Yazan: Sıla Özeren Hacıoğlu, Picus Security Güvenlik Araştırma Mühendisi.
Pek çok organizasyonda, kırmızı ve mavi takımlar hâlâ silolar halinde çalışıyor, genellikle birbirleriyle karşı karşıya geliyor; hücum, içeri girmekle gurur duyuyor ve savunma, hattı korumak için elinden geleni yapıyor.
Ancak çoğu zaman çabaları ortada kalmıyor ve gürültü yaratıyor. Kırmızı takım bir tatbikat yapar, bulguları yayınlar ve yoluna devam ederken mavi takım, doğrulanmamış güvenlik açığı uyarıları ve kurallarıyla dolup taşar. İlerleme gibi görünebilir ama değil. Hücum boşlukları bir kez tanımlar; savunma her gün körü körüne savaşıyor.
Mor takım oluşturma bu denklemi yeniden yazıyor. Kırmızı ve maviyi rekabet etmek için değil, işbirliği yapmak için bir araya getirerek testi ortak bir sürece ve doğrulamayı ölçülebilir kanıtlara dönüştürür.
Bu iş birliğini çok daha değerli kılmanın anahtarı, gerçek zamanlı, sürekli ve sürekli doğrulamayı mümkün kılan İhlal ve Saldırı Simülasyonu'dur (BAS).
Çünkü gerçek şu: Saldırganlar, savunmaların koordine edebileceğinden daha hızlı gelişiyor ve yalnızca sürekli doğrulama yoluyla aradaki farkı kapatabiliriz.
Mor takım "daha dost canlısı kırmızı takım" değildir. Bu, her hücum koşusunu sürekli olarak savunmada bir gelişmeye dönüştüren, temelde daha etkili bir iş akışıdır. İş akışı şu şekilde ilerliyor:
Kırmızı saldırılar. Savunmaların nerede durduğunu veya nerede çöktüğünü ortaya çıkararak rakipleri hassas bir şekilde taklit ederler.
Mavi yanıt verir. Hangisinin yangını kontrol ettiğini, hangisinin sessiz kaldığını ve nedenini takip ediyorlar.
Daha sonra her ikisi de boşluklar kapanana kadar düzeltmeler, yeniden çalıştırmalar ve iyileştirmeler yaparak tekrar gider.
Bir takımı gerçekten mor yapan şey renk değil, bu döngüdür.
SANS Baş Eğitmeni Chris Dale'in son BAS Zirvesi'nde belirttiği gibi:
"Maviye karşı bu kırmızıyı daha az görmek istiyorum. Yakınsama istiyorum. Birbirimizi iyileştirmemizi istiyorum."
Mor takım çalışması bu yakınlaşmayı gerçeğe dönüştürüyor.
Rekabetin yerine işbirliğini koyan mor ekip çalışması, testleri devam eden bir doğrulama ve iyileştirme döngüsüne dönüştürür. Risklerin bu kadar yüksek olduğu, hız ve hassasiyetin hayatta kalmayı tanımlayabildiği bir alanda, bu sadece daha iyi bir zihniyet değil; ilerlemenin tek mantıklı yolu bu.
Manuel mor ekipleme yavaştır.
Her yeni düşman kampanyası saatlerce senaryo yazma, sahneleme ve ayarlama gerektirir. Bir ölüm zinciri hazır olduğunda, yeni kampanyalar halihazırda başlamış olabilir ve kuruluşunuz halihazırda kamuya açık raporlarda yer alıyor olabilir.
Artık geleneksel olarak ilerlemeyi yavaşlatan veya durduran manuel görevleri otomatikleştirerek bu gecikmeyi ortadan kaldırabilirsiniz. BAS:
MITRE ATT&CK çerçevesiyle eşlenen TTP'leri kullanarak gerçek dünyadaki düşmanları sürekli olarak simüle eder
Simüle edilmiş yükleri canlı kontrollere karşı güvenli bir şekilde yürütür ve
Önleme, tespit ve müdahale etkinliğinizi anında puanlar.
Burada otomasyon insan yaratıcılığının yerini almıyor; daha hızlı, daha doğru doğrulamayı mümkün kılarak onu güçlendirir.
