Ana içeriğe atlayın
TECHNOLOGY

Kurumsal ağ koruması: Kaspersky Endpoint Detection and Response (KEDR)

Tek uç noktalı çözümlerin aksine EDR sınıfı çözüm, çok ana bilgisayarlı olay görünürlüğü ve "ağır" algılama yöntemlerinin (korumalı alan (sandbox), derin öğrenme modelleri, olay ilişkilendirmesi) yanı sıra olay araştırması, proaktif tehdit avlama ve saldırılara yanıt için uzman araçlar sunar.

Kaspersky EDR, kurumsal BT sistemlerinin korunmasına yönelik bir siber güvenlik çözümüdür. BT güvenliğine uç nokta algılama ve yanıt (EDR) kabiliyeti ekler:

  • Birçok ana bilgisayarda meydana gelen olaylardan otomatik ve manuel olarak ayrıntılı saldırıların şablonlarını çıkarma.
  • Saldırılara, ilerlemelerini durdurarak yanıt verme.
  • Gelecekteki saldırıları önleme.

EDR'ye yönelik ihtiyaç

Yakın zaman öncesine kadar, tipik bir siber saldırıda kitlesel kötü amaçlı yazılım kullanılırdı. Bunlar ayrı uç noktaları hedef alır ve ayrı bilgisayarlarda infilak ederdi. Kitlesel kötü amaçlı yazılım saldırıları otomatiktir ve kurbanlarını toplu e-postalar, kimlik avı web siteleri, sahte Wi-Fi erişim noktaları vb. ile rastgele seçer. Bu durumun çözümü, ana bilgisayarları kitlesel kötü amaçlı yazılımdan koruyan uç nokta koruması çözümleriydi (EPP).

Etkili EPP tabanlı algılamayla karşılaşan saldırganlar, daha maliyetli ancak daha etkili olan belirli kurbanlara yönelik hedefli saldırı başlatma taktiğine geçti. Yüksek maliyetinden dolayı hedefli saldırılar, kazanç sağlamak amacıyla genelde şirketlere yöneltilir. Hedefli saldırılar keşif yapar ve kurbanın BT sistemine sızmak ve sistem korumasını atlatmak üzere tasarlanır. Saldırı ölüm zinciri, BT sistemindeki birçok ana bilgisayarı içerir.

Hedefli saldırılar; kullanılan yöntemlerin çeşitliliği ve insan kontrolündeki etkileşimli doğaları nedeniyle EPP tabanlı güvenliği atlayabilir:

  • EPP'ler, tek bir uç noktada görebildiklerini temel alır. Ancak gelişmiş saldırılar birçok ana bilgisayarda çalışır ve farklı uç noktalarda nispeten şüphe duyulmayacak eylemler gerçekleştirir. Ana bilgisayar EPP'leri bu eylemlerin bazılarını algılasa da saldırganlar eninde sonunda çok ana bilgisayarlı bir ölüm zinciri oluştururlar. Bu tür saldırıların izleri birçok ana bilgisayara dağılmış haldedir.
  • EPP kararı otomatik olduğundan saldırganlar, saldırılarının kurbanın EPP'si ya da başka bir otomatik güvenlik çözümü tarafından algılanmadığını doğrulayabilir. Saldırganlar sadece bu durum için birçok kötü amaçlı yazılım koruması içeren çiftlikler bulundurur.
  • Tedarikçiler, hatalı pozitif sonuç riskinden dolayı EPP çözümlerini yalnızca daha "paranoyak" hale getirerek korumayı artıramazlar. Bu nedenle EPP'ler, ana bilgisayarda bir ölüm zincirinin parçası ya da meşru bir eylem olabilecek belirsiz bir olay gerçekleşirken bile müdahale etmeyecek şekilde tasarlanmıştır.

