EPP, EDR, MDR ve XDR tüm kurumsal uç noktalarda daha fazla görünürlük, tehdit algılama ve yanıt sağlamak için oluşturulmuş aynı zamanda gelişmekte olan yeni nesil uç nokta güvenlik teknolojileridir. Günümüz siber güvenlik olaylarını incelediğimizde ihlallerin %70‘inin uç noktalardan kaynaklandığını görmekteyiz. Gartner bu konuda 2023 yılına kadar kurumların bir çoğunluğunun eski güvenlik yazılımlarını, yeni nesil gelişmiş çözümlerden biriyle değiştirmesi gerektiğini belirtiyor.
Elbette ki BT departmanları ve Siber Güvenlik ekiplerinin uç noktalar için uzaktan düzeltme / müdahale yeteneklerini artırmaları şart. Bu noktada en büyük sorun ise satıcıdan satıcıya yetenekleri değişiklik gösteren EPP, MDR, XDR ve EDR teknolojilerindeki kafa karışıklığıdır.
Kurumumuz için bu tarz bir siber güvenlik hizmeti / ürünü alırken dikkat etmemiz gereken noktaları ve bu ürünlerin farklarını sizlerle paylaşıyoruz. Ancak artıları ve eksileri hakkında ayrıntılara girmeden önce, ortak alanı belirlemek ve farklılıkları hakkında temel bilgi sahibi olmak zorundayız.
Elbette ki uç nokta konusundaki terimler bunlarla da kalmıyor. Uç nokta algılama ve yanıt (EDR), ağ algılama ve yanıt (NDR), genişletilmiş algılama ve yanıt (XDR), yönetilen algılama ve yanıt (MDR), yönetilen genişletilmiş algılama ve yanıt (MXDR)…
EDR, NDR, XDR ve MDR Nedir?
Uç Nokta Algılama ve Yanıt (EDR), Ağ algılama ve Yanıt (NDR), Genişletilmiş Algılama ve Yanıt (XDR), Yönetilen algılama ve yanıt (MDR), Yönetilen Genişletilmiş Algılama ve Yanıt (MXDR). Evet, birçok terim ve teknoloji ile karşı karşıyayken kafaların karışması da muhtemeldir.
Tehdit algılama ve müdahale ortamı (D&R) üreticiler tarafından geliştirilmeye devam ediyor. Aynı zamanda siber saldırganlar da teknolojiyi kullanarak birçok farklı teknikle karşımıza gelmeye devam edecektir. Dolayısıyla, güvenlik tehditleriyle nasıl mücadele edilmesi gerektiği yakın tarihinin bir satranç maçı şeklinde dönmesine neden olmaktadır. Bazen saldırganlar önde bazen de defans dünyası onlara yaklaşabilmektedir. Bu süreç devam ederken teknoloji genel olarak saldırganlar lehinedir ve satranç maçına beyazlarla başladıklarını gösterir.
EDR – Uç Nokta Tespiti ve Yanıtı
Güvenlik ekiplerinin tehditleri hızlı bir şekilde belirlemesini ve bunlara yanıt vermesini sağlamak için yüksek derecede otomasyon kullanarak ana bilgisayarlar ve uç noktalardaki şüpheli etkinlikleri tespit eden ve araştıran yeni güvenlik çözümlerini tanımlamak için Gartner “EDR” terimini bizlere tanıtmıştı.
Uç Nokta Tespiti ve Yanıtı (EDR), harici bir yönetilen hizmetin yardımı olmadan uç noktaların güçlü bir şekilde izlenmesine olanak sağlar. Kuruluşun güvenlik ekibi, bu teknoloji aracılığıyla uç noktaların daha yüksek görünürlüğünü ve izlenmesini sağlar. EDR, eski güvenlik çözümlerinden daha güçlü bir koruma sunar.
Geleneksel virüsten koruma yazılımı, bir saldırganın imzası aracılığıyla kötü amaçlı yazılımları algılardı. Ancak gelişmiş kalıcı tehditler artık kötü amaçlı yazılım içermeyen eylemler ve teknolojiler de kullanıyor. Bu durum siber tehditleri eski tip uygulamalarla tespit edemeyeceğimiz anlamına gelir. EDR bu tehditleri tespit edilebilmesini sağlar. Sorguları, davranışları ve olayları kaydedip temeldeki güvenlik açıklarını ve nedenlerini belirlemeye yardımcı olur. Bazı EDR ürünleri, kurum içi güvenlik ekibinin bilgisinin ötesine geçebilecek gelişmiş davranış analizi ve makine öğrenimi de sunmaktadır.
EDR uç noktayı (ağın aksine), tehditleri (yalnızca kötü amaçlı yazılımların ve resmi olarak bildirilen olayların aksine) ve araçların hem algılama hem de olay yanıtı için birincil kullanımını yansıtır. Uç nokta verilerinin (örneğin iş istasyonları, cep telefonları, sunucular gibi ağa bağlı bilgi işlem cihazları gibi) kurallara dayalı otomatik yanıt ve analiz yetenekleriyle gerçek zamanlı sürekli izlenmesi ve toplanması olarak tanımlanır.
EDR Platformları
Bir EDR platformunun temel işlevlerini sıralayacak olursak; bir tehdidi belirtebilecek uç noktalardan aktivite verilerini sürekli olarak izlemek ve toplamakla başlar. Sonrasında tehdit kalıplarını belirlemek için bu verileri analiz edebilme yeteneğine sahiptir. Bu tehditleri ortadan kaldırmak veya kontrol altına almak için tanımlanan tehditlere otomatik olarak yanıt verir. Ardından da tehdit algılandığında güvenlik ekibini veya SOC ekibini bilgilendirir. Tanımlanmış tehditleri araştırmak ve şüpheli faaliyetleri aramak için bir adli analiz aracı olarak hareket etmeyi de sağlar.
Kısacası EDR, geleneksel siber güvenlik çözümlerine kıyasla daha fazla görünürlük sağlar ve aşağıdakiler gibi gelişmiş siber tehdit biçimlerine yanıt verebilme kabiliyetlerine sahiptir.
- Polimorfik kötü amaçlı yazılım,
- Dosyasız saldırılar,
- Gelişmiş kalıcı tehditler (APT’ler),
- Kimlik avı veya sosyal mühendislik saldırıları.
EDR Yetenekleri Nelerdir?
EDR, sıfır güven mimarisine geçiş için “temel bir bileşen” olarak da tanınır. Kurumlar iç ağlarında “kör nokta olmaması” ve iş yükleri içinde yürütülen etkinlikleri izleyebilmek için EDR’yi kullanmak durumunda kalmıştır.
EDR, yalnızca uç nokta ortamlarına odaklanmıştır. Diğer bir yandan EDR çözümlerindeki yeni araştırma yetenekleri, bir araştırma sürecindeki adımları otomatikleştirmek için yapay zeka ve makine öğreniminden yararlandığını da görmekteyiz. Bu bilgileri ve bulguları yorumlamak için çeşitli diğer siber tehdit istihbarat kaynaklarıyla birlikte kullanabilirler.
MDR Yönetilen Algılama ve Yanıt
MDR, MSSP’lerden (veya özel / tescilli teknoloji kullanan MDR’ye özel sağlayıcılar gibi) 7/24 bir D&R hizmeti olarak karşımıza gelmiştir. Aslında MDR, diğer terimlerin aksine yönetilen bir hizmettir. MDR hizmeti, uyarıların ve yanlış pozitiflerin oranını düşürür. Ortaya çıkan tehditlere karşı daha fazla görünürlük sağlayarak kırmızı ekiplerin önceliklendirmesine ve araştırmasına olanak tanır. Proaktif ve reaktif hizmetlerde tehditlerin kontrol altına alınmasına ve giderilmesine yardımcı olur.
Bu noktada MDR’ı ön plana çıkartan olgunun, bu hizmeti veren kişi / kurum veyahut sağlayıcıların siber güvenlik tecrübesi ve bilgisi olduğunu hatırlatmak isteriz. MDR, önleme kontrollerinden kaçan siber saldırıların neden olduğu zararları azaltmak için çeşitli tehdit algılama ve yanıt yetenekleri sağlamaya odaklanarak yeni teknolojilerle desteklenen yönetilen bir siber güvenlik hizmeti olarak karşımıza gelir. Kullanılan teknolojinin katmanları, personelin tecrübesi ve uzmanlığı, bir MDR sağlayıcısının gerçekten ne kadar etkili olabileceğini belirler.
NDR Ağ Algılama ve Yanıt
NDR, geleneksel güvenlik duvarlarını, UTM cihazlarını ve NGFW adı verilen cihazlarını atlatmaya odaklanmış tehditleri tespit etmek için geliştirilmiştir. İnternet ve LAN trafiği NDR tarafından desteklenir. Ancak bu tür trafiği etkili ve makul bir maliyetle yakalamanın doğası gereği, kullanım durumuna bağlı olarak EDR daha çok tercih edilmektedir. NDR, hızlı olay yanıtı ve azaltma/düzeltme yardımı sunan ağ iletişimlerine ve SOC hizmetlerine dayalı tehditleri tanımlayan kapsamlı bir kural seti de dahil olmak üzere bir dizi avantaj sunmaktadır. Ancak içinde bulunduğumuz COVID-19 salgını nedeniyle evden çalışma politikaları geleneksel ağ çerçevesini değiştirmiştir. Uzak çalışanlardan oluşan geniş bir kadroya sahip kuruluşlar, tanımlanmış kurumsal ağlarında fazla trafiğe sahip olmayabilir, bu da NDR’nin olup bitenler konusunda minimum görünürlüğe sahip olacağı anlamına gelir.
XDR Genişletilmiş Algılama ve Yanıt
Yeni bir teknoloji olan XDR, 2019’da çok noktalı ürünlerden gelen verileri toplayan ve analiz eden bir SecOps platformu olarak ortaya çıktı. Bu yetenekler, D&R özelliklerini hızlandırsa da birçok platform satıcıları tarafından desteklenmeyebilir.
XDR, uç nokta tespiti ve yanıtı için daha gelişmiş, bütünsel ve platformlar arası bir yaklaşım sunar. EDR etkinlikleri birden çok uç noktada toplayıp ilişkilendirirken, XDR teknolojileri algılama kapsamını uç noktaların ötesine genişletir ve uç noktalar, ağlar, sunucular, bulut iş yükleri, SIEM ve çok daha fazlası arasındaki verileri analiz eder. Bu noktada birden çok araç ve saldırı vektörü arasında birleşiktir ve tek bir pencere görünümü sağlar. Birden çok farklı ürün ve platformda kullanıma hazır entegrasyonlar ve önceden ayarlanmış algılama mekanizmaları, üretkenliği, tehdit algılamayı ve adli analiz süreçlerini iyileştirmeye yardımcı olur.
Çoğunlukla bulut platformları olarak karşımıza gelen XDR platformları, bir SIEM’in veri toplama işlevinin çok daha ötesine geçer. XDR platformları sunucular, uç noktalar, ağlar, e-postalar ve SIEM/SOAR ile birlikte çalışmak ve telemetriyi yakalamak için önceden oluşturulmuş entegrasyonlara sahiptir.
Elbette ki MDR’dan daha fazla görünürlük sağlar. Günün her saatinde çalışan XDR, etkinliği ilişkilendirmek, bilgileri normalleştirmek, tehditleri belirlemek ve uyarı kalabalığını azaltmak için makine öğrenimi ve veri analitiğini kullanır. XDR çözümleri, entegrasyon yoluyla karmaşıklığı azaltır, yanıtları otomatikleştirir ve MDR’a kıyasla yanıt sürelerini önemli ölçüde azaltır. Ancak XDR ürünleri, satıcı/uyumluluk sorunları oluşturabilir. XDR birçok özellik sunarken, birçok sağlayıcı yalnızca birkaç alanda uzmanlaşmıştır. Bazı XDR çözümleri, sınırlı sayıda satıcıyla uyumludur ve en iyi özel amaçlı çözüm ile genel işlevsellik arasında bir karar vermeniz gerekebilir.
MDR ve EDR’deki eksiklikler, Genişletilmiş Algılama ve Yanıtın (XDR) ürünlerinin neden çok fazla uyarı çıkardığını açıklamaya yardımcı olur. XDR , EDR’ın yeteneklerini uç noktaların ötesine geçirir. Bir kuruluşun bulut iş yüklerine, uygulama paketlerine ve kullanıcı personeline genişleterek tam bir koruma sağlamayı amaçlar.
