XDR çözümleri; sundukları güçlü özelliklerle birlikte güvenlik ekiplerine saldırılara karşı savunma, operasyonları basitleştirme, kimlik tanımayı hızlandırma ve güvenlik katmanında iyileştirme konularında yardımcı olur. XDR platformları, farklı kaynaklardan güvenlik verilerini ileri düzey saldırıları tespit etmek ve bu faaliyetleri engellemek için toplar ve konsolide eder. Fakat iş verimli bir şekilde tehdit verisini analiz etme ve vakanın kök nedenini hızlı bir şekilde belirleme konusuna gelince her XDR çözümünün aynı olmadığı net şekilde görülecektir. En etkili XDR çözümleri bir EDR altyapısı temeline dayanmaktadır. Bu sebeple düzgün bir EDR ile yola çıkılmazsa gerçek bir XDR çözümüne sahip olunamaz.
Siber saldırıların her kademesinde uç nokta cihazları etkilenmektedir. Tehdit aktörleri, bilgisayar ağı içinde bir dayanak noktası olarak kullanabilmek için uç nokta cihazlarına odaklanmış durumdadırlar. Bu saldırılarda nihai amaç, sunucu benzeri uç cihazlara sızarak işletme için kritik uygulamalar üzerinde açıklar yaratılması ve böylece hassas ve gizli verilerin çalınmasıdır. Bu durumda uç cihazlar üzerinde odaklanılması gereken kritik konular; tehlike arz eden varlıkların tespiti, bir kapsama alanı içinde tehdit verileri arasında korelasyon ve karmaşık saldırıların izole edilmesi olarak karşımıza çıkmaktadır.
Uç Cihazların Sağladığı Bakış Açısı
Tipik bir saldırıda saldırgan, e-posta oltalama taktiği veya zararlı yazılım enjekte ederek son kullanıcı bilgisayarı gibi cihazlardan ilk açık kapıyı sağlayabilmektedir. Bu noktada giriş yapıldıktan sonra tipik olarak kullanıcıdan kimlik hırsızlığı ile çalınan giriş bilgisi kullanılarak meşru bir kullanıcı gibi ağda yanal hareket (aynı ağ kapsamında paralel sistemlere yönelim) yapar, sunucular veya diğer kritik varlıklar üzerinde yetkilendirme seviyesini yükselterek yönetici hesap yetkileri edinir ve son aşamada sistemlere hasar vermeye başlar.
Uç nokta cihazlarından elde edilen telemetri verileri, güvenlik analistlerine anormal bir aktivite olup olmadığını tespit etmede yardımcı olur. Bu tür telemetri verileri, bir saldırıya ait olma ihtimali olan aşağıdaki aktivitelere ait bilgileri içerebilir:
- İçeriye veya dışarıya doğru beklenmedik bilgisayar ağı trafiği
- Uç nokta cihazlarında çalışan bilinmeyen uygulama ve programlar
- Şüpheli kayıt defteri (registry) veya sistem dosyası değişiklikleri
- Alışılmadık DNS talepleri ve kayıt defteri (registry) yapılandırmaları
- Sistem yöneticisi veya yetkili kullanıcı hesaplarında görülen anormal aktiviteler
- Yanlış giriş girişimleri veya erişim taleplerinde artış
- Veri tabanı okuma bölümlerinde anomali
- Aynı dosya için yüksek miktarda erişim talebi
- Mobil cihaz profilleri dahil tüm yetkisiz ayar değişiklikleri
- Yanlış veya açıklanamayan dizinlerde bulunan büyük boyutlu sıkıştırılmış dosyalar veya veri paketleri
EDR çözümleri sürekli olarak uç nokta cihazlarını denetler, bu sistemlerdeki tehditlerin tespit edilebilmeleri ve bu tehditlerin engellenebilmeleri için güvenlik verilerini toplar ve tehlikenin ne olduğunu belirten işaretlerin tanımlanabilmesi için için yapay zekadan yararlanır.
Falcon XDR: Sektör Lideri EDR’dan Genişletilen Çözüm
Falcon XDR, aşağıdaki platformlardan gelen verileri zenginleştirerek EDR çözümünü bir üst seviyeye taşımaktadır.
