EDR
BT güvenlik stratejisi hakkında konuşurken işletmeler genellikle tek bir soruyla ilgilenir: Hangi önlemler yeterlidir? Uzun bir süre boyunca genel kanıya göre pasif bir strateji (ağ çevresini ve iş istasyonlarını korumak) uygulamak yeterliydi. Ancak şirketlerin gelişmiş ve hedefli saldırılara maruz kaldığı düşünüldüğünde EDR (uç nokta tespiti ve yanıtı) gibi yeni yöntemlerin gerektiği açıkça görülür.
Pasif stratejiler neden yeterli değildir?
Pasif stratejiler, Truva Atları içeren e-postalar, kimlik avı hileleri ve herkesçe bilinen açıklar gibi kitlesel tehditlere karşı yararlı olabilir. Diğer bir deyişle bu stratejiler, saldırganlar geniş bir ağ atıp kandırmayı başardıkları kişileri yakalamayı ve onlardan fayda sağlamayı amaçladığında işe yarayabilir. Yaptıkları şey yasal değildir ancak genellikle saldırının karmaşıklığı (ve maliyeti) ile beklenen kâr arasında iyi bir denge kurmaya çalıştıkları bir iş uygulamasına sadık kalırlar.
Ancak şirketiniz ilgi çekici bir hedef haline gelirse (zaten şirket olması ilgi çekmesi için yeterli olabilir), spesifik bir hedef haline gelebilirsiniz. Bir şirketi hedef alan saldırganlar finansal işlemler, ticaret sırları veya müşteri bilgileri gibi çok farklı şeylerin peşinde olabilir. Amaçları yalnızca rakiplerinize yardım etmek için sizi sabote etmek de olabilir. Ya da sizin sektörünüzdeki bir şirkete saldırmanın kârlı olduğunu düşünebilirler.
İşte bu noktada suçlular karmaşık ve hedefli saldırılara yatırım yapar. Henüz piyasada bilinmeyen güvenlik açıklarına bakarak ve daha önce benzeri görülmemiş kullanım alanları bularak yazılımınızı araştırırlar. İş ortakları ve tedarikçilerden size ulaşma yollarını inceyebilir veya eski çalışanlarınıza rüşvet verebilirler. Sizden şikayetçi olan çalışanları bulup içeriden bir saldırı düzenlemeye çalışabilirler. Bu son durumda suçluların kötü amaçlı yazılım kullanmasına bile gerek kalmaz. Yalnızca geleneksel güvenlik çözümlerinin tehdit olarak algılamadığı yasal araçları kullanırlar.
Geç kalma neden çok tehlikelidir?
Pasif sistemlerin, hedefli saldırıyı veya hedefli saldırıyla ilgili bir hareketi tespit etme ihtimali vardır. Ancak tespit etseler bile bu sistemler çoğunlukla bir olay olduğunu tespit etmekle yetinir. Bu da size olayın tam olarak ne olduğu, olaydan hangi bilgilerin etkilendiği, nasıl durdurulabileceği ve yeniden olmasının nasıl engellenebileceği konusunda yardımcı olmaz.Şirketiniz yalnızca geleneksel uç nokta güvenlik araçları kullanıyorsa güvenlik hizmeti çalışanları saldırıya daima zamanında yanıt veremeyebilir. Siber olayın olmasını çaresizce bekler ve yalnızca olay gerçekleştikten sonra araştırmaya başlayabilirler. Ayrıca yalnızca işinizle ilgili yüzlerce küçük olayla ilgilenirken öncelikli bir olayı kaçırabilirler.
Genellikle analistler bu veriyi çok daha sonra fark eder. Olay, ancak zahmetli manuel işlemler gerektiren dikkatli bir incelemeden sonra yanıt ve kurtarma uzmanlarına gönderilir. Ciddi yanıt merkezlerine sahip büyük şirketlerde bile güvenlik uzmanlığı, analistlik ve yanıt uzmanlığı görevlerini aynı kişi üstlenir.
İstatistiklerimize göre, büyük bir şirketin sistemine ilk sızıldığı andan itibaren karmaşık bir tehdit algıladığı ana kadar geçen süre ortalama 214 gündür. En iyi ihtimalle, BT güvenlik uzmanları ölüm zincirinin son aşamasında bir saldırının izlerini bulmayı başarabilir. Ancak daha çok olay olduktan sonra kayıpları hesaplamak ve sistemi kurtarmak zorunda kalırlar.
Riskleri en aza indirme ve BT güvenliğini optimize etme
Kuruluşların fikri mülkiyetlerini, saygınlıklarını ve diğer önemli varlıklarını korumak için yeni ve uyarlanabilir bir yaklaşım gereklidir. Ağ çevresi ve iş istasyonları koruma stratejileri; aktif arama araçlarının yanı sıra BT güvenlik tehditlerine karşı birleşik araştırma ve yanıt ile düzenlenmeli ve güçlendirilmelidir.
Gerçek bir Siber Güvenlik stratejisi tehdit avlama olarak bilinen aktif arama konseptini kullanmalıdır. Bu, oldukça zor bir iştir ancak özelleştirilmiş araçların kullanılması bu görevi önemli ölçüde kolaylaştırabilir. EDR veya uç nokta tespit ve yanıt çözümü bu tür araçlardan biridir. Birleşik bir arayüz kullanarak BT güvenliği çalışanlarına iş istasyonlarındaki tehditleri hızlıca belirleme imkânı sunar. Daha sonra otomatik olarak bilgi toplar ve saldırıyı etkisiz hale getirir.
EDR sistemleri, birçok şirketin kurumsal ağlarındaki işlemleri kontrol etmek için çeşitli kaynaklardan elde ettiği tehdit istihbarat bilgilerini kullanır.
Teoride, EDR olmadan tehdit avlama gerçekleştirilebilir ancak yalnızca manuel tehdit avlama çok daha pahalı ve etkisizdir. Ayrıca, analistlerin çeşitli iş istasyonlarının çalışmasına doğrudan müdahale etmesini gerektirdiği için işlerinizi de olumsuz yönde etkileyebilir.
Sonuç olarak, EDR; güvenlik işlemleri merkezindeki uzmanlara ihtiyaçları olan tüm bilgiyi toplama, analiz etme (hem otomatik hem manuel olarak), karar verme ve daha sonra birleşik kontrol arayüzü ile her tür dosya veya kötü amaçlı yazılımı silme, her türlü nesneyi karantinaya alma ve kurtarma için gerekli tüm işlemleri başlatma imkânı sağlar. İş istasyonlarına fiziksel erişim gerektirmediği veya işlerin aksamasına neden olmadığı için tüm bu işlemler yapılırken kullanıcılar hiçbir şey fark etmez.
Uzun bir süre boyunca bu sorunlara bir çözüm oluşturmak için çalıştık ve EDR çözümümüzün pilot sürümünü piyasaya sunduk. Sizleri, EDR pilot programımıza katılmaya ve çözümümüz hakkında daha fazla bilgi almaya davet ediyoruz.
İpuçları