XDR, tüm bu farklı varlıklardan güvenlik telemetrisini ilişkilendirir ve güvenlik ekiplerine potansiyel tehditlerin tam görünürlüğünü sağlamak için gerekli bağlamla birleşik bir güvenlik çözümü sunar. Elbette ki otomatik veya tek tıklamayla yanıt seçenekleri ile öne çıkmaktadır. XDR aynı zamanda tek bir eksiksiz platformda siber istihbarat toplama ve düzenlenmiş yanıt sağlayarak SIEM ve SOAR çözümlerine olan ihtiyacı ortadan kaldırır.
MXDR Geçiş Süreçleri ve Geleceğimiz
MXDR, yönetilen bir hizmet olarak sunulan XDR platformları olarak adlandırılır. Mevcut teknolojiyle bütünleşerek çalışır. Gerçek zamanlı tehdit algılama ve olay doğrulama avantajları sunar. Ek teknoloji ve güvenlik becerilerinin sağlanması, MXDR’ı, XDR’dan daha basit hale getirir. MXDR ayrıca, uç noktalarda otomatik yanıt ve düzeltme özelliği sayesinde her zaman etkin ve hızlı aksiyon alınmasını sağlar.
MXDR, tehditleri doğrulamak için diğer zengin günlük kaynaklarından korelasyon ve doğrulamaya izin vermenin yanı sıra EDR ve NDR hizmetleri (Active Directory veya VPN oturumları gibi) tarafından görülmeyen günlük yakalama verilerini birleştiren güçlü bir teknolojidir.
MXDR, mevcut teknoloji yatırımlarınızdan ve çevrenizden yararlanır. Elbette ki bu süreçte maliyet avantajı sağlar. Hangi tehditlerin en önemli olduğunu bilmenizi sağlayarak hızlı IR ve azaltma/düzeltme yardımı avantajı sunar.
Özetle, yönetilen genişletilmiş algılama ve yanıt, günümüzün tehditlerini algılamak ve bunlara yanıt vermek için gereklidir. D&R ürünlerini son 20 yıldaki saldırıları düşünerek konumlandıracak olursak, önümüzdeki birkaç yıl içinde MXDR olarak karşımıza çıkacağını ve sürekli gelişen tehdit aktörlerine karşı gelecekteki savaşlarımızda proaktif duruş sağlayacağını rahatlıkla söyleyebiliriz.
EPP – Uç Nokta Koruma Platformu Nedir?
Endpoint Protection Platform (EPP) uç nokta koruma platformu manasına gelir. EDR ürünleri, uç nokta “tehditlerini” tespit etmeye ve bunlara yanıt vermeye odaklanırken, EPP ürünleri uç nokta “ortamına” odaklanarak tahmin etme, önleme, algılama ve yanıt verme gibi dört siber güvenlik işlevini kapsaması bakımından daha avantajlıdır.
Bu nedenle, çeşitli noktalarda EPP çözümleri, EDR ürünlerini kapsayabilir. Ancak unutulmaması gereken önemli bir nokta, hiçbir EPP yüzde yüz etkili olmadığından, önleme kontrollerinden kaçan saldırılar için hangi tespit ve tepki mekanizmasına sahip olduğunuzu sormak durumunda kalırız.
Uç noktaya yönelik tehditlere karşı ilk savunma hattı olarak karşımıza çıkan EPP çözümleri dosya tabanlı ve dosyasız kötü amaçlı yazılımları, kötü amaçlı komut dosyalarını ve bellekte çalışan kötü amaçlı yazılımları tanımlar. Aynı zamanda bu tehditlerin bir sistemde yürütülmesini de engeller.
EPP daha yaygın olarak, bilinen tehditlere karşı çeşitli derecelerde etkili olan virüsten koruma ve kötü amaçlı yazılımdan koruma gibi temel önleme çözümlerinin yerini almaya başladı. Daha gelişmiş EPP çözümleri ise, bilinmeyen veya sıfır gün adı verilen saldırıları ve hatta imza tabanlı ayak izleri bırakmayan dosyasız (fileless) saldırıları engelleme yeteneğini artırmak için yapay zeka kullandığını görmekteyiz.
Uç nokta koruma platformları, bilinen kötü amaçlı yazılımlar gibi geleneksel tehditleri, dosyasız saldırılar, fidye yazılımları ve sıfırıncı gün güvenlik açıkları gibi gelişmiş tehditleri önlemeyi amaçlar. Bir EPP, birkaç teknik kullanarak kötü amaçlı etkinlikleri tespit edebilir.
- İmza tabanlı; bilinen kötü amaçlı yazılım imzalarını kullanarak tehditleri algılamaktadır.
