EDR, NDR, XDR, MDR, EPP

“Tehdit Tespiti ve Müdahale” artık kurumsal ağların güvenliğini sağlamanın vazgeçilmez bir yolu olarak görülüyor. Büyük ortamlar ve karmaşık gereksinimler nedeniyle, bu her zamankinden daha önemli: potansiyel tehlikelerin ve "tehditlerin" bulunması veya önlenmesi ve ilgili sistemlerin mümkün olduğunca aktif, hızlı, verimli ve otomatik olarak geri yüklenmesi ve/veya temizlenmesi artık çok önemli.

 Üç harfin arkasında piyasada mevcut olan çeşitli türlerde “Algılama ve Yanıt” modelleri bulunmaktadır. Kısaltmalar ne anlama geliyor ve bir çözümü diğerinden ayıran şey nedir?

İşte kısa bir genel bakış:

 EDR

" Uç Nokta Tespiti ve Yanıtı " anlamına gelir . Bir ağa bağlı her cihaz, siber tehditler için potansiyel bir saldırı vektörünü temsil eder ve bu bağlantıların her biri, verilerinize yönelik potansiyel bir ağ geçididir. Genel olarak, EDR çözümleri uç cihazlardan veri toplar, bunları potansiyel tehditleri belirlemek için kullanır ve bu potansiyel tehditleri araştırmak ve bunlara yanıt vermek için yararlı yollar sağlar; hatta modern çözümler bunu daha sonraki raporlamalarla otomatik olarak yapar.

EDR , başlangıçta yeni nesil antivirüs teknolojilerindeki boşluğu kapatan bir uç nokta güvenlik çözümüdür. Böyle bir aracı, uzaktan incelemeler gerçekleştirmek için gelişmiş özelliklerle birlikte, bilinmeyen saldırıları tespit edebilmeli ve bu tehditlere karşı otomatik düzeltmeler başlatabilir.

• Kapsam : Uç noktalar ve ana bilgisayarlar
•  Amaç : Uç noktanın/erişim alanının sızmaya karşı korunması, izleme ve hafifletme, güvenlik açığı değerlendirmesi, uyarı ve yanıt
• Özellikler : Kötü Amaçlı Davranış, Saldırı Göstergesi (IoA), Uzlaşma Göstergesi (IoC), İmzalar, Makine Öğrenimi
• Çözüm Kapsamı : Gelişmiş Kalıcı Tehditler (APT), fidye yazılımları, kötü amaçlı komut dosyaları vb.

 NDR

Klasik ağ güvenliğinden geliştirilen ve NTA'nın (Ağ Trafik Analizi) bir alt alanı olan “ Ağ Tespiti ve Yanıtı ”dır. Ağ üzerinden geçen bilinen ve bilinmeyen tehditlerin tam görünürlüğünü sağlar. Çözümler genellikle verimli iş akışları ve otomasyon dahil olmak üzere merkezi, makine tabanlı ağ trafiği analizi ve yanıt çözümleri sağlar. Ağdaki konumlandırma nedeniyle ve makine öğreniminin yardımıyla, her şeyden önce yanal hareketler olarak adlandırılan hareketleri tanımlamak ve ortadan kaldırmak için ağın tam olarak anlaşılması ve analizi gerçekleştirilir.

• Kapsam : Ağ ve cihazlar arası trafik
• Amaç : Ağ trafiğinin görünürlüğü/şeffaflığı, bilinen ve bilinmeyen tehditlerin yanı sıra yanal hareketlerin tespiti, uyarı ve yanıt
• Özellikler : Saldırı Göstergesi (IoA), Anormallik Tespiti, Kullanıcı Davranışı, Makine Öğrenimi
• Çözüm Kapsamı : Gelişmiş Saldırılar ve İzinsiz Girişler, kötü amaçlı yazılım içermeyen saldırılar

MDR

MDR veya Yönetilen Algılama ve Yanıt , kuruluşların MSSP (Yönetilen Güvenlik Hizmeti Sağlayıcısı) iş ortakları aracılığıyla yararlanabilecekleri harici bir hizmet servisidir. MDR, özel siber güvenlik uzmanları tarafından gerçekleştirilen sürekli izleme sayesinde yapıların bilgi sistemlerinin sürekli korunmasına olanak tanır. Bu servis genellikle tespit, analiz, araştırma ve müdahaleyi içerir.

" Yönetilen Tespit ve Yanıt " anlamına gelir . Burada odak noktası teknoloji değil, hizmettir. MDR ile müşteriler güvenlik operasyonlarını dış kaynaklardan sağlıyor ve tüm yıl boyunca, günün 24 saati güvenilir bir bakışa sahip oluyorlar.

