KOBİ’ler için bir MXDR çözümü nasıl olmalı?

Managed Extended Detection and Response (MXDR) çözümleri uzun süredir büyük şirketler için vazgeçilmez bir unsur olmuş durumda. MXDR çözümleri; 7/24 izleme, sürekli tehdit yönetimi ve hızlı olay müdahalesi sağladıkları gibi, bunların hiçbirini şirket içi altyapı kurmaya ve bakımını yapmaya gerek kalmadan gerçekleştirirler. En önemlisi, siber güvenlik maliyetlerini öngörülebilir hale getirirler. Küçük ve orta ölçekli işletmeler (KOBİ’ler) için de ideal bir seçenek gibi görünürler. Ancak pratikte bu her zaman böyle değildir. Bir KOBİ için, standart bir MXDR çözümü, iç BT güvenlik ekibi için işleri basitleştirmek yerine karmaşıklaştırabilir, ekip üyelerini kafa karıştırıcı uyarılar ve çok sayıda araçla aşırı yorabilir.

Bu yazıda, büyük işletmeler için uygun olan MXDR hizmeti ile büyüyen KOBİ’lerin güvenlik çerçevesine mükemmel şekilde uyan MXDR hizmeti arasındaki farklar ele alınmaktadır. Ayrıca, KOBİ’ler için ideal MXDR çözümünün sahip olması gereken özellikleri de özetleyeceğiz.

Kurumsal düzeydeki MXDR çözümleri neden KOBİ’ler için uygun değildir?

Büyük şirketler genellikle, hizmeti sorunsuz bir şekilde entegre edebilecek ve yetkin bir şekilde yönetebilecek, nispeten olgun süreçlere ve nitelikli uzmanlara sahip özel bir siber güvenlik ekibine sahiptir. Bu nedenle, büyük işletmeler genellikle MXDR çözümlerini hibrit SOC modelinin bir parçası olarak kullanır: Harici bir sağlayıcının ekibi bazı görevleri üstlenir, ancak işin önemli bir kısmı şirket içi ekip tarafından gerçekleştirilir.

Çoğu KOBİ, gerekli çözümler ve en önemlisi, saldırganların taktikleri, teknikleri ve prosedürleri (TTP) hakkında yeterli bilgiye ve bunlara karşı koyma becerisine sahip en az bir kişiden oluşan özel bir şirket içi siber güvenlik ekibinden yoksundur. Çoğu zaman, birden fazla telemetri kaynağını entegre etmek, korelasyon kuralları oluşturmak veya çok sayıda uyarıyı analiz etmek için yeterli zamanları veya uzmanlıkları yoktur. KOBİ’lerde güvenlik, çoğu zaman dış analistlerle sürekli iletişim kurmak için yeterli bant genişliğine sahip olmayan BT ekibi üyelerinin sorumluluğundadır.

Bir çözümü KOBİ altyapısına kurumsal düzeyde entegre etmeye çalışmak, genellikle süreçleri basitleştirilmek yerine; kimsenin analiz edemediği bir dizi olay uyarısı ve ekibin içinde kaybolduğu karmaşık arabirimler ve süreçlerle, bilakis aşırı yüklenmeye sebep olur. Bu koşullar altında, şirket içinde uzmanlık geliştirmek son derece zordur zira ekip, şirketin güvenlik düzeyini yeterli derecede tutmakla meşgul olduğundan başka bir şeye zaman ayıramamaktadır. İşte bu nedenle KOBİ’ler; daha net, ortaklık üzerine kurulu ve iç ekibi değiştirmek yerine geliştirmeye odaklanan farklı bir MXDR formatına ihtiyaç duyarlar.

KOBİ’ler için ideal MXDR’nin anatomisi

İç ekibin sadece güvenliği sağlamakla kalmayıp, aynı zamanda kendi uzmanlığını da geliştirmesi gerektiğinde, MXDR hizmeti siber güvenlik işlevini basitçe değiştirmek yerine, deneyimli ve nitelikli uzmanların desteğini sağlamalıdır. Bu, sağlayıcının sadece bazı sorumlulukları üstlenip tehditleri etkisiz hale getirmeye yardımcı olmakla kalmayıp, aynı zamanda aşağıdakileri de yaptığı bir ortaklık olmalıdır:

• Müşterinin ekibine olayın nasıl meydana geldiğini ve hangi sonuçların çıkarılabileceğini gösterir.
• İç ekibi sınırlamadan, bağımsız araştırma ve müdahale için gelişmiş araçlar sağlar.
• Şirketin kurumsal kültürüne, siber güvenlik ile ilgili unsurların yerleştirilmesine yardımcı olur.