Picus Kurucu Ortağı ve CTO'su Volkan Ertürk'ün BAS Zirvesi'nde vurguladığı gibi, "BAS, modern güvenliğin voltaj testidir; neyin geçerli olduğunu görmek için yığınınızda çalıştırdığınız akımdır."
BAS ile mor takım oluşturma tek seferlik bir etkinlik olmaktan çıkıyor ve üretken bir ritim haline geliyor. Saldırı. Gözlemlemek. Düzeltmek. Doğrula. Tekrarlamak.
Picus Güvenlik Doğrulama Platformunun sürekli mor ekip oluşturmanıza nasıl yardımcı olduğunu görün.
Gerçek düşman simülasyonlarını otomatikleştirin, her kontrolü doğrulayın ve kırmızı ve mavi takımlar arasındaki iş birliğini kanıtlanmış bir savunma gücüne dönüştürün.
Bir uyumluluk kontrol listesiyle liderlik etmeyin. Seni gerçekten yakacak olanla başla.
Düşmanın taç mücevherlerinize erişmek için kullanacağı gerçekçi, yüksek etkili saldırı yollarına odaklanın:
dahili keşif → ayrıcalık yükseltme → yatay hareket (WMI, PsExec) → kalıcılık (kayıt defteri, zamanlanmış görevler) → veri sızması → şifreleme ve yedeklemeye müdahale (ör. gölge kopya silme).
Bu saldırı zincirini durdurmaya veya tespit etmeye yönelik kontrollere, güvenlik duvarlarına, WAF'lara, e-posta ağ geçitlerine, IPS/IDS'ye, EDR/XDR'ye kadar genişletin ve önleme, tespit ve yanıtı ölçmek için senaryoyu BAS'ta güvenli bir şekilde çalıştırın.
Yığını izleyin:
Ne ateş etti? — Bu kontroller işe yaradı.
Ne sessiz kaldı? — Bunu en büyük iyileştirme önceliğiniz haline getirin.
Davranış/teknik yerine imzalarla ilgili ne uyarısı yapıldı? — Bu gürültüdür; tespitlerin tekniğe eşlenmesi için yeniden ayarlayın.
BAS tarafından yürütülen her saldırı simülasyonu kanıt üretir ve ortaya çıkan boşluklar üzerinde anında harekete geçmenize olanak tanır.
Bu şekilde, hem önleme hem de tespit yoluyla kaçan şeylere öncelik verebilirsiniz; bunlar savunmanızın engelleyemediği veya tespit edemediği gerçek risklerdir.
Benzer şekilde, mevcut kontrollerinizin halihazırda hafiflettiği güvenlik açıklarının önceliklerini kaldırabilirsiniz; CVSS açısından kritik olan her güvenlik açığının yamanmasına gerek yoktur, özellikle de telafi edici kontroller zaten mevcutsa ve kötüye kullanımı aktif olarak önlüyorsa.
Geriye kalan her boşluğu inceleyin ve üç faktörü kullanarak değerlendirin:
Etki: Eğer istismar edilirse hasar ne kadar önemli olur?
Tespit edilebilirlik: Mevcut araçlarla tespit etmek ne kadar kolay?
İş Bağlamı: Bu risk ortamınızda nerede bulunuyor ve istismar edilmesi durumunda hangi varlıkları etkiler?
Günümüzün karmaşık ortamlarında her şeyi bir anda düzeltmek imkansız olmasa da pratik değildir. Öncelikle en kritik boşluklara odaklanın: gerçek bir ihlale yol açabilecek en yüksek etkili ve en az tespit edilebilir boşluklara.
Bu süreç, maruz kalma ve tepki arasındaki döngüyü kısaltır.
Gerçekten neyin geliştiğine odaklanın:
BAS'ın uygulanmasından önce ve sonra tespit etme süresi.
Bir düzeltmeyi doğrulamak ve etkinliğini onaylamak için geçen ortalama süre.
Tespit edilen ve önlenen TTP'lerin (Taktikler, Teknikler ve Prosedürler) yüzdesi.
Bu ölçümler size kırmızı ve mavi ekip işbirliğinin gerçekten ilerlemeyi mi sağladığını, yoksa sadece hareket halinde olup olmadığınızı gösterecektir.
Sutter Health'in Saldırı Güvenliği ve Tehdit İstihbaratı Lideri Jaime Rodriguez'in belirttiği gibi: "Bu, her zaman, her yerde çalıştırabileceğimiz sürekli bir doğrulama döngüsü."
Amaç sadece saldırı yapmak değil. Gerçek savunmalarınızın sürekli olarak doğrulanmasını ve güvenlik hedeflerinizle uyumlu olmasını sağlayarak, açığa çıkma ve güvence arasındaki boşluğu kapatmaktır.
Yapay zeka artık bir tehdit raporunu hızlı bir şekilde okuyabilir ve dakikalar içinde eksiksiz bir öykünme planı oluşturabilir.
Bu ileriye doğru büyük bir adım olsa da önemli riskleri de beraberinde getiriyor. Volkan Ertürk şu uyarıda bulundu: "Büyük bir modelden (LLM) yüklerinizi oluşturmasını isteyin; kendinizi gerçekten yanlış şeyi simüle ederken bulabilirsiniz."
Daha akıllıca bir yaklaşım şudur:
Tehdit istihbaratını ayrıştırmak ve bunu TTP'lerle eşlemek için yapay zekayı kullanın.
Güvenlik ve kalite için seçilmiş bir BAS kitaplığında yükleri koruyun ve güncelleyin.
Uygulamadan önce daima ekibinizin planları incelemesini sağlayın.
Yapay zeka, insan yargısının yerine geçmemeli, yardımcı olmalıdır. Planın taslağını hazırlayabilir ancak güvenlik ekibinizin neyin güvenli olduğuna karar vermesi gerekir.
Yapay zeka bunu yaparak, güvenlik ekiplerinin dahil edecekleri tehditleri manuel olarak haritalandırdığı geleneksel 48 saatlik haritalama döngüsüne olan ihtiyacı ortadan kaldırır.
Kırmızı ekibiniz hâlâ "alan adı yöneticisine ulaşıldı" ifadesini ölçüyorsa tebrikler, 2015'te takılıp kaldınız. Eğer mavi takımınız hala 'uyarıların tetiklenmesini' kutluyorsa, aynı zamanda tehlikeli bir şekilde geçmişte yaşıyorsunuz demektir.
Günümüzde başarı, her sprintten elde edilen sürekli kanıtlarla ölçülüyor:
Hangi TTP'ler taklit edildi?
Hangi tespitler ayarlandı?
Hangi düzeltmeler yeniden doğrulandı?
Güvenlik olgunluğu, kaç tane araç dağıttığınızla ilgili değildir; çalıştıklarını ne sıklıkta doğruladığınızdır.
Aylarca süren BAS destekli mor ekip çalışmasının ardından bazı temel, dramatik değişiklikler görüyoruz:
Takımlar varsayımsal riskleri tartışmıyor.
Yöneticiler ihtiyaç duydukları verilere zaten sahip oldukları için güvence raporları talep etmiyorlar.
Her yamanın, her hafifletmenin, her kuralın somut bir nedeni vardır: test edilmiş, onaylanmış ve kanıtlanmış.
Bu noktada sürekli doğrulama ikinci doğanız haline gelir ve ekiplerinizin güvenlik anlayışında temel bir değişime işaret eder.
Chris Dale'in açılış konuşması güçlü bir açıklama bıraktı: "Güvenlik ihlalde başarısız olmaz; etki noktasında başarısız olur."
BAS odaklı mor ekip oluşturma, varsayımlar veya umutlarla değil, savunmalarınızı titizlikle test ederek, gerçeği ortaya çıkararak ve ekibinizi harekete geçme konusunda güçlendirerek bu etkiyi önlemek için oluşturulmuştur.
Tehdit odaklı mor ekip oluşturmayı benimsemek ve gerçekçi düşman davranışlarına karşı hazırlıklı olduğunuzu doğrulamak ve teşhir ile güvence arasındaki döngüyü kapatmak için demonuzu hemen talep edin.
Picus Security'nin sponsorluğunda ve yazılmıştır.
Kaynak: Bleeping Computer