- Statik analiz; makine öğrenimi algoritmalarını (yürütme öncesi analiz olarak da bilinir) kullanarak önce ikili dosyaları analiz etme ve kötü amaçlı özellikleri aramaktadır.
- Davranış analizi; EPP çözümleri, bilinen bir tehdit imzası olmamasına rağmen (yürütme sonrası analiz olarak da bilinir) uç nokta davranışının temel çizgisini belirleyebilir ve davranışsal anormallikleri tanımlayabilir.
- İzin verilen ve engellenen listesi; erişimi engellemek veya yalnızca belirli IP adreslerine, URL’lere, uygulamalara ve işlemlere erişime izin vermektedir.
- Sandbox; dosyaların çalışmasına izin vermeden önce sanal bir ortamda çalıştırarak kötü amaçlı davranışlarını test etmektedir.
EPP’ler tipik olarak potansiyel veri kaybı önleme yetenekleri ile verileri koruma, antivirüs ve yeni nesil antivirüs adı verilen tespit sistemleri ve uç noktayı koyuran ana bilgisayar tabanlı güvenlik duvarı araçlarını kullanarak uç nokta koruması sağlar.
Standart EPP Özellikleri Nelerdir?
Gartner tanımına baktığımız zaman EPP çözümleri öncelikle bulut tarafında yönetilen, faaliyet verilerinin sürekli olarak izlenmesine ve toplanmasına izin veren çözümlerdir. Uç noktanın güvenliğinde uzaktan düzeltme eylemleri gerçekleştirirken, ofis ortamında mı yoksa dışarıda mı olduğunu anlayabilmelidir. Yani uç nokta aracısının bilinen tüm IOC’lerin yerel bir veritabanını tutması gerekmez , ancak sınıflandıramadığı nesnelerle ilgili bilgiyi bulmak için bir bulut kaynağını kontrol etmelidir.
EPP, tahmin ve önlemeden tespit ve müdahaleye kadar bir tehdidin yaşam döngüsünü kapsayan daha kapsamlı bir korumadır. Ancak, bu dört işlevin her birinde ne kadar etkili olduğu satıcıdan satıcıya göre değişmektedir. Geleneksel EPP araçları, kötü amaçlı yazılımdan koruma taraması gibi temel güvenlik özelliklerini sağlarken, EDR araçları daha gelişmiş güvenlik olayı algılama ve araştırma özellikleri uygular.
Ancak EDR, tehditlere uygun şekilde yanıt verebilmek için güvenlik uzmanları tarafından aktif araştırma ve analiz yapılmasını gerektirir. Buna karşılık EPP, ilk kurulum ve konfigürasyondan sonra gereken minimum denetimle çalışır.
İnsanlar EDR’nin daha güçlü olduğunu düşünse de EDR, EPP’yi gereksiz bir araç yapmaz. Bunun yerine, güçlü uç nokta güvenlik önlemlerine ihtiyaç duyan kuruluşlar, geleneksel ve gelişmiş güvenlik tehditlerini kapsayan bütünsel bir yaklaşım benimsemelidir.
Yönetilen Algılama ve Yanıt hizmetleri genellikle Yönetilen Güvenlik Hizmetleri Sağlayıcısı (MSSP) hizmetleriyle karşılaştırılır. Benzerlikleri paylaşırken, teknoloji, uzmanlık ve ilişki bakımından da farklılık gösterirler. MDR hizmetleri tipik olarak proaktiftir ve tehditlere odaklanır. MSSP’ler reaktif ve güvenlik açıklarına odaklanacak şekilde tasarlanmıştır. MSSP’lerden farklı olarak MDR hizmetleri, güvenlik uyarısı izleme yerine algılama, yanıt ve tehdit avına odaklanır. MSSP’ler güvenlik duvarlarını yönetir, ancak MDR’lerle aynı düzeyde tehdit araştırması, analitik ve adli analiz sağlamaz. MSSP’ler güvenlik sorunlarını tanır ancak MDR hizmetlerinin sağladığı tehdidin ayrıntılarını ortaya çıkarmakta zorlanacaklardır.
Kurumunuza Özel 7/24 SOC Hizmetlerimizden Faydalanmak ve Fiyat Teklifi Almak İçin Uzmanlarımızla İletişime Geçebilirsiniz.