Diğer bir deyişle, bir KOBİ için ideal MXDR hizmeti, ekibin yerine değil, ekiple birlikte çalışandır. Aşağıda, bu çözümün sahip olması gereken belirli özelliklere bakacağız.

Esneklik ve şirketin olgunluk düzeyine uyum sağlama yeteneği

KOBİ’ler sadece ihtiyaçları açısından değil, siber güvenlik olgunluk düzeyleri açısından da farklılık gösterebilirler. Bu nedenle, MXDR hizmeti temel otomasyon veya tek tip senaryolarla sınırlı kalmamalıdır. Çözüm sağlayıcı, her bir müşterinin özel ihtiyaçlarına uyum sağlayabilmelidir.

Bu, algılama ve uyarı önceliklendirme kurallarının; altyapının özelliklerine, kullanılan yazılım ve güvenlik araçlarına ve çeşitli kullanıcı gruplarının davranışlarına göre yapılandırılması gerektiği anlamına gelir. Bu, gerçek tehditleri normal faaliyetlerden ayırt etmeyi mümkün kılar ve sonuç olarak hatalı pozitiflerin sayısını azaltır.

Bu düzeyde özelleştirme, MXDR uzmanlarının müşterinin ekibine yöneltmek zorunda kaldıkları açıklayıcı soruların sayısını azaltmaya yardımcı olur. Örneğin, PowerShell çalıştıran belirli bir kullanıcının davranışının standart mı yoksa anormal mi olduğu gibi. Tehdit algılama ve olay müdahalesini hızlandırır ve müşterinin iç siber güvenlik ekibinin iş yükünü azaltarak stratejik görevlere odaklanmalarını sağlar.

Şeffaflık ve netlik

Bir KOBİ’de siber güvenlikten sorumlu ekip için, yüzlerce bildirime boğulmamak çok önemlidir. Gerçekten neyin bir tehdit olduğunu, hangi önlemlerin alındığını ve bundan sonra hangi adımların atılması gerektiğini hızlı bir şekilde anlaması gerekir. Bu nedenle, yüksek kaliteli bir MXDR hizmet ekibi, yalnızca açıkça kötü niyetli olayları değil, aynı zamanda yasal yazılımlardan kaynaklanan şüpheli etkinlikleri de analiz etmelidir. Buradan, binlerce uyarı arasından yalnızca düşmanca faaliyetlerle ilgili olanlar seçilmelidir. Müşteriye çok sayıda hipotez sunulmamalı, bunun yerine olan bitenin net, hazır bir resmi sunulmalı, tek bir olayda birleştirilmeli ve bağlamıyla birlikte sunulmalıdır. Bu, belirlenen temel nedeni, ilgili olayları ve etkilenen varlıkları içerir.

İşletmenin yönlendirilmesini kolaylaştırmak için, sağlayıcı tüm korunan şirket varlıklarının ve bunların geçerli durumunun bir özetini sunmalıdır, böylece müşteri istediği zaman bir kontrol paneli açıp nelerin kontrol altında olduğunu ve nelere dikkat edilmesi gerektiğini görebilir. İç ekip hala soruları varsa, her zaman hizmetin uzmanlarına doğrudan ulaşarak birlikte çalışabilmelidir; örneğin, bir olayın ayrıntılarını gözden geçirebilir.

Şeffaflığın bir diğer unsuru da raporlamadır. Müşterinin ihtiyaç ve taleplerini karşılamak için raporları özelleştirme seçeneği olmalıdır; örneğin, önemli noktaların özetlendiği ve gerekirse olayların ayrıntılı açıklamalarının yer aldığı, iki haftada bir yayınlanan kullanışlı bir genel bakış sunmak gibi. İletişim yöntemlerinde esneklik de çok önemlidir. Örneğin, müşteri, bir olay karar gerektirdiğinde iç ekibe zamanında ulaşılabilmesini sağlamak için en uygun kanalı (mesajlaşma uygulaması, e-posta veya başka bir şey) seçebilmelidir. Bu, şirket yönetiminin işleri yakından takip etmesine yardımcı olurken, teknik uzmanlar olayları makul bir hızda izleyebilir ve gerektiğinde daha derinlemesine inceleyebilir.

