EDR
Bilgi güvenliği alanında ürün ve hizmetleri – ve ayrıca bunların sayısız işlev ve özelliklerini – tek kelime ile anlatmak zordur. Neden mi? Çünkü karmaşıktır…
Siber güvenlik, bir tekne gibi tek boyutlu bir nesne değildir. Her ne kadar farklı büyüklüklerde tekneler olsa da, günün sonunda bir tekne çoğu zaman sadece bir teknedir. Ancak bilgi güvenliği alanında, modern bir kurumsal siber güvenlik sistemini basit, akılda kalıcı (mümkünse) ve herkesin kolayca anlayabileceği şekilde nasıl etiketleyebilirsiniz? Bir güvenlik sistemini diğerinden nasıl ayırt edebilirsiniz? Genellikle bir ürün veya hizmetin bu tür farklılıklarını uzun bir paragrafta kolayca açıklayamazsınız. Çünkü dediğim gibi, bu oldukça zor.
Belki de bazılarının Kaspersky’yi hala sadece bir “antivirüs yazılımı” sanmasının nedeni de bu. Halbuki günümüzde, bir antivirüs veritabanına göre kötü amaçlı yazılımları tespit edip etkisizleştirmek, Kaspersky olarak sunduğumuz güvenlik teknolojilerinden sadece biri. Geçtiğimiz çeyrek yüzyılı aşkın süre boyunca, bunun dışında pek çok yeni özellik tanıttık. Artık antivirüs kelimesi, daha çok bir metafor olarak kullanılıyor. Birçok insan tarafından bilinmesi ve anlaşılması, bu kelimeyi oldukça kullanışlı (çok doğru veya güncel bir ifade olmasa da) bir etikete dönüştürüyor.
Ancak insanlara kurumsal BT altyapısına yönelik karmaşık ve çok işlevli bir koruma hakkında nasıl bilgi verebiliriz? İşte burada sahnede garip kelime grupları çıkıyor. Ve bir de bunlara, bu garip kelime gruplarını daha sadece bir şekilde anlatma amacıyla ortaya çıkan ancak genelde kafaları daha da karıştıran kısaltmalar ekleniyor! Üstelik her yıl eklenen yepyeni terim ve kısaltmalarla tüm bunları ezberlemek daha da zorlaşıyor. O zaman gelin, sizleri tüm bu laf salatasına neden olan karmaşık ancak bilinmesi de gereken tüm bu isimleri, terimleri, tanımları ve kısaltmaları anlatarak bir gezintiye çıkarayım ve bu konuları açıklığa kavuşturmaya çalışayım.
EPP’den XDR’ye
Evet. Öncelikle, antivirüsler için verdiğim tekne örneğine geri dönelim.
Günümüzde bu antivirüs ürün sınıfını, Endpoint Protection (Uç Nokta Güvenliği) veya Endpoint Security (Uç Nokta Güvenliği) olarak daha doğru ifade edebiliriz. Sonuçta, yukarıda da belirttiğim gibi, günümüzde uç nokta korumasını sadece antivirüsler değil, daha çok bir dizi güvenlik önlemi sağlıyor. Hatta çeşitli uç nokta teknolojilerinin “platform” dahil daha güncel isimlerle de anıldığını duyabilirsiniz. EPP‘nin açılımının Endpoint Protection Platform/Uç Nokta Koruma Platformu olduğunu düşünürsek, aslında bu isim bize çok daha uygun ve doğru bir tanım sunuyor.
Aslında Uç Nokta Koruma Platformu, tarihi 1990’lara uzanan bir konsept. Her ne kadar buna hala ihtiyaç duyulsa da, dağıtık altyapının kaliteli bir şekilde korunması için farklı yöntemlerden de faydalanılmalıdır. Hem tekil olayların hem de tek bir uç nokta ile sınırlı olmayan tüm saldırı zincirlerinin tespit edilmesi için veriler tüm ağdan toplanmalı ve analiz edilmelidir. Tehditlere, yalnızca bir bilgisayardan değil, tüm ağ genelinde yanıt verilmelidir.
