Olay müdahalesi, kuruluşların asla ihtiyaç duymayacaklarını umdukları bir hizmetten, her işletmenin sahip olmayı hedeflediği bir yeteneğe dönüşüyor ve danışmanlık firmalarından sigorta şirketlerine ve bulut sağlayıcılara kadar çeşitli şirketler bu trendden yararlanmaya hazırlanıyor.
Mart ayı sonlarında Microsoft, şirketin üretken yapay zeka ürünü olan Copilot’u, kuruluşların olaylara müdahale yeteneklerini desteklemek amacıyla şirketlerin olaylara öncelik vermesine ve yanıt vermesine yardımcı olmaya odaklayacağını duyurdu. Şirket ayrıca, talep üzerine şirketlere hizmetli olarak olay müdahale hizmetleri sunmaya ve siber güvenlik duruşu konusunda danışmanlık sunmaya başlayacağını duyurdu.
Duyuru, Microsoft’ta önemli bir değişikliğe işaret ediyor. 2019’da Microsoft, o zamanlar Tespit ve Müdahale Ekibi (DART) olarak bilinen olay müdahale ekibini “siber güvenlik ekibiyle hiç tanışmamanızı umuyoruz.” Ekip artık müşterilerle düzenli olarak görüşmeyi umuyor.
Microsoft Olay Müdahale Ekibi direktörü Ping Look, hamlelerin, olaya müdahale yeteneklerini genel olarak geliştirmek için doğru hizmetleri sunmakla ilgili olduğunu söylüyor.
“Müşteri tabanımızı oluşturmayı ve müşterilerimize daha fazla esneklik sağlamayı amaçlıyoruz” diyor. “Gerçekten, bunun bir büyüme dönüm noktası olduğunu düşünüyorum.”
Microsoft yalnız değil. Olay müdahale hizmetleri yükselişe geçti ve bunları sunan şirketler, tek seferlik taahhütler yerine ilişkiler kurmanın yollarını arıyor. Google, 2022’de olay müdahale uzmanı Mandiant’ı satın alarak diğer IR odaklı satın almaları Siemplify ve Chronicle ile güvenlik danışmanlığı hizmetlerini ekledi. Danışmanlık firmaları Deloitte, Booz Allen, Kroll ve PricewaterhouseCoopers uzun süredir olay müdahalesi sunarken, CrowdStrike ve Secureworks gibi yönetilen hizmet firmaları uzmanlığa odaklandı. IBM, AT&T, Verizon ve Palo Alto Networks gibi büyük iş teknolojisi ve hizmet firmaları da uzun süredir IR alanında oyunculardır.
Mandiant’ta hizmetlerden sorumlu başkan yardımcısı Jurgen Kutscher, kapsamlı oyuncu listesine rağmen hizmetlere olan talebin hızla artmaya devam ettiğini söylüyor.
“Talep her zaman arzı geride bırakıyor gibi görünüyor, bu nedenle tehditler değişmeye devam ettiği için tüm bu kuruluşlar için çok iş olduğuna inanıyorum” diyor. “Hedeflenen kuruluşlar, özellikle fidye yazılımı ve benzeri saldırılar gibi çok daha fırsatçı saldırılara baktığınızda, herkes hedef olabilir.”
Her iki şirketin de önemli uzmanlığa sahip olduğu bir alanda, daha fazla saldırı buluttaki varlıkları etkilediğinden Microsoft ve Google iyi bir konumdadır çünkü kısmen iş altyapısı ve verileri buluta veya genellikle birden çok buluta yayılmıştır.
Örneğin birkaç yıl önce, bir ağ güvenliği ve olaya müdahale sağlayıcısı olan Palo Alto Networks tarafından araştırılan saldırıların dörtte biri bulut varlıklarını içeriyordu; Palo Alto Networks’ün Birim 42 tehdit istihbaratı ve olay müdahale grubu başkan yardımcısı Sam Rubin, şu anda yaklaşık yarısının bulutla ilgili olduğunu söylüyor. Şirket, uç nokta aracılarından, ağ cihazlarından ve bulut telemetrisinden günde 5 milyardan fazla güvenlik olayı topladığını söylüyor.
Rubin bu eğilimin yavaşlamasını beklemiyor, bu da olay müdahalesini zorlaştırabilir.
“Kuruluşların yalnızca tek bir bulut ortamında yaşaması ve faaliyet göstermesi çok zor ve iş yüklerinizin çoğu bulutta olsa bile, genel merkezde hâlâ sistemler var, hâlâ uç noktaları olan kullanıcılar var” diyor. “Tüm ortamı, merkezi, uzaktaki kullanıcıları ve bulutu – durum ne olursa olsun – kesebilecek birine sahip olmanın, işletmeyi güvence altına almak için önemli bir strateji olmaya devam edeceğine inanıyoruz.”
