortaya çıkarmasına yardımcı olacak şekilde ölçeklendirin.
Pek çok güvenlik ekibi için kimlik avı artık araştırılması gereken tek bir uyarı değil; hızlı bir şekilde doğrulanması gereken şüpheli bağlantıların, oturum açma girişimlerinin ve kullanıcı tarafından bildirilen mesajların sürekli akışıdır. Sorun, çoğu SOC iş akışının hiçbir zaman bu birimi işleyecek şekilde tasarlanmamış olmasıdır. Saldırganlar makine hızında çalışırken, her soruşturma hâlâ zaman, bağlam toplama ve manuel doğrulama gerektiriyor.
Kimlik avı tespiti ölçeklenemediğinde, sonuçlar hızla CISO'nun masasına ulaşır:
CISO'lar için mesaj açık: Kimlik avı tespiti, saldırılarla aynı hızda ve ölçekte çalışmalıdır, aksi takdirde kuruluş her zaman hasar başladıktan sonra tepki verecektir.
Kimlik avını geniş ölçekte ele alabilen bir SOC, yapamayan SOC'den çok farklı davranır. Şüpheli etkinlik hızlı bir şekilde doğrulanır, soruşturma kuyrukları kontrolsüz bir şekilde büyümez ve analistler göstergeleri araştırmaya daha az, doğrulanmış tehditler üzerinde harekete geçmeye daha fazla zaman ayırır. İlerletmeler varsayımlardan ziyade açık davranışsal kanıtlara dayanmaktadır. Kimlik odaklı saldırılar, SaaS platformlarına ve dahili sistemlere yayılmadan önce tespit edilir.
Modern kimlik avı saldırıları gecikmeden, sınırlı görünürlükten ve parçalanmış araştırma iş akışlarından yararlanmak için tasarlanmıştır. SOC ekiplerinin buna ayak uydurmak için şüpheli etkinlikleri daha hızlı doğrulamalarına, gerçek kimlik avı davranışını güvenli bir şekilde ortaya çıkarmalarına ve geleneksel algılama katmanlarının neyi gözden kaçırdığını ortaya çıkarmalarına yardımcı olacak bir modele ihtiyacı var.
Aşağıdaki üç adım, kimlik avı tespitinin tehdide göre ölçeklenmesini isteyen CISO'lar için vazgeçilmez hale geliyor.
Birçok modern kimlik avı saldırısı gerçek amacını hemen ortaya çıkarmaz. Şüpheli bir bağlantı, zararsız bir sayfa gibi görünen bir sayfa yükleyebilir; gerçek saldırı ise yalnızca kullanıcı birkaç yönlendirmeyi tıkladıktan veya kimlik bilgilerini girdikten sonra başlar. Kötü niyetli davranış görünür hale geldiğinde, saldırganlar oturum açma ayrıntılarını veya etkin oturumları zaten ele geçirmiş olabilir.
Bu gelişme, kurumların tehdit görünürlüğü, yama yönetimi, güvenli geliştirme süreçleri ve olay müdahale hazırlığı açısından siber güvenlik gündemini daha yakından izlemesi gerektiğini gösteriyor.
Kaynak: The Hacker News
