Bu makalemizde sizlerle bilgi güvenliğinin arttırılmasını ve veri ihlallerinin azaltılmasını temel alan 2 ana başlıktan bahsediyor olacağım. Son zamanlarda siber saldırıların farklılaşması ile birlikte birçok kurumun saldırı altında kaldığını ve tehditlerin çeşitli güvenlik yazılımları kullanılmasına ragmen yaşandığını gözlemlediğimiz noktalar bulunmaktadır. Konunun detayına girmeden önce aşağıdaki unsurlara kurumunuzda sahip misiniz? Sahip değil iseniz bu yazıyı daha dikkatli okumanızı şiddetle tavsiye ediyorum.
- SOC ya da SOME birimine sahip misiniz?
- Güvenlik alanında uzman personeliniz var mıdır?
- Güvenlik yazılımlarınızın NSS Lab benzeri teknik kullanıma yönelik kurumlar tarafından incelenerek gereken sertifikasyonlar sağlanmış mı ? Performanslarını incelediniz mi?
- Güvenlik ihlalleri ya da herhangi bir zaafiyet tespitinde durumun temel sebebine kolaylıkla ulaşabiliyor musunuz yoksa buna ulaşmanız saatlerinizi hatta günlerinizi mi alıyor?
- Zaafiyetin ya da ihlalalerin yaşandığı endpoint (Son Kullanıcıyı) ağınızdan izole edilmiş bir biçimde inceleme şansınız var mıdır?
- Incident Investigation (Olay Keşfetme) detayına sahip misiniz?
Yukarıda belirttiğimiz başlıklar daha da genişletilebilir, ancak ana başlığımızda yer alan unsurları tam anlamıyla kavrayabilmek için kendinize öncelikle bu soruları sormanız ve cevaplarını kendi içinizde tartışmanızda fayda vardır.
**EDR (Endpoint Detection and Response-Son Kullanıcı Tespit ve Geri Dönüşleri) Nedir?
Farklılaşan atak türleri ve geleneksel anti-virüs sistemlerinin yetersizliğinden kaynaklı olarak yeni ortaya çıkan saldırıların sistemleri ve son kullanıcıları zaman zaman etkisi altına aldığını gözlemliyoruz. Özellikle powershell istismarlarının yoğun olarak kullanılması ile bir çok anti-virus uygulaması bypass edilebilmektedir. Buna benzer örnekler çoğaltılabilir ve uygulanabilir. EDR ile yapabileceklerimizi sıralamadan önce bu sistemin bize hangi soruları cevaplayacağını belirtmekte fayda olacaktır;
- Gerçekleşen atak tipi nedir? (Local-Remote-Malware-Ransomware-ZeroDay)
- Gerçekleşme nedeni nedir ? (Eksik Updateler, Yanlış ya da eksik yapılandırmalar, BoTNet, Eski verisyon uygulama kullanımı vb)
- Saldırı yöntemi nedir? (Web-based, E-mail, USB, Network-based vb.)
- Saldırı ne zaman gerçekleşti?
- Saldırıdan etkilenen/etkilenenler kim?
EDR sisteminin bize sağlayacağı avantajları ise genel olarak aşağıdaki gibi belirtebiliriz:
- Exploit-based yapılan atakların tespit ve analizi,
- Her etkinliği izler ve kaydeder,
- Kendini gizlemeye çalışan ve belli periyodlarda Endpoint üzerinde yanal hareketleri ve mevcut makineyi istismar etmeye çalışan zararlının tespiti,
- Davranış analizi (Behaviour Monitoring)ve makine öğrenme(Machine Learning) teknolojilerini kullanarak olay tespit süresinin ve zararlının bulunduğu yere ve ağa zarar vermesinin önüne geçer ve tespitini sağlar,
- Powershell saldırıları (Örn; excel dosyası gibi görünürken aslında arka planda bir .exe file olarak yapılandırılır ve kullanıcının makinesinden backdoor veya botnet gibi ataklara maruz bırakabilmektedir.)
