EDR ve EDR’ın Önemi Nedir?
Ağ üzerinde çalışan uç noktadaki cihazları korumak için geliştirilmiş bir teknolojidir. Uç noktalar bilindiği üzere, ağ içerisinde ki en savunmasız noktalardan birisidir. Ponemom Institute tarafından yapılan incelemeler sonucunda kuruluşların %68’i, veri ya da alt yapının tamamı atlatılarak sonlandırılan uç nokta saldırısı ile karşı karşıya kalmıştır. Uç noktları korumak için bir çok çeşitli ürün vardır bunlardan bazıları; MDR, EDR, XDR ve MXDR.
EDR (Endpoint Detection and Reaction), uç noktalarda ki cihazlar da gerçekleşen şüpheli eylemleri, yüksek yanıt hızına sahip otomasyon kullanarak SOC birimini bilgilendirmekte rol alan bir siber güvenlik çözümüdür. Varsayılan anti virüs programları, kurumlar için tek başına yeterli olamamaktadırlar. Saldırganlar tarafından geliştirilen, anti virüs atlatma yöntemleri, büyük ölçekte başarıyla sağlanmakta ve kurum için kritik bilgilerin çalınmasıyla birlikte yüksek risk teşkil etmektedir.
Geleneksel anti virüslerin yetersiz kaldığı bu durumlarda, EDR bu tehditleri tespit edilmesini sağlamaktadır. Güvenlik açığının nedenleri belirlemek için sorgu, davranış ve olayları kayıt altına almaktadır. Gelişmiş EDR ürünleri makine öğrenimi ile birlikte gelişmiş davranış analizi yapabilmektedir.
EDR Nasıl Çalışır?
Sıfır güven mimarisine sahip olan EDR, bu mimariye geçişin olmazsa olmazı olarak da bilinmektedir. Kör noktaların önüne geçmek isteyen ve yapılan işlemlerin takibini kontrol altına almak isteyen kurumlar bu siber güvenlik çözümünü kullanmak zorunda kalmıştır. Gerçek zamanlı gizlilikleri ve proaktif saldırı tespitini yapmak ve müdahale etmek için çeşitli mekanizmalar kullanılmaktadır. Bunlardan bazıları;
Veri Toplama
Uç nokta seviyesinde oluşturulan, kullanıcı oturumları dahil olmak üzere, yürütülen işlemleri ve iletişim takip etmektedir.
Veri Kaydetme
Güvenlik olayları hakkında bilgileri içeren veri loğlarını gerçek zamanlı olarak içermektedir.
Tespit Etme
Davranış analizi yapar, yapılan bu analizler neticesinde art niyetli hareketlerin tespiti daha kolay yapılırken, olası tehditlerin önüne geçilmiş olunur.
EDR Ürününde Aranan Özellikler
- Önem Durumu
- EDR ürünü, yanıtın önem durumunu kendi içerisinde belirleyerek, güvenlik ekiplerinin işlerini daha fazla kolaylaştırmayı hedeflemektedir.
- Tehdit Avcılığı
- Tehditler ve izinsiz giriş potansiyelini belirlemek için proaktif olarak tarama yapabilmektedir.
- Tehditler ve izinsiz giriş potansiyelini belirlemek için proaktif olarak tarama yapabilmektedir.
- Veri Toplama ve Zenginleştirme
- Bağlam sağlamak için gereklidir ve bağlam, EDR çözümlerinin ve güvenlik ekiplerinin yanlış pozitifler ile gerçek tehditler arasında ayrım yapmasına yardımcı olur.
- Uç nokta Yanıtları
- Ekiplerin kanıtları hızlı bir şekilde gözden geçirmesine ve güvenlik olaylarına anında yanıt vermesine olanak tanır.
- Çoklu Yanıt Seçeneği
- Ekiplerin ve teknolojilerin bir olaya uygun şekilde yanıt vermesini sağlar. Örneğin, yanıtlar eradikasyon ve karantina için yetenekler içermelidir.
Comments