Hedefli saldırılara karşılık vermek için siber güvenlik tedarikçileri, EPP çözümlerini uç nokta algılaması ve yanıt (EDR) özellikleriyle genişletir:

  • Manuel ve otomatik ilişkilendirme için birçok ana bilgisayarda olaylara yönelik merkezi görünürlük sağlama
  • Güvenlik personeline olaylar hakkında yeterli veri sağlama
  • Yanıt ve düzeltmeye yönelik araçlar oluşturarak insan kontrolündeki saldırılara, insan kontrolündeki siber savunma ile karşı koymak

Esas itibarıyla EDR, gelişmiş saldırılara karşı yeni uç nokta koruması katmanları ekler.

Kaspersky EDR'nin güvenliğe katkısı

Kaspersky EDR, mevcut bir EPP çözümüne koruma gücü kazandırır. EPP daha basit kitlesel saldırılar (virüsler, Trojanlar vb.) üzerinde uzmanlaşırken EDR, gelişmiş saldırılara yoğunlaşır. Bu çözüm sayesinde analistler, hem kötü amaçlı yazılım etkinliğini hem de meşru yazılımlar içeren olayları saldırı bağlamında görerek ölüm zincirinin tamamını ortaya çıkarır.

Kaspersky EDR, Kaspersky Enterprise Security EPP ile tamamen entegredir ve diğer tedarikçilere ait EPP çözümleriyle birlikte çalışabilir. EDR, aşağıdaki olanakları sağlar:

  • Çok ana bilgisayarlı olay görünürlüğü: BT sistemi geneline yayılmış saldırı izlerinin bir araya getirilmesi
  • Normal kullanıcı iş akışı üzerindeki olası etkileri nedeniyle normal kullanıcı uç noktalarında olmayan yüksek miktarda işlem gücü gerektiren "ağır" yöntemlerle algılama: Gelişmiş ön işleme, korumalı alan, derin öğrenme dahil ağır makine öğrenimi modelleri vb. Ağır yöntemler, daha kaliteli algılama sağlar
  • Olay araştırması, proaktif tehdit avlama ve saldırılara yanıt için uzman araçlar

Kaspersky EDR tasarımı

Bileşenler

  • Uç nokta sensörü: Tek bir aracıda Kaspersky Endpoint Security ile entegre veya bağımsız (diğer EPP çözümleriyle birlikte dağıtım için) olarak mevcuttur
  • Kurum içi sunucular (olay depolama; analiz motoru; yönetim modülü; isteğe bağlı olarak bir korumalı alan). Kurum içindeki konum sayesinde olay verilerinin tam kontrolü müşterinin elindedir
  • Gerçek zamanlı olarak algılamanın iyileştirilmesi ve yeni tehditlere hızlı yanıt için KSN bulutu veya KPSN özel bulutu

Kaspersky Threat Management and Defense'in parçası olarak EDR

Kaspersky EDR, Kaspersky Anti Targeted Attack Platform ve Kaspersky Cybersecurity Services (KCS), gelişmiş koruma ve tehdit istihbaratı için bir paket oluşturur:

  • Kaspersky Anti Targeted Attack Platform; ağ, web ve e-posta tabanlı algılama ekleyerek çözümün hedefli saldırı algılama kapsamını "uç nokta+ağ" düzeyine yükseltir.
  • KCS, müşterinin BT güvenliği ekibi için uzman destek sağlar: Kaspersky tarafından sunulan eğitim, tehdit istihbaratı verileri, güvenlik operasyonu merkezi (SOC) yönetimi ve diğer seçenekler.

Güvenlik bilgileri ve olay yönetimi (SIEM) sistemleriyle entegrasyon

EDR çözümümüzü 3.taraf SIEM sistemleriyle entegre edebilirsiniz (algılama verileri CEF, yani ortak olay biçimi olarak dışa aktarılır).