Microsoft ve diğer şirketler, olayları daha hızlı işlemek ve olay müdahale ekiplerine neredeyse gerçek zamanlı analizler sunmak için üretici yapay zekayı kullanmayı amaçlıyor olsa da, bu noktada gösterilen çabalar büyük ölçüde istek uyandırıyor. İş zekası şirketi Gartner’ın başkan yardımcısı Pete Shoard, bu verileri büyük dil modelleri (LLM’ler) ve diğer gelişmiş makine öğrenimi biçimleriyle işlemenin çok fazla geliştirme ve öğrenme gerektireceğini söylüyor.
“Karmaşık güvenlik olayları için otomatik müdahale kesinlikle çok çok uzun bir yol” diyor. “Yapay zekanın büyük ölçüde yardımcı olacağı nokta, görev tabanlı otomasyon alanında, doğru türdeki bilgileri hızlı bir şekilde bulmak ve insanların işlerini daha verimli ve etkili bir şekilde yapabilmeleri için çok daha fazla bilgi sağlamak.”
Kurumsal yasal gereklilikler ve siber sigorta politikaları, olay müdahalesi üzerinde çok büyük bir etkiye sahiptir. Genellikle, ilk görüşme çağrısı bir şirket yöneticisinden değil, krizi halletmek için tutulan dışarıdan bir danışmandan gelir (çoğunlukla avukat-müvekkil ayrıcalığı bir şirketi yasal keşiften koruduğu için). Diğer durumlarda, bir sigorta şirketi, bir ihlalden kurtarma maliyetini azaltmaya yardımcı olmak ve bir poliçe sahibinin güvenliğini değerlendirmek için olaya müdahale ekipleri getirir.
Bir güvenlik analisti olan Jess Burns, hukuk müşaviri ve sigorta şirketlerinin, şirketlerin her yıl temel düzeyde eğitim ve hazırlık yaptığından ve bunun net bir fayda sağlayabileceğinden emin olmanın bir yolu olarak olaya müdahale hizmetlileri için baskı yapmaya devam edeceklerini söylüyor. Forrester Araştırması ile.
“Sigorta firmaları, başvurunuzun veya poliçenizin bir parçası olarak olaya hazırlık ve olaya hazırlık egzersizleri yapıp yapmadığınızı soruyor” diyor. “Aynı olaya müdahale firmaları, teknik ve yönetici düzeyinde değerlendirmeler ve masa başı tatbikatlar yapabilir – ve tüm bunlar onlara ve size ortamınızı gerçekten anlamanıza yardımcı olabilir.”
Genel olarak, olay müdahale ekibine sahip olan ve test edilmiş bir olay müdahale planına sahip olan şirketler, ne ekibi ne de kuyusu olmayan şirketlerle karşılaştırıldığında, bir veri ihlalini azaltma maliyetlerinden ortalama %58 veya büyük şirketler için yaklaşık 2,6 milyon ABD doları tasarruf sağlıyor. -IBM’e göre test edilmiş plan 2022 Veri İhlalinin Maliyeti raporu.
Mandiant’tan Kutscher, sonunda, olay müdahale firması ile müşterilerin devam eden bir ilişkisi olduğunda herkesin tasarruf edebileceğini söylüyor.
“Yangını söndürmekle kalmayıp aynı zamanda benzer bir olayın tekrar yaşanma riskini azaltmak için kuruluşla birlikte çalışarak iş ortakları ve siber sigorta şirketlerine danışan kuruluşlara sahip olmak çok, çok kritik.” diyor. “Bu, siber sigorta endüstrisinin kesinlikle yöneldiği bir şey.”
Bir IR satıcısı ile süregelen ilişkinin bir başka yararı da, şirketlerin etkin bir olay müdahalesi için yerinde olması gerekenleri bilmesidir. Olay müdahale firmalarından gelen sürekli tavsiye ve uzmanlık sayesinde, bir saldırı olduğunda, IR firması şirketin doğru verileri elinde tuttuğunu bilecek ve bu da soruşturmaya ölçülemez bir şekilde yardımcı olacaktır.
Palo Alto’dan Rubin, “Olay müdahalesi için bize ihtiyaç duyduklarında, soğuğa gitmiyoruz ve canlı ateş durumunda hızlanmıyoruz” diyor.
Microsoft’tan Look, Microsoft’un DART hizmetleri için kalifiye olmayan kendi güvenlik operasyon merkezlerine sahip şirketler için bile artık olay müdahale grubunu bir hizmetliye koyabileceklerini söylüyor.
“Microsoft güvenlik personelimizi kullanmasalar bile müşterilerimizle ilgilenebilmek istiyoruz” diyor. “Çünkü oradan gelen telemetriyi kullanarak araştırmalarımızı esas olarak buradan yapıyoruz. Ama bunun da ötesine genişliyoruz – istediğim kadar hızlı değil ama oraya gidiyoruz.”