- Bilinmeyen dosya veya uygulamaların tespiti ve sanal ortamlarda testlerinin sağlanarak ağ da yer alan diğer uç nokta ürünlerinin bu konu hakkında bilgilendirilmesi,
- Uç noktalar üzerinde gerçekleşen eylemlerin takibinin yapılması ve analizlerinin anlık gözlemlenebilmesi,
- Farklı ürün gruplarıyla (UTM Firewall, APT ürünleri vb.) entegre edilerek güvenlik durumunuzu bir üst seviyeye taşımanızı sağlayabilir,
- Son kullanıcı üzerinde yapılandırıacağınız endpoint sensor ile makine üzerindeki registry kaydı, ağ trafiği, process ler, SMB ve diğer farlı prokoller üzerinden gerçekleşen trafikten haberdar olmanızı ve analiz yapmanızı sağalamaktadır,
- Adli İzlenim süreçlerinde size önemli bir tespit imkanu sunar,
- Özellile Windows makinelerinizde Registry kayıtlarınızın takibini sağlamaktadır, Anomalileri arka planda tespit eder,
- Processler, servisler detaylı olarak takip edilir,
- IOC ve YARA kullanımını destekler,
- IP,URL,Domain,DNS ve SHA Hash, File Name ve File Path gibi araştımaları yapmanıza imkan tanır,
- Özellikle kolay yönetilebilirlikleri ile olay zamanına ve tüm nedenlerine kolay erişilebilirlik sağlarken bir yandan da önlemini almış olarak sizin karşınıza sonuçları çıkaracaktır. Göremediğiniz detaylarda sizlerin bir gözü olarak yer alan sistem olmaktadır.
EDR detaylarından ve genel olarak size hangi konularda yardımcı olacağından bahsettim. Bir diğer taraf yani MDR (Managed Detection and Response-Yönetilebilir Tespitler ve Geri Dönüşler) nedir ve neden kullanılmalıdır?
MDR tehdit algılaması, tehdidin tespiti-müdehalesi ve iyileştime süreçlerinin belirlendiği ve yönetildiği servistir. MDR ile özellikle kurumlar içerisinde siber güvenlik uzmanları yer almıyorsa, karar alma ve süreç müdahale işlemlerinin kolaylaştırılmasının hedeflendiği servis olarak açıklayabiliriz. Veri koruma ve tehditlerin oluştuğu uç noktalarda müdehalayi merkezileştiren bir yapıya sahiptir. Özellikle DLP, SIEM ve Incident Forensics uygulamalarına eklenebilecek gelişmiş bir güvenlik çözümüdür. MDR ile ayrıca güvenlik olaylarının yorumlanmasını ve sonrasında kurumda ya da kuruluşlarda alınabilecek önlemlerin şekillenmesi sağlanabilmektedir. Güvenlik uzmanlarının ihityaç duyduğu en önemli durumlardan birisi ise kurumun ya da kuruluşun gelecekteki karşı karşıya kalabileceği saldırılara karşı alabilecekleri önlemleri tanımlayabilmektedir. MDR ile bu noktada da aktif olarak çözüm almanız-içeriğinde yer alan sistemsel yeteneklerle mümkündür.
Aslında genel bakacak olursak, EDR ve MDR birbirine entegre-benzer iki güvenlik hizmetidir. Yapılan araştımalara göre ise 2021 yılına kadar kurumların bu kısımda yapacağı yatırımların hızla artacağı gözlemlenmektedir. Teknolojinin günden güne gelişmesi ile siber güvenlik kavramının aktif olarak artık kurumlarda yapısal haller alması ile EDR ve MDR çözümlerinin kullanılması kaçınılmaz bir durum olarak gözlenmektedir. Türkiye özelinde de KVKK uyum süreçlerinizi önemli bir derecede desteklemektedir.
Son zamanlarda Trend Micro, Symantec gibi sektörün önde gelen güvenlik çözüm üreticilerinin bu noktada profesyonel olarak hizmet kapasitelerini genişlettiğini ve odak noktalarının uç nokta güvenliğinde EDR ve MDR sistemlerini kapsadığını gözlemliyoruz. Özellikle APT (Advanced Persistent Threat) entegrasyonları ile de aynı anda hem L2-L7 trafiğiniz içinde, hem de mail trafiği gibi yoğun kullanılan network/ağ aktivitlerinizin sanal ortamlarda (Sandboxing Teknolojisi) analizlerinin sağlanmasını ve uç noktalarda aksiyon alınması noktasında ki detayların işlendiğini uygulamalı olarak sahada gözlemliyor ve kurguluyoruz. Detaylar için bizlerle iletişime geçebilirsiniz.