Tarihi on yıl kadar ileri, 2000’lerin başına sardığımızda SIEM kısaltmasıyla bilgi güvenliği ve olay yönetimi adı verilen bir ürün sınıfının ortaya çıktığını görüyoruz. SIEM, tüm bilgi güvenliği telemetrisinin çeşitli cihazlardan ve uygulamalardan toplanması ve analizinde kullanılan bir araçtır. Üstelik sadece bugün için de değil: İyi bir SIEM, geçmişe dönük analiz yaparak geçmişteki olayları karşılaştırabilir ve aylar hatta yıllar süren saldırıları bile ortaya çıkarabilir.
Yani, bu aşamada (arka sıralarda dikkatlice dinlemeyenler için 2000’lerin başında!) zaten tüm ağ ile çalışıyoruz. Fark ettiyseniz, SIEM kısaltmasında “Koruma/Protection” için kullanılan bir “P” harfi yok. Çünkü koruma, EPP (Uç Nokta Koruma Platformu) ile sağlandı (arkadakiler, dersten sonra cezalısınız!). Ancak, EPP ağ olaylarını görmez. Örneğin, bir APT‘yi (gelişmiş sürekli tehdit) kolayca gözden kaçırabilir.
Böylece, 2010’ların başında, bu boşluğu doldurarak her iki güvenlik işlevini de kapsayan başka bir kısaltma ortaya çıktı: EDR (Endpoint Detection and Response/Uç Nokta Tespit ve Müdahale). EDR, tüm ana bilgisayarlardan gelen saldırıları izlerinin derlenmesi gibi işlemlerin yapılmasına izin vererek tüm BT altyapısının merkezi olarak izlenmesini sağlar. Ayrıca, EDR türü bir ürün, tespit yaparken olayların korelasyon analizi, anormallikleri makine öğrenimine göre ayıklama, korumalı bir alandaki şüpheli nesnelerin dinamik analizi ile müdahale ve incelemeyi destekleyici çeşitli diğer tehdit avlama araçları gibi hem EPP yöntemlerini hem de daha gelişmiş teknolojileri kullanır.
Ve burada, K‘da, kendi EDR ürünümüzü adlandırırken biz de kendi imzamızı atıyoruz: KEDR.
Buraya kadar her şey yolunda. Ancak mükemmelliğin bir sınırı yok!
2020’lerin başına geldiğimizde, siber güvenlik endüstrisinde hızla popüler hale gelen yepyeni bir kısaltma ile karşılaşıyoruz: XDR (genişletilmiş tespit ve yanıt). XDR için kaba bir ifadeyle steroid almış EDR diyebiliriz. Bu öyle bir sistem ki, verileri hem uç noktalardan (iş istasyonlarından) hem de posta ağ geçitleri ve bulut kaynakları gibi diğer kaynaklardan da analiz edebiliyor. Altyapıya yönelik saldırıların her türlü giriş noktasından gelebileceğini düşünürsek, oldukça faydalı bir sistem.
Üstelik XDR, aşağıdakilerden elde edilecek ek verilerle uzmanlığı açısından daha da güçlendirilebilir:
- tehdit-analiz hizmetleri (bizim bu hizmeti veren ürünümüzün adı TIP ( Tehdit İstihbaratı Portalı),
- ağ-trafik analiz sistemleri (bizim ürünümüzün adı – KATA),
- ve güvenlik olayları izleme sistemleri.
Bu tür veriler, üçüncü taraflarca sağlanan benzer hizmetler aracılığıyla da elde edilebilir.
Ayrıca XDR, gelişmiş müdahale becerilerine de sahiptir. Eskiden manuel olarak yapılan tüm koruyucu eylemler giderek daha da otomatikleşiyor. Artık bir güvenlik sistemi, uzmanlar tarafından girilen kurnazca kurallara ve senaryolara göre olaylara kendisi yanıt verebiliyor.
XDR özelliklerine sahip Kaspersky Anti-Targeted Attack Platform (KATA).
Karmaşıklık mı sadelik mi?
Umarım, herhangi bir EDR veya XDR’nin aslında büyük ve karmaşık bir teknoloji dizinini temsil ettiği artık daha net anlaşılıyordur. Ancak elbette, farklı sağlayıcılarca sunulan EDR veya XDR ürünlerinin işlevleri büyük ölçüde farklılık gösterebilir. Örneğin, her sağlayıcı, kendi uzmanlarının bir EDR/XDR ürününe nelerin ve ne kadar dahil olduğunu belirleyerek günümüzde karşılaşılan saldırıları daha iyi yansıtıp engeller. Yani, bu gruptaki tüm ürünlere EDR/XDR denilse de, hepsi aynı işlevleri sunmaz.
