EDR (Endpoint Detection and Response-Uç nokta Tehdit Algılama ve Yanıt ) Nedir?

Günümüzde kuruluşların siber tehditlere karşı önlem alması çok önemlidir. Siber saldırganlar kuruluşlara saldırırken çok daha gelişmiş teknikler ve karmaşık zararlı yazılımlar kullanmaktadır. Bu denli tehditlerin büyüdüğü bir siber dünyada geleneksel yöntemler olarak nitelendireceğimiz antivirüs cihazları ve güvenlik duvarı (firewall) artık yetersiz kalmaktadır.

Bunun yanında ekstra yöntemlere de ihtiyaç vardır. Bugünkü yazımda sizlere EDR dan bahsedeceğim. Edr nedir daha önce hiç duydunuz mu? Kuruluşlar neden bu güvenliğe ihtiyaç duyar? Amacı nedir? Kullanıldığında ne gibi faydalar sağlar? Hadi gelin hep birlike bu sorulara yanıt arayalım…

EDR nedir ?

Kötü amaçlı yazılım gibi siber tehditleri tespit etmek ve bunlara yanıt vermek için son kullanıcı cihazlarını sürekli izleyen bir uç nokta güvenlik çözümüdür.

Özetlemek gerekirse; EDR sistemleri bilgisayar ağlarında bulunan uç noktaları korumak için kullanılan bir güvenlik teknolojisidir. Uç nokta diye bahsettiğimiz cihazlara bilgisayarlar, sunucular, mobil cihazlar ve diğer ağa bağlı cihazlar örnek olarak verilebilir.

EDR nasıl çalışır ?

Uç noktalarda (Endpoint) devam eden tüm etkinlikleri izler. Kapsamlı, gerçek zamanlı tehdit istihbaratı ve görünürlüğü sunar. Olay verilerini arama, uyarıyı önceliklendirme, şüpheli etkinlik tespiti, tehdit avcılığı ile gelişmiş tehditleri algılama, araştırma ve yanıt verme yetenekleri sağlamaktadır.

EDR sistemleri bilgisayar ağlarında bulunan uç noktaları korumak için kullanılan bir güvenlik teknolojisidir. Uç nokta diye bahsettiğimiz cihazlara mobil cihazlar, bilgisayarlar, sunucular ve diğer ağa bağlı cihazlar örnek olarak verilebilir.

EDR’ın Sağladığı Özellikler Neler?

Bir EDR sisteminin bileşenleri ve özellikleri, ürüne göre büyük ölçüde değişebilir. EDR, olayların meydana gelmesini etkili bir şekilde durdurabilir, acil tehlikeleri azaltabilir ve bir olaydan sonra sorunu derhal çözebilir. Genel olarak aşağıdaki yeteneklere sahip olmalıdır.

1- Endpoint (Uç nokta) veri toplama: Veriler (dosya değişiklikleri, ağ etkinliği vb.) ortamdaki uç noktalardan, genellikle her uç noktaya dağıtılan bir yazılım aracısı aracılığıyla toplanır. Bu veriler daha sonra düzenlenebileceği ve analiz edilebileceği merkezi bir platforma gönderilir.Merkezi platform genellikle bulut tabanlıdır.

2- Veri analizi: Machine learning teknolojisiyle, endpointlerden toplanan verilerin analiz edilmesine ve yorumlanmasına yardımcı olur. Herhangi bir tehdidin; ne zaman? nerede? nasıl? ve kim? olduğunu belirlemek için verileri derinlemesine inceleyerek bir olayın temel nedenini bulmak için EDR araçlarını kullanır.

3- Otomatik yanıt: EDR aracının şüpheli olarak değerlendirdiği tüm olaylar veya faaliyetler, güvenlik personelinin araştırması için otomatik olarak bir uyarı oluşturur. Daha karmaşık saldırıların çözümü için insan müdahalesi hâlâ gerekli olsa da, kuruluşların olaylara müdahale sürelerini en aza indirmesine yardımcı olmak için otomatik yanıtlar da çok önemlidir.

4- Veri saklama: Güvenlik personeli, bir saldırının nasıl gerçekleştiğini belirlemek için olay müdahale süreçleri sırasında geçmiş verilere bakabilir. EDR araçlarından elde edilen bilgiler, bir kuruluşun gelecekteki saldırılara karşı güvenliği güçlendirmesine yardımcı olma açısından son derece değerli olabilir. Bulut tabanlı EDR araçları bu tarz durumlarda daha fazla avantaj sağlar. Cihazların tamamen yok edilmesini içeren en kötü senaryoda bile, olaya kadar giden senaryoyu analiz etmek için bulutta depolanan olay geçmişi kullanılır.

EDR niçin önemlidir?

Çoğu kuruluş, büyük miktarda siber saldırıya maruz kalır. Bunların arasında bilinen fidye yazılımı ve e-posta eki gönderen tehditler gibi basit saldırılardan tutun da, tehdit olarak bilinen güvenlik açıklarını veya saldırı yöntemlerini alıp bellekte zararlı yazılım çalıştırma gibi hileli yöntemleri kullanarak, bunları gizlemeye çalışma gibi daha gelişmiş saldırılar yer alır.

Bundan dolayı uç nokta güvenliği bir kuruluşun siber güvenlik stratejisinin temel bir parçasıdır. Ağ tabanlı savunmalar yüksek oranlı siber saldırıları etkili bir şekilde durdurabilirken bazılarını gözden kaçırabilir. Uç nokta tabanlı savunma çözümü, kuruluşu daha büyük bir güvenlikle donatır ve tehditleri tanımlayıp bunlara yanıt üretmesini hızlandırır.

Uzaktan çalışma modelini seçen birçok kuruluş için düzgün bir uç nokta koruması giderek daha fazla önem kazanıyor. Evden çalışanlar iş yerinde olanlar kadar siber tehditlere karşı korunmayabilirler ve kişisel cihazlarını en son güncellemeler ve güvenliği olmadan kullanıyor olabilirler. Çalışanlar uzaktan çalışınca geleneksel ofis ortamında çalışmaya kıyasla siber güvenlik konusunda daha az dikkatlide olabiliyorlar.

Güçlü uç nokta güvenliği çalışanı tehditlerden koruduğu için temelde önemlidir ve siber saldırı risklerine karşı uzaktan çalışanın bilgisayarını saldırıyı karşı önleyebilir.

EDR güvenlik çözümleri, şüpheli etkinlikleri tanımlamak için dizüstü bilgisayarlardan, masaüstü bilgisayarlardan, mobil cihazlardan, sunuculardan ve hatta bulut iş yüklerinden (workloads) gelen olayları analiz eder. Güvenlik operasyoncuların sorunları ortaya çıkarmasına, araştırmasına ve düzeltmesine yardımcı olmak için uyarılar üretirler.

EDR araçları ayrıca şüpheli etkinliğe ilişkin verileri de toplar ve bu verileri, ilişkili olaylardan elde edilen diğer bağlamsal bilgilerle zenginleştirebilir. Bu işlevler aracılığıyla EDR, olaya müdahale edecek ekiplerin müdahale sürelerinin kısaltılmasına ve tehditlerin çok büyük soruna sebebiyet vermeden ortadan kaldırılmasında etkili olur.

Bir sonraki yazımda görüşmek üzere.

Hoşça kalın!