Uç nokta algılama ve yanıtını anlama

EDR anlamı ve tanımı

Uç nokta algılama ve yanıtı (EDR) tehdit içeren bilgileri sürekli bilgisayar iş istasyonlarında ve diğer uç noktalarda kontrol eden araçlar kategorisidir. EDR'nin amacı güvenlik ihlallerini gerçek zamanlı olarak tanımlamak ve potansiyel tehditlere karşı hızlı yanıt geliştirmektir. Uç nokta algılama ve yanıtı - bazen uç nokta tehdit algılama ve yanıtı olarak da bilinir (ETDR) - uygulamaya bağlı olarak detaylarının değişebileceği bir dizi aracın özelliklerini tanımlar.

Terim 2013 yılında ilk defa Gartner tarafından siber güvenlik yazılımının yeni bir kategorisi olarak düşünülenlere ışık tutmak için öne atılmıştı.

EDR nasıl çalışır?

EDR bir ağda uç nokta kullanıcısı iş istasyonu veya sunucular gibi herhangi bir bilgisayar sistemine odaklanır. EDR güvenlik çözümleri gerçek zamanlı görünürlük ve proaktif algılama ve yanıt sağlarlar. Bunu aşağıdakileri de içeren bir dizi yöntemle başarırlar:

Uç noktalardan veri toplama:

Veriler iletişim, işlemleri gerçekleştirme ve kullanıcı oturumları dahil uç nokta düzeyinde oluşturulur. Bu veriler anonimleştirilmiştir.

EDR platformuna veri göndermek:

Anonimleştirilen veriler genellikle bulut tabanlı bir EDR platformu olan tüm uç noktalardan merkezi bir konuma gönderilir. Belirli bir kuruluşun ihtiyaçlarına bağlı olarak yerinde veya hibrit bulut olarak da çalışabilir.

Verileri analiz etmek:

Çözüm, verileri analiz etmek ve davranışsal analiz gerçekleştirmek için makine öğrenmesini kullanır. Şüpheli etkinliği ifade eden anormalliklerin tanımlanması için normal etkinliğin temelini oluşturan bilgiler kullanılır. Bazı EDR çözümleri siber saldırıların gerçek zamanlı örneklerini kullanarak bağlam sunmak için tehdit zekasını içerir. Saldırıları tespit etmek için teknolojiyle ağ ve uç nokta etkinlikleri karşılaştırılır.

Şüpheli etkinliği bildirme ve yanıt:

Çözüm, şüpheli etkinliği bildirir ve güvenlik ekipleriyle ilgili ortaklara uyarılar gönderir. Önceden tanımlı tetikleyicilere göre otomatik yanıtlar da başlatılır. Bunun bir örneği, zararlı yazılımın ağ içerisinde yayılmasını önlemek için uç noktayı geçici olarak izole etmek olabilir. 

Gelecekte kullanım için verileri saklamak: 

EDR çözümleri gelecek araştırmalarını ve proaktif tehdit avcılığını desteklemek için verileri korur. Analistler ve araçlar mevcut uzun saldırıları veya önceki algılanmayan saldırıları araştırmak için bu verileri kullanır.

EDR kullanımı artıyor - Kısmen ağlara iliştirilen uç nokta sayısındaki artışa bağlı olarak kısmen de bir ağa saldırmak için en kolay hedef olarak genellikle uç noktaları seçen siber saldırıların artan karmaşıklığı sonucunda.

EDR çözümünde nelere dikkat etmeli

EDR özellikleri tedarikçiden tedarikçiye değişiklik gösterir. Bu yüzden kuruluşunuz için bir EDR çözümü seçmeden önce önerilen herhangi bir sistemin özelliklerini araştırmak ve mevcut genel güvenlik özelliklerinizle nasıl entegre olabileceğini öğrenmek önemlidir. İdeal EDR çözümü en az çaba ve yatırımla en büyük korumayı sağlayan çözümdür. Ayrıca kaynağa ihtiyaç duymadan güvenlik ekibinize değer katan çözümdür. İşte dikkat etmeniz gereken bazı önemli özellikler:

Uç nokta görünürlüğü:

Tüm uç noktalarda görünebilirlik potansiyel tehditleri gerçek zamanlı olarak görüntüleyerek bunları hemen durdurmanızı sağlar.