Özellikler

Kesintisiz merkezileştirilmiş olay toplama ve görünürlük. EDR, gerçek zamanlı olarak ana bilgisayarlardan olayları toplar:

  • EDR, sebebi ve şüphelilik durumu ne olursa olsun olayları sürekli olarak toplar. Bu da EDR'yi bilinmeyen kötü amaçlı yazılımlara karşı daha etkili hale getirir. EDR'yi yalnızca şüpheli olayları ya da kötü amaçlı yazılım olaylarını toplayacak şekilde tasarlayarak merkezi düğümde disk alanından tasarruf sağlayabilirdik (bazı EDR çözümlerinde olduğu gibi). Ancak bu durumda saldırganların çalıntı kimlik bilgileriyle gerçekleştirdiği meşru eylemler ve yeni tanınmayan tehditler kaydedilmezdi.
  • EDR merkezi düğümü, ana bilgisayarlardan gelen olay akışını, merkezi düğüm üzerindeki depolama alanına yükler. Bazı tedarikçilere ait EDR'ler, olayları doğrudan ana bilgisayarlar üzerinde depolar. Merkezi düğüm, olaylar hakkında veriye ihtiyaç duyduğunda ana bilgisayarlardan günlük bilgilerini talep eder. Bu tasarım, merkezi düğümde disk alanı tasarrufu sağlasa da ana bilgisayar görünürlüğü ana bilgisayarın ağdaki erişilebilirliğine bağlı olduğu için aramayı yavaşlatır ve bağlantıya bağımlı hale getirir.

Otomatik algılama. Tek bir ana bilgisayar kapsamında görünür olan tehditler, Kaspersky Endpoint Security ile buluşsal, davranışsal ve bulut tabanlı algılama (veya başka bir EPP ana bilgisayar uygulaması) aracılığıyla algılanır. Bununla birlikte EDR, birçok ana bilgisayardan gelen olay akışının ilişkilendirilmesini temel alarak çok ana bilgisayarlı kapsam ile algılama katmanları ekler.

Olay tabanlı algılamanın yanı sıra EDR ana bilgisayar aracıları, şüpheli nesneleri veya bellek kısımlarını, normal ana bilgisayar işlemci gücüyle uygulanamayacak algoritmalarla daha derin analiz için otomatik olarak merkezi düğüme gönderir. Burada ağır önceden işleme, buluşsal yöntemler ve makine öğrenimi algoritmaları, korumalı alan, genişletilmiş bulut tabanlı algılama, Kaspersky'nin tehdit verileri akışını temel alan algılama, özel algılama kuralları (YARA) vb. uygulanır.

Manuel algılama ya da tehdit avlama, saldırı ve tehditlerin izleri için operatör tarafından gerçekleştirilen proaktif bir aramadır. EDR, birçok ana bilgisayardan toplanan ve depolama alanında bir araya getirilen olaylar geçmişinde "ava çıkmanıza" olanak tanır:

  • Depolama alanında saldırıların ve şüpheli olayların izlerine yönelik arama yapabilir ve bunları birbiriyle ilişkilendirerek potansiyel ölüm zincirini ortaya çıkarabilirsiniz. Veritabanındaki arama sorguları, birleşik filtreleri (ana bilgisayar, algılama teknolojisi, süre, karar, önem derecesi vb.ye göre) destekler.
  • EDR'ye yeni IOC'ler ekleyerek daha eski, algılanmamış kalıcı tehditleri algılayabilirsiniz.
  • "Ağır" algılama yöntemleriyle daha derin analiz için şüpheli nesneleri manuel olarak gönderebilirsiniz.
  • Şirket, KL TIP hizmetini (Kaspersky Threat Intelligence platformu) etkinleştirmişse tehdit veritabanından nesneler hakkında bilgi talep edebilirsiniz.

Yanıt, bir tehdit algılandığında operatör tarafından gerçekleştirilebilecek eylemlerdir. Bu eylemler arasında şunlar bulunur:

  • Olay araştırması, ölüm zincirindeki olayları yeniden yapılandırma.
  • Ana bilgisayar üzerinde uzaktan işlemler (işlem sonlandırma, dosyaları silme ya da karantinaya alma, programları çalıştırma gibi eylemler dahil).
  • Nesne yürütme işleminin karma tabanlı reddiyle algılanan tehdidi kontrol altına alma.
  • Kötü amaçlı yazılım etkinliğinden kaynaklanan değişikliklerin geri alınması, EPP çözümüne bağlıdır. Örneğin Kaspersky Endpoint Security, bu tür kötü amaçlı yazılım etkinliklerini geri alır.

Önleme, uç noktalardaki nesne etkinliklerini kısıtlayan ilkeler bütünüdür:

  • Karma tabanlı yürütme reddi ilkeleri, belirli dosyaların (PE, komut dosyaları, ofis belgeleri, PDF'ler) BT sistemi genelinde çalıştırılmasını önler ve şu anda dünyada hızla yayılan saldırıları engellemenizi sağlar.
  • Ana bilgisayarlarda bulunan ve daha önce bir korumalı alanda kötü amaçlı yazılım olduğu algılanmış olabilecek nesnelerin ve URL'lerin otomatik algılanması.
  • Uygulama yürütme denetimi (beyaz listeye alma, başlangıç denetimi, ayrıcalık denetimi), ağ erişimi ve USB sürücüsü erişimine yönelik ilkeler vb. EPP çözümüne bağlı olarak değişir. Kaspersky Endpoint Security uç nokta koruması, önlemeye yönelik tüm bu özellikleri sunar.

Kaspersky EDR yönetimi rol tabanlıdır ve iş akışı yönetimi sağlar: uyarı atama, izleme uyarısı durumu, uyarı işleme kaydı. E-posta bildirimleri, uyarı türlerine ve karışımlarına (algılama türü, önem derecesi vb.) bağlı olarak esnek bir şekilde yapılandırılır.

Kullanım senaryosu: Ölüm zincirini (the kill chain) ortaya çıkarma

EDR ana bilgisayar aracıları, olayları düzenli olarak kurum içi EDR sunucusuna gönderir.

  1. Sunucuda alınan olaylardan biri, kurumsal BT sisteminde ilk defa görülen bir dosyanın (dosyanın karmasından anlaşılır) yürütülmesiyle ilişkilendirilir. Dosya, başka şüpheli özelliklere de sahiptir.
  2. Sunucu, daha derin araştırmayı tetikler. EDR analiz motorları tarafından otomatik analiz için dosyayı kendisi indirir. Dosya, otomatik analiz prosedürleri için sıraya alınır.
  3. Korumalı alan, dosya davranışının kötü amaçlı olduğunu algılar ve operatörü uyarır.
  4. Operatör, manuel araştırma başlatır ve bulaşmayla ilgili olabilecek olayları kontrol eder:
    a. Standart yönetim araçlarıyla, virüs bulaşan makinelere, İnternet üzerinden kullanılabilen kurumsal bir web sunucusundan erişilmiş olduğunu keşfeder. Sunucuda yürütülmekte olan şüpheli dosya ve işlemleri, şüpheli yürütülebilir dosyaların oluşturulduğunu keşfeder. En sonunda, saldırganlar tarafından sunucunun web sitesindeki bir güvenlik açığından yararlanılarak yüklenen bir web kabuğu bulur.
    b. Bu saldırıya yönelik tüm komut ve kontrol (C&C) sunucularını tespit eder.
  5. Operatör saldırıya yanıt verir:
    a.Algılanan tüm C&C'leri engeller.
    b.Kötü amaçlı işlemleri iptal eder.
    c.Kötü amaçlı dosyaların yürütülmesini dosyaların karmalarını kullanarak engeller.
    d.Daha sonra yapılacak araştırma için kötü amaçlı yazılım ve şüpheli dosyaları karantinaya alır.

İlgili Ürünler

İlgili Teknolojiler