Güvenlik sağlayıcıları, MDR müşterilerine, ağ izleme, olay analizi ve güvenlik olaylarına müdahale konusunda uzmanlaşmış güvenlik analistleri ve mühendislerden oluşan havuzlarına erişim olanağı sunar.

Gereken beceri ve kaynaklar nedeniyle özellikle SOC (Güvenlik Operasyon Merkezi) ve SIEM (Güvenlik Bilgi ve Olay Yönetimi) alanında aranan bir hizmettir.

• Kapsam : Müşterilere sunulan hizmet
• Amaç : Güvenlik uzmanlığının dış kaynaklardan sağlanması, güvenlik bilgilerinin merkezileştirilmesi, yüksek kaliteli tavsiye ve güvenlik uyumluluğu
• Özellikler : Müşteri sistemlerinin çeşitli arayüzler (API, loglama, DataLake vb. pp) aracılığıyla entegrasyonu
• Çözüm Kapsamı : Bir kuruluşta güvenlik becerilerinin/kaynaklarının eksikliği, xDR araçlarının dağıtımı, güvenlikte "gündelik yaşamın" basitleştirilmesi: uyarıların/olayların hazırlanması/en aza indirilmesi

XDR

Çok daha güçlü bir yapay zeka ve otomasyon yaklaşımının, dolayısıyla “ Genişletilmiş Tespit ve Yanıt ” ın yardımıyla EDR'nin potansiyelini genişletiyor .

XDR konsepti, EDR, EPP, SIEM, NTA, bulut koruma platformları, Honeypot'lar vb. gibi birçok güçlü sensörün gücünü yerel olarak birleştirmek için kolayca dağıtılabilen bir platform olarak siber güvenliğe yeni bir yaklaşımdır.

XDR yalnızca uç noktaları entegre etmekle kalmıyor, aynı zamanda tek vektör tabanlı nokta çözümünün ötesine geçerek analiz ve değerlendirme amaçlı uygulamaların yanı sıra cihazlar arası trafiği de kullandığından kurumsal ağda şeffaflık yaratıyor.

Ortaya çıkan devasa veritabanları/Data Lakes, öncelikle kullanılan bileşenlerin yardımıyla verilerin derin entegrasyonu ve korelasyonu yoluyla, makine bazlı bazda hassas analizin yanı sıra verimli tanımayı da mümkün kılar.

SIEM kullanımıyla birlikte korelasyon ve görünürlük daha da artırılabilir. Kötü amaçlı yazılımların azaltılmasını (saldırının önlenmesi) ve/veya iyileştirilmesini (bulaşma sonrasında sistemlerin geri yüklenmesini) kolaylaştıran ek (meta) verilerle göstergeler ve olaylar raporlanabilir.

• Kapsam : Uç noktalar, ana bilgisayarlar, ağ ve cihazlar arası trafik, uygulamalar
• Amaç : Çoklu güvenlik seviyelerinde (ağ, uç nokta, uygulamalar) görünürlük/şeffaflık, tüm bileşenler dahil olmak üzere yanal seviyede bilinen ve bilinmeyen tehditlerin tespiti, bütünsel izleme ve azaltma, güvenlik açığının değerlendirilmesi, uyarı ve yanıt, olayların basitleştirilmesi ve birleştirilmesi ve faaliyetler ve hedeflenen React
• Özellikler : Makine Öğrenimi, Saldırı Göstergesi (IoA), Anormallik Tespiti, Kullanıcı Davranışı, Kötü Amaçlı Davranış, Tehlike Göstergesi
• Çözüm Kapsamı : Entegrasyon seçenekleri/üretici arayüzleri, şeffaflık boşlukları, EDR ve NDR'ye özgü bazı özelliklerin desteği…

SOAR (Güvenlik Düzenleme, Otomasyon ve Yanır)

SOAR veya Güvenlik Düzenleme, Otomasyon ve Yanıt çözümü , otomatik yanıtlar sağlamak için siber güvenlik bilgilerini merkezileştirir. Bu eylemler, kötü amaçlı yazılımları doğrudan etkisiz hale getirmek gibi aktif veya ek araştırmalar başlatmak gibi dolaylı ve karmaşık olabilir. Otomatik davranışlar, bir iş akışı motoru kullanılarak önceden yapılandırılır. Yazılan her senaryo, bir şey olduğunda ne yapılacağını vs. bilen bir taktik referans yol haritasıdır.

EPP (Uç Nokta Koruma Platformu)

EPP, yeni nesil antivirüs dünyasından bir uç nokta güvenlik çözümüdür. Böyle bir aracı, birçok saldırıyı (dosya tabanlı yazılımlarla yapılan saldırılar veya kötü amaçlı faaliyetler gibi) önleme yeteneğine sahiptir ve phishing, 0 günlük istismar, ağ saldırıları gibi birçok güvenlik sorununa karşı spesifik işlevselliklere sahiptir.