2020’de SolarWinds ihlali hakkında bilgi bulmak zor değildi. Aslında, Drew Gallis gibi siber güvenlik analistlerinin sorunu, yorumların sağır edici gürültüsüydü. hakkında ihlal. Kriz zamanında, New York Times gibi siteler ve diğer editoryal kaynaklar, güvenlikle ilgili kaynaklardan gelen eyleme dönüştürülebilir teknik bilgileri bastırma eğilimindedir.
“SolarWinds, teknik içgörü içermeyen şeyler söyleyen tüm bu makalelerin bu büyük haber hattına fırladı.”
Drew, HBO, Domino’s, Anheuser-Busch InBev, FOX Sports ve Hilton gibi müşterilerle dijital ürün danışmanlığı yapan WillowTree’de siber güvenlik analistidir. Olaya müdahale, olay düzeltme, güvenlik haberlerini raporlama ve web ve mobil uygulamaların güvenliğini sağlamadan sorumlu küçük bir güvenlik ekibinin parçasıdır. Tehdit istihbaratını izlemek için sahip olduğu sınırlı süre göz önüne alındığında, Drew’in kritik teknik güncellemeleri SolarWinds saldırısıyla ilgili gereksiz haber yorumlarından ayırmanın bir yoluna ihtiyacı vardı.
Saldırının gürültüsünün ortasında eyleme dönüştürülebilir teknik bilgiler bulma
Drew, “Birçok haber kuruluşu, bunları neden söylediklerine dair herhangi bir teknik destek sağlamadan, farklı şirketleri işaret ediyor” diyor. Şirketini, kendilerini ve müşterilerini SolarWinds ile ilgili ihlallerden korumak için ihtiyaç duydukları gerçeklerle donatmak için yararlanabileceği yararlı, eyleme geçirilebilir bilgiler bulması gerekiyordu.
Drew ve WillowTree’deki siber güvenlik ekibi, SolarWinds saldırısı sırasında güvenlik haberlerini izlemek için Feedly kurulumlarına büyük ölçüde eğildi. İçinde ihlal hakkında yayınladığı makaleDrew şöyle yazıyor: “Feedly, “beslemelerimizi” organizasyon ihlalleri, kritik CVE’ler, satıcı sürümleri, sistem güvenlik açıkları, yeni güvenlik gibi temel göstergeleri daraltan filtrelere göre sıralayıp toplayabilen Leo adlı bir yapay zekadan yararlanmamıza ve kullanmamıza izin veriyor. alet, vb.”
“SolarWinds sırasında neler olduğuna dair gerçek teknik bilgileri bulmak için Feedly’yi kullandım. Böyle Saldırının nasıl gerçekleştirildiğine dair IoC’leri ve teknik belgeleri kolayca görebiliyordum.”
Yanlış bilgileri ortadan kaldırmak ve IoC’leri toplamak için Leo’yu kullanma
Drew, Leo’yu, Rusya’nın sahibi olduğu TeamCity şirketinin suçlamaları gibi konuyla ilgili bol miktarda bulunan yanlış bilgileri hızla ortadan kaldırmak için kullandı. Ayrıca, günlükler, veriler ve istatistikler gibi sorunla ilgili herhangi bir uzlaşma göstergesi (IoC) toplayabildi.
Drew ve ekibi, SolarWinds saldırısı sırasında tehdit istihbaratı toplayarak, geliştiricilere ve proje yöneticilerine, WillowTree’nin müşterilerinin ihlallere karşı proaktif olarak koruma sağlamasına yardımcı olmak için eyleme dönüştürülebilir raporlar sunmayı başardı. “Feedly’yi bilgileri birleştirmek ve daha sonra müşterilerimizle paylaşabileceğimiz eyleme dönüştürülebilir belgeler ve raporlar oluşturmak için kullanıyorum. SolarWinds için, müşterilerimize kendilerini daha iyi koruyabilmeleri için gerçek ihlalle ilişkili uzlaşma göstergeleri ve farklı alan adları veriyordum.”
Drew, Feedly’de bulduğu bilgileri, müşterileri yalnızca SolarWinds ile ilgili uzlaşma göstergeleri ve kavram kanıtları hakkında eğitmekle kalmayıp, aynı zamanda gelecekteki saldırılar sırasında kendilerini korumalarına yardımcı olmak için kullanır.
“Bilgileri birleştirmek ve hızlı bir şekilde bilgi oluşturmak için Feedly’yi kullanıyorum. müşterilerimizle paylaşabileceğimiz eyleme dönüştürülebilir belgeler ve raporlar”
WillowTree, eyleme dönüştürülebilir içgörüleri gürültülü yorumlardan ayırmak için Feedly for Cybersecurity’yi kullanır. Tehdit istihbaratı için Feedly’yi kullanma hakkında daha fazla bilgi edinmek için, WillowTree’nin kurulumuyla ilgili vaka çalışmasının tamamını okuyun.
Siber Güvenlik için Feedly’yi Deneyin
30 günlük Feedly for Cybersecurity deneme sürümünü başlatın ve gürültü olmadan kritik tehdit istihbaratına ayak uydurun.
Kaynak : https://blog.feedly.com/solar-winds-case-study/