Bu yaklaşım sayesinde MXDR, KOBİ’lerin en büyük zorluklarından biri olan yüzlerce bildirimi bağımsız olarak ayrıştırma ve önceliklendirme ihtiyacını ortadan kaldırır.

Güncel tehdit istihbaratına erişim

Şirket içi ekip, hipotez testi ve kök neden analizini şirket içinde yapmayı tercih ederse, MXDR çözümünün mevcut XDR araçlarını kullanarak proaktif tehdit avcılığı ve artefakt analizi yapabilmesi çok önemlidir. Bu nedenle, MXDR sağlayıcısı, müşteriye geçerli saldırgan teknikleri ve taktikleri (tehdit istihbaratı), yeni saldırı kampanyalarıyla ilgili bilgiler ve ilgili analizlere erişim izni vermelidir. Ancak, gerektiğinde, örneğin müşterinin ekibi TTP verilerine sahip olmasına rağmen uzmanlığının yetersiz olduğunu fark ettiğinde, uyarıyı analiz için MXDR ekibine iletme seçeneğine sahip olması gerekir.

Güvenlik kültürü oluşturmada yardım

Olayların büyük bir kısmı çalışan hatasıyla başlar. Bu nedenle, iyi bir MXDR sağlayıcısı, müşterinin kuruluş içinde sağlıklı bir siber güvenlik kültürü oluşturmasına yardımcı olmalıdır. Bu, büyük ölçüde, saldırganların kullandığı modern hileler hakkında sıradan çalışanların farkındalığını artırarak yapılır.

En etkili yaklaşım, soyut dersler değil, şirket içinde gerçekten yaşanmış gerçek olaylara dayalı eğitimdir. Örneğin, bir saldırı belirli bir ekibin çalışanlarının bir kimlik avı e-postasını açmasıyla başladıysa, o ekip tam olarak bu senaryoya odaklanan bir eğitimden geçmelidir. İdeal olarak süreç, simüle edilmiş bir kimlik avı saldırı kampanyası ile test edilmelidir. Bu tür proaktif önlemler, insan faktörüyle ilişkili riskleri azaltmaya yardımcı olur ve böylece büyüyen kuruluşlar için kritik öneme sahip olan potansiyel finansal kayıpları azaltır.

Örneğin, Kaspersky Next MXDR Optimum ürünümüz, sadece birkaç tıklama ile uyarı kartından doğrudan çalışan eğitimi atamanıza olanak tanır. Ayrıca, “ön saflardaki savunucuların” beceri ve bilgilerini geliştirmek için, çözümümüz BT ve siber güvenlik ekipleri için özel olarak tasarlanmış müdahale eğitim programları sunmaktadır. Bu programlar, uzmanların gerçek dünya senaryolarını taklit eden ortamlarda gelişmiş araçlarla derinlemesine çalışmasına olanak tanıyarak, olayları hızlı ve etkili bir şekilde çözmelerini sağlar. Örneğin, parola karma değerlerini güvenli bir şekilde kontrol etmeyi, önerilen ve gerçek etki alanı ilkeleri arasındaki tutarsızlıkları aramayı ve Active Directory parametrelerinin güvenliğini değerlendirmeyi öğrenebilirler.

Sonuç olarak

KOBİ’ler için iyi bir MXDR çözümü, “kara kutu” hizmetinden çok uzaktır. Bu, aşağıdakileri bir araya getiren bir ortaklık ekosistemidir:

• Sadece koruma sağlamakla kalmayıp, ekibin konuyu daha derinlemesine incelemesine yardımcı olan uzmanların sunduğu destek
• Şirket içi uzmanlığın kademeli olarak geliştirilmesi için net ve yönetimi kolay XDR araçlarına erişim
• Şirketin iç BT ekibi ve diğer tüm çalışanları için eğitim

Bu felsefeyi göz önünde bulundurarak, XDR araçlarıyla uyumlu çalışan ve KOBİ’lerin büyüme stratejisini destekleyen bir hizmet olarak Kaspersky Next MXDR Optimum’u geliştirdik. Bu çözüm hakkında daha fazla bilgiyi Kaspersky Next Optimum sayfasında bulabilirsiniz.