Tehdit veritabanı:

Etkili EDR uç noktalardan toplanan önemli veriler gerektirir ayrıca söz konusu verilere analizde saldırı işaretlerinin tanımlanmasını sağlayacak bir bağlam kazandırır.

Davranışsal koruma:

EDR saldırı göstergelerini (IOA'lar) gözeten davranışsal yaklaşımları içerir ve ihlal gerçekleşmeden önce ilgili ortakları şüpheli etkinliklerden haberdar eder.

Bilgiler ve istihbarat:

Tehdit istihbaratını entegre eden EDR çözümleri şüpheli saldırgan hakkında bilgiler veya saldırı hakkında diğer detaylar gibi bir içerik sağlayabilir.

Hızlı yanıt:

Olaylara hızlı yanıt veren EDR ihlal haline gelmeden önce bir saldırının önlenmesini engelleyerek kuruluşunuzun normal bir şekilde çalışmasını sağlayabilir.

Bulut tabanlı çözüm:

Bulut tabanlı uç nokta algılaması ve yanıt çözümü araştırma, analiz ve inceleme özelliklerini etkinleştirirken uç noktalarda tam kapasite ve gerçek zamanlı devam edebilmek için sıfır etkiyi sağlar.

EDR sisteminin tam detayları ve özellikleri uygulamaya bağlı olarak değişiklik gösterebilir. EDR uygulaması şunları içerebilir:

• Özel amaçlı araç;
• Daha geniş güvenlik izleme aracının küçük bir bileşeni; veya
• Birbiriyle bağlantılı kullanılan bir dizi araç koleksiyonu.

Saldırganlar yöntemlerini sürekli geliştirirken geleneksel koruma sistemleri yetersiz kalabilir. Siber güvenlik uzmanları EDR'yi gelişmiş tehdit korumasının bir biçimi olarak görür.

EDR iş hayatı için neden temel önemdedir

Çoğu kuruluş büyük miktarda siber saldırıya maruz kalır. Bunla arasında bilinen fidye yazılımıile e-posta eki gönderen tehdit aktörü gibi basit ve oportünist saldırılardan tutun da tehdit aktörlerinin bilinen güvenlik açıklarını veya saldırı yöntemlerini alıp bellekte zararlı yazılım çalıştırma gibi hileli yöntemleri kullanarak bunları gizlemeye çalışma gibi daha gelişmiş saldırılar yer alır.

Bundan dolayı uç nokta güvenliği bir kuruluşun siber güvenlik stratejisinin temel bir parçasıdır. Ağ tabanlı savunmalar yüksek oranlı siber saldırıları etkili bir şekilde durdurabilirken bazılarını gözden kaçırabilir ve çıkarılabilir ortam tarafından taşınanlar gibi diğer saldırılar ise bu savunmaları tamamen atlayabilir. Uç nokta tabanlı savunma çözümü, kuruluşu daha büyük bir güvenlikle donatır ve tehditleri tanımlayıp bunlara yanıt üretmesini hızlandırır.

Dünyadaki kuruluşlar giderek uzaktan çalışmayageçtiği için düzgün bir uç nokta koruması giderek daha fazla önem kazanıyor. Evden çalışanlar iş yerinde olanlar kadar siber tehditlere karşı korunmayabilirler ve kişisel cihazlarını en son güncellemeler ve güvenlik yamaları olmadan kullanıyor olabilirler. Çalışanlar uzaktan çalışınca geleneksel ofis ortamında çalışmaya kıyasla siber güvenlik konusunda daha az dikkatli olabilirler.

Sonuç olarak kuruluşlar ve çalışanları ek siber güvenlik risklerine maruz kalır. Güçlü uç nokta güvenliği çalışanı tehditlerden koruduğu için temel önemdedir ve suçluların kuruluş ağına saldırma yolu olarak uzaktan çalışanın bilgisayarını seçmesini önleyebilir.

Bir ihlali çözmek zor ve pahalı olabilir ayrıca EDR'nin önemli olmasının en büyük nedeni bu olabilir. EDR çözümü olmaksızın kuruluşlar ne yapacaklarına karar vermek için haftalar harcayabilir. Ve genellikle buldukları tek çözüm üretkenliği düşürüp mali kayba yol açarak işleri aksatan makineleri tekrar şekillendirmektir.

EDR'ye karşı antivirüs

EDR'nin antivirüs özellikleri olsa da ve antivirüs ürününden veriler kullansa da antivirüs yazılımı değildir. EDR programı yeni güvenlik açıklarını çalışırken tespit ediyorken ve etkin bir olay sırasında saldırganın şüpheli etkinliğini tespit edebilirken bunun karşısında antivirüs yazılımı ise bilinen siber tehditlere karşı korumaktan sorumludur. EDR yazılımı siber güvenlik ürünlerinin en son neslinin parçasıdır.

En iyi EDR uygulaması

Kuruluşunuzda EDR'yi uygularken dikkate alabileceğiniz pek çok en iyi uygulama örneği mevcut:

Kullanıcıları hafife almayın

Kullanıcılar her tür sistem için en büyük risklerden birini oluşturur. Çünkü ya zararlı içerik ya da insan hatası nedeniyle hasara yol açabilirler. Güvenlikle ilgili farkındalıklarını artırmak için kullanıcılarınızı siber tehditler ve riskli davranışlar konusunda eğitin ve kimlik avı veya sosyal mühendislik gibi taktiklerle ilgili sorumluluklarını en aza indirin. Düzenli eğitim veya benzer tehdit senaryoları siber güvenlik konularıyla ilgili kullanıcı farkındalığını artıracak olup bir olay olduğunda yanıt süresini hızlandıracaktır.

Bazı kullanıcılar eğer EDR çözümü kullanıcılara kullanışsız gelirse başka çözümler bulabilirler. Örneğin, bunların arasında deneyimlerini iyileştirmek için savunma işlevselliğini devre dışı bırakmak olabilir. Bununla birlikte bir çözüm kullanıcı istekleri için fazla esnekse saldırganlar kolay manipüle edebilir. Nihai kullanıcı için bu çözümlerin neden kullanıldığını anlamalarını sağlayarak mümkün olduğu kadar şeffaf olmasına yardımcı olabilir. Kullanıcı etkileşimlerinin gerekli olduğu yerlerde iletişim açık ve doğrudan olmalıdır. Sistem, kişisel veriler veya IP mimarisi gibi gereksiz sistem bilgisi içermemelidir.

Diğer araçlarla entegre edin

EDR çözümleri uç noktaları korumak için tasarlanmış olup kuruluşunuzdaki tüm dijital varlıkların tam güvenlik korumasını sağlamaz. EDR antivirüs, yama yönetimi,güvenlik duvarları, şifreleme ve DNS koruması gibi diper araçların yanısıra genel bilgi güvenliği stratejinizin bir yönü gibi hareket etmelidir.

Ağ segmentasyonunu kullanma

Bazı EDR çözümleri tehditlere yanıt sırasında uç noktaları izole ederken ağ segmentasyonunu değiştirmez. Örneğin:

• Parçalı ağ, uç noktaları belirli sunucular ve veri yollarıyla sınırlamanıza izin verir. Bu veri kaybı riskini ve başarılı bir saldırının yol açabileceği zarar miktarını büyük oranda azaltır.
• Ethernet Anahtar Yolları (ESP'ler) ek ağ koruması sağlayabilir. ESP'ler saldırganların ağın parçaları arasında kolayca hareket etmediğinden emin olarak ağın yapısını gizlemenize izin verir.