- E-posta güvenliği ve anti oltalama çözümleri
- Ağ analizi ve görünürlük (NAV) çözümleri
- Kimlik ve erişim yönetimi (IAM) çözümleri
- Tehdit ve zaafiyet yönetimi çözümleri
- Bulut güvenlik çözümleri
- Operasyonel teknoloji (OT) ve IoT güvenlik çözümleri
- Güvenli web ağ geçidi çözümleri
Falcon XDR, geniş yelpazedeki kaynaklardan vaka ve bildirimleri alır, kümeler, analiz eder, önceliklendirir ve tek bir konsol üzerinden anlaşılır bir biçimde güvenlik ekiplerine iletir. Falcon XDR ile güvenlik ekipleri; çok sayıda platformda ve etki alanında karmaşık tehditleri hızlı ve kolay bir şekilde tespit eder, avlar ve araştırır. Güvenlik uzmanları; uç noktada bulunan tehdit verilerini diğer telemetri verileri ile korelasyon sürecine sokarak etkin bir şekilde zaman tabloları oluşturabilir, bir vakanın kök nedenini tanımlayabilir ve düzeltici faaliyetlerde bulunabilirler.
Tehdit aktörleri saldırı yaptığında, zaman en önemli konudur. CrowdStrike’ın 2022 Global Tehdit Raporu’na göre, bir saldırgan, bir bilgisayar ağına erişim sağladıktan sonraki ortalama olarak 1 saat 38 dakika içinde verileri elde etmeye ve yanal hareket yapmaya başlamaktadır. Aynı zamanda, bu tip bir saldırıya uğrayan ortalama düzeyde bir işletme 6 günden fazla bir sürede bu siber güvenlik vakasını tespit edebilmektedir. Falcon XDR, güvenlik uzmanlarına tehditleri tanımlayabilmeleri ve saldırıları proaktif bir şekilde durdurmaları konusunda yardımcı olur ve böylece geri dönülemez hasarların önüne geçer.
“Güçlendirilmiş” SIEM Yanılgısı
Bazı SIEM üreticileri, büyüyen XDR pazarına giriş yapabilmek için kendi çözümlerini XDR çözümleri gibi lanse etmektedir. SIEM çözümleri, temel olarak çok farklı tip ve sayıda kaynaktan beslenecek şekilde tasarlanmıştır. Bazı SIEM üreticileri, yetersiz analiz özelliklerini çözümlerine eklemiş ve görünürlüğü genişletebilme adına ek bilgi kaynakları eklemişlerdir. Fakat günün sonunda SIEM çözümleri, çok sayıda komut dizisi içeren ve el ile müdahale gerektiren geniş bir log deposu olmaktan öteye geçememektedir. Bir sorunun köküne inebilmek için güvenlik ekiplerinin genelde farklı sistemlerde üretilmiş çeşitli log verileri üzerinde analiz ve birleştirme işlemleri yapmaları gerekir ki, bu da çok fazla zaman kaybı ve hata içerebilen bir eylemdir.
Türünün en iyi örneği olan XDR çözümleri, el ile müdahale edilen yönetici işlemlerini ortadan kaldırır. Bu tip XDR’lar ham veriyi anlamlı ve eyleme geçilebilir bir veri haline dönüştürürken, otomatik müdahale desteği ile görünürlüğü daha iyi hale getirir, iş süreçlerini akıcı yapar, tehdit tespitini hızlandırır ve sarfedilen emeği azaltarak güvenlik ekiplerine yardımcı olur.
EDR Temelinde XDR Dönüşümü
Her başarılı XDR dönüşümü, sağlam bir EDR altyapısına dayanır. Forrester’ın son raporunda belirttiği üzere “İyi bir XDR, iyi bir EDR ile yaşar veya ölür.” XDR, EDR’ın esas aldığı prensip ve işlemler üzerinden inşa edilir ve sonrasında bu esasları genişletir ve optimize eder.
Daha taktiksel bir dille anlatmak gerekirse, XDR’ın başarıya ulaşabilmesi için uç noktalardan gelen verilerin temel dayanak olması gerekmektedir. Forrester’ın bir diğer açıklamasına göre “Bir XDR, uç cihazlarından gelen bildirimler üzerinde inşa edilirse tespitleri optimize eder ve çok daha etkin sonuçlar elde edilir.” Yani sahip olunulan XDR çözümü etkin olsa da, tüm altyapıda güvenlik derecesini artırmak ve bunu kolayca yönetebilmek için iyi ve sağlam bir EDR elzemdir.
Özetle, bir XDR çözümünden maksimum faydayı sağlayabilmek için EDR temeline inşa edilmesi gerekmektedir. Falcon XDR, güvenlik ekiplerine günümüzün en karmaşık tehditlerini hızlıca tanımlayabilmesi, avlayabilmesi ve ortadan kaldırabilmesi için gereken ne varsa verebilen, sektörünün lider EDR teknoloji altyapısının güçlü bir uzantısıdır.
Detaylı bilgi için:
https://www.crowdstrike.com/blog/why-the-most-effective-xdr-is-rooted-in-edr/