Örneğin, yukarıda listelenen XDR becerilerine ek olarak, Kaspersky'nin XDR platformu, müşteri şirketlerin çalışanlarının siber okuryazarlığını artırmayı hedefleyen etkileşimli eğitim modülü de sunar. Üstelik, bu özelliği sunan başka bir XDR ürünü yok! Elbette bu, övünmek için olmasa da mutlu hissetmemiz için iyi bir neden, değil mi?
Gerçi, şüpheciler bu durumdan da mutlu olmayabilir. İşletme korumasına sahip olduğumuz gerekli gereksiz her şeyi eklersek, bu çok fazla olmaz mı diyebilirler. Bu tür bir korumayı, fazlasıyla karmaşık, kullanışsız, anlaşılması zor ve uzmanlaşması güçleşen bir bataklık olarak yorumlayabilirler. “Sırada ne var? Gelecek yıl YDR ile, bir sonraki yıl ise ZDR ile yeni pazarlama türleri de mi eklenecek?” diye düşünebilirler.
Evet, nereye varmak istediklerini anlıyoruz. Ancak biz, müşterilerimize de kulak verdik. Yıllar içinde anladık ki, kurumsal siber güvenlik alanında aslında her şirketin her özelliğe ihtiyacı yok. Çoğu zaman, bu gibi şirketlerin ihtiyacı olduğunu keşfettiğimiz şey, sadece temel bir EDR araçları seti ile bu araçların nasıl kullanılacağına ilişkin net ve kullanışlı talimatlar oldu. Bu, özellikle de sınırlı bir bilgi güvenliği uzmanları ekibine sahip küçük ve orta ölçekli işletmeler için geçerli olan bir durum.
Peki biz, bu daha temel ihtiyaçları karşılamak için ne yaptık? Yeni ve gelişmiş KEDR Optimum ile tanışın: “İşletmeleri en yeni tehditlere karşı koruyan kullanıcı dostu bir pakette sunulan gelişmiş tespit, basit inceleme ve otomatik yanıt”. Örneğin, şüpheli olay ve tehditlerin ayrıntılı açıklamalarına ek olarak, yeni uyarı kartlarına artık bir Rehberli Yanıt bölümü ekledik. Bu bölüm, keşfedilen tehditlere yönelik müdahale ve inceleme için adım adım öneriler sunar.
Kaspersky Endpoint Detection and Response Optimum önerileri.
Önde gelen uzmanlarımızın onlarca yıllık özverili çalışmalarının sonucunda hazırlanan bu öneriler, koruyucu prosedürlere yönelik ayrıntılı açıklamalar içeren bağlantılar biçiminde sunulur. Böylece, hem olay yanıt süresi hızlanır hem de bilgi güvenliği uzmanlığı kursiyerlerinin etkileşimli açılır pencereler gibi seçeneklerle becerilerini geliştirmeleri sağlanır:
Kaspersky Endpoint Detection and Response Optimum etkileşimli açılır pencere.
KEDR Optimum’un bir diğer yeni özelliği, bilgi güvenliği uzmanlarının istemeden herhangi bir kritik sistem nesnesini engelleyip engellemediğini gözlemektir. Sonuçta, bazen kötü amaçlı yazılımlar yasal işletim sistemi dosyaları kullanılarak da başlatılabilir. Dolayısıyla, bu tür dosyaların engellenmesi tüm BT altyapısının çalışmasını engelleyebilir. Ancak KEDR Optimum ile, güvendesiniz.
Son olarak, KEDR Optimum ile ilgili bir şeyden daha bahsetmek istiyorum. Bu yazıdaki her şeyi Bay K olarak ben yazdım. Daha tarafsız bir inceleme görmek ister misiniz? Seve seve! Bu konudaki fikirlerini öğrenmek için bağımsız test laboratuvarlarına göz atabilirsiniz. Örneğin, IDC, Radicati ve SE Lab gibi laboratuvarların görüşlerini inceleyebilirsiniz. İşte! Her şey %100 şeffaf ve adil.
İpuçları