Siber Güvenlik Stratejisi - XDR

tarih:

 

 

Tehdit Tespiti ve Müdahalesinin Mevcut Durumu

Bu bölümde, modern tehditlerin potansiyel olarak nasıl daha yıkıcı hale geldiğini ve neden geleneksel önleme, tespit ve müdahale yaklaşımlarının yeterli olmadığını açıklıyorum. Ayrıca, alarm yorgunluğu ve siber güvenlik becerileri eksikliğinin kuruluşunuz için nasıl bir risk oluşturduğuna da değiniyorum.

Modern Tehdit Manzarasını İncelemek

Son yıllarda, veri ihlalleri ve fidye yazılımı saldırıları o kadar yaygınlaştı ki, neredeyse hava durumu, spor ve trafik haberleri gibi kendi segmentlerini hak eder duruma geldiler. Ancak bu tür güvenlik olaylarının sık görülmesi, onları daha az tehlikeli yapmaz. Ortamınızda aktif bir tehdit aktörünün bulunması, her dakika büyük bir zarar potansiyeli taşır.

Ponemon Enstitüsü'ne göre, 2020'den 2021'e kadar bir veri ihlalinin ortalama maliyeti %10 artarak 4,24 milyon dolara yükseldi. Bu, son yedi yıldaki en büyük yıllık maliyet artışıdır.

Bu durumu zaten yaşadığınızı ve veri kaybı meydana gelmeden önce tehditleri tespit etmek ve olabildiğince hızlı ve etkili bir şekilde yanıt vermek için çalıştığınızı biliyorum. Ancak bu, tehdit aktörlerinin giderek daha sofistike hale gelen taktikleri, teknikleri ve prosedürleri (TTP'leri) karşısında zorlu bir mücadeledir. Saldırganlar artık geleneksel dosya tabanlı kötü amaçlı yazılımları kullanmadan bile bir ortamı tehlikeye atabilirler. Bunun yerine, yetkili sistem dosyalarını manipüle eden, bir cihazın kayıt defterine saldırılar ekleyen veya PowerShell gibi araçları kötü amaçlarla kullanan yöntemlere başvurabilirler. Yeni ve daha karmaşık saldırı yöntemlerinin artması, yalnızca tehdit önlemeye değil, aynı zamanda tespit ve müdahale için de yeni strateji ve taktiklere olan ihtiyacı artırmıştır.

Bir kuruluşun modern tehdit ortamