XDR’a geçme zamanı gelmiş olabilir mi?

“Hedef olmak için çok küçüğüz” şeklindeki yanlış kanı, günümüzde giderek azalmaktadır. Son yıllarda meydana gelen çok sayıda tedarik zinciri saldırısı, sofistike bir saldırıyla karşı karşıya kalmak için saldırganların en büyük hedefi olmak gerekmediğini göstermiştir. Tek gereken, büyük bir müşteri veya iş ortağına sahip olmak ya da geniş bir müşteri tabanına sahip olmaktır. Bu nedenle birçok küçük ve orta ölçekli işletme (KOBİ) uzun zamandır EDR çözümlerini benimsemiştir. Neyse ki, piyasada küçük şirketlerin bile erişebileceği ve yönetimi pek de zor olmayan modern EDR ürünleri bulunmaktadır.

Ancak EDR işlevselliği ihtiyaçlarınız için yeterli mi, yoksa XDR’ı düşünmeye başlamanın zamanı geldi mi? Bunu cevaplamak için, kendinize dört soru daha sormanız gerekir.

Siber güvenlik ekibiniz uyarıların yoğunluğuyla başa çıkabiliyor mu?

EDR konsolunu kullanan her siber güvenlik çalışanı, çok sayıda uç nokta uyarısını işlemek zorundadır. Tek bir olay yüzlerce benzer uyarıyı tetikleyebilir; örneğin, aynı kötü amaçlı dosya yüz farklı uç noktada tespit edilebilir. Bu uyarıların her biri, siber güvenlik uzmanının zamanını ve dikkatini tüketir. Bu tekrarlayan, yorucu işler güvenlik ekibinin tükenmişliğinin başlıca nedenidir.

Kaspersky Next XDR Optimum ile, ilgili uyarılar bir araya getirilerek operatörlerin olayın daha eksiksiz bir resmini anında görebilmeleri sağlanır. Yanıt eylemleri, tek tek ele almak yerine tek bir tıklama ile tüm benzer uyarılara uygulanabilir. Bu, ekibin iş yükünü azaltır ve olaylara müdahale süresini önemli ölçüde kısaltır.

Uzmanlarınızın olayları araştırmak için yeterli zamanı var mı?

EDR çözümünüzün iş istasyonlarınızdan birinde kötü amaçlı bir etkinlik tespit ettiğini varsayalım. EDR operatörünün mantıklı tepkisi, cihazı izole etmek ve kapsamlı bir şekilde incelemektir. Ancak bu zaman alır ve ciddi bir olay söz konusu olduğunda zaman, sahip olmadığınız tek şeydir. İlk olarak, saldırının hangi aşamada tespit edildiği hemen anlaşılmayabilir. Saldırganlar diğer uç noktalara da erişim sağlamış olabilir. İkincisi, günümüzde çok sayıda saldırı, kurumsal kimlik bilgilerinin ele geçirilmesi nedeniyle gerçekleşmektedir. Operatör, bir çalışanın yanlışlıkla kötü amaçlı bir e-posta ekini açıp açmadığını veya bir yabancı kişinin o çalışanın kimliği ile oturum açarak altyapıya saldırıp saldırmadığını bilemez. İkincisi söz konusuysa, aynı kullanıcı adı ve parola ile başka bir yerde erişim sağlamaya çalışabilirler.

Next XDR Optimum, doğrudan uyarı kartından Active Directory’de kullanıcıları engellemenizi sağlar. Bu, saldırıyı kontrol altına almaya, olası hasarı sınırlandırmaya ve daha kapsamlı bir soruşturma için değerli zamanı geri kazanmaya yardımcı olur.

Siber güvenlik ekibiniz tehditlere yanıt verirken yeterli bağlama sahip mi?

EDR uyarısı, operatöre bir iş istasyonunda kötü amaçlı bir dosya tespit edildiğini bildirir, böylece operatör savunma önlemleri almaya başlayabilir. Ama bazen bu yeterli olmaz. Kötü amaçlı bir dosya, tespit edilmesi ve önlenmesi için daha derinlemesine bir araştırma gerektiren daha büyük bir saldırının sadece bir parçası olabilir.

Next XDR Optimum, operatörlerin Kaspersky Cloud Sandbox’a erişimini sağlar. Burada şüpheli dosyalar izole bir bulut ortamına yüklenebilir ve gerçekte ne yaptıklarını görmek için güvenli bir şekilde analiz edilebilir. Sistem, güvenlik ihlali oluşturmaya yardımcı olur ve altyapıyı diğer uç noktalardaki aynı tehditlere karşı hızlı bir şekilde taramaya olanak tanır.

Çalışanlarınız siber tehditlerin yeterince farkında mı?

Uyarı yüklemesi sorununa geri dönersek: Bir olayı araştırırken EDR sistemi ile çalışan siber güvenlik uzmanları, bazen uyarının nedeninin insan hatası olduğunu fark ederler. Mesela, birisi bir e-postadaki kötü amaçlı eki açmış veya bir kimlik avı web sayfasına yönlendiren bir bağlantıyı tıklamıştır. Deneyimler, çalışanların farkındalığının artırılmasının genel olarak siber güvenlik ekiplerinin iş yükünü ve özellikle de uyarı hacmini önemli ölçüde azalttığını göstermektedir. Bu amaçla, iyi tasarlanmış bir eğitim programı, derslerden ve ara sıra yapılan hatırlatmalardan daha etkilidir.

Bu avantaj, XDR işlevselliği ile doğrudan ilgili değildir; ancak, her Kaspersky Next XDR Optimum lisansı, yüksek etkili olaylara neden olma olasılığı en yüksek olan çalışanlar (yöneticiler, finans ekibi üyeleri, ayrıcalıklı kullanıcılar ve daha önce sosyal mühendisliğin kurbanı olmuş kişiler) için hedefli Kaspersky Güvenlik Farkındalığı eğitimi içerir. Ancak en önemlisi, Next XDR Optimum, siber güvenlik uzmanının olay müdahalesini kesintiye uğratmadan, uyarı kartından doğrudan kullanıcıya ilgili bir kurs atamasını sağlar. Deneyimler, bir olaya neden olan bir başarısızlığın hemen ardından alınan derslerin özellikle akılda kalıcı ve yararlı olduğunu ve bu nedenle gelecekte aynı hatanın tekrar yapılmasını önlemeye yardımcı olduğunu göstermektedir.

Siber güvenlik ekibiniz uyarılarla boğulmuş hissediyorsa veya daha fazla yönetim aracına ve tehdit bağlamına ihtiyaç duyuyorsa, Kaspersky XDR Optimum‘a geçmeyi düşünmeye değer. Kaspersky EDR Optimum’dan XDR Optimum’a geçiş için ek kaynaklara veya personelin yeniden eğitim almasına gerek olmaz. Maliyetteki hafif artış ise, şirketinizin altyapı güvenliğindeki önemli iyileşmeyle kıyaslandığında çok düşük kalır.