Önleyici önlemler alın

Hiçbir zaman tehditlere karşı yalnızca etkin yanıtlara güvenmemelisiniz. Bunun yerine etkin yanıtları önleyici önlemlerle birleştirmelisiniz. Kapsamlı protokoller ve bağımlılık listeleriyle sistemlerin güncel ve yamalı kalmasını sağlamak korumanız gereken tehdit sayısını azaltacaktır.

Araç ve protokollerin hala uygun yapılandırılıp yapılandırılmadığını ve uygulanıp uygulanmadığını kontrol etmek için sistemlerinizi düzenli denetleyin. Tehdit modellemesi ve sızma testini sürekli olarak gerçekleştirerek sistemleri ve araç işlevselliğini test edin.

İdeal olarak kuruluşunuzun kapsamlı bir olay yanıt planı olacak ve bu planda saldırı sırasında kimin nasıl yanıt vereceği belirtilecektir. Elinizde bir plan olduğunda olay yanıt süreniz artacak ve olaydan sonra toplanan tüm verileri analiz etmek için bir yapı sağlayacaktır.

Mevcut kaynakları kullanma

Üçüncü taraf araçları kullanıyorsanız EDR tedarikçiniz tarafından sağlanan eğitsel kaynaklardan yararlanın. Pek çok tedarikçi en yeni özellikler ve en iyi pratikler konusunda müşterileri güncel tutmak için eğitimler veya webinarlar düzenler. Bazı şirketler çok az ücret karşılığında veya ücretsiz olarak çeşitli güvenlik konularında kısa kurslar düzenler.

Topluluk tabanlı kaynaklar ve Bilgi Paylaşımı ve Analizi Örgütlerinde (ISAO'lar) yararlı araç ve kaynaklar bulabilirsiniz. Ulusal Güvenlik Açığı Veritabanı (NVD) ve Açık Web Uygulaması Güvenlik Projesi (OWASP) gibi web siteleri yararlı siber güvenlik verileri ve bilgileri içeren iyi bilinen toplumsal örgütlerdir.

EDR'ye karşı XDR

Geleneksel EDR araçları yalnızca uç nokta verilerine odaklanırken şüpheli tehditler konusunda görünürlük sağlar. Olay aşırı yükü, dar odaklanan araçlar, entegrasyon yokluğu, beceri kısıtları ve çok az zaman gibi güvenlik ekiplerinin karşılaştığı zorluklar değişmeye devam ederken EDR çözümleri de değişir.

XDR veya genişletilmiş algılama ve yanıt uç nokta tehdit algılama ve yanıtına daha güncel bir örnektir. 'X' genişletilmiş anlamına gelir ve izole yığınlarda tehditleri araştırmanın sınırını bilerek ağ, bulut, üçüncü taraf, uç nokta verileri gibi veri kaynaklarını temsil eder. XDR sistemleri silo edilmiş güvenlik araçlarına kıyasla güvenliği artırarak bu kaynaklardan bilgi edinmek için analiz, buluşsal yöntemler ve otomasyon kombinasyonunu kullanır. Sonuçta, keşfetmek, araştırmak ve tehditlere yanıt vermek için gereken zaman kısalırken güvenlik işlemleri arasında basitleştirilmiş araştırmalar gerçekleştirilir.

İlgili ürünler:

• Kaspersky Endpoint Detection and Response Expert
• Kaspersky Endpoint Detection and Response Optimum
• Kaspersky Endpoint Security for Business

Daha fazla bilgi için:

• Uç nokta güvenliği nedir?
• Sıfır güven kavramı siber güvenliği geniş ölçekte nasıl şekillendirir
• Veri hırsızlığı nedir ve nasıl önlenir?
• İş amaçlı ve kişisel kullanım birleştikçe çevrimiçi gizliliğinizi nasıl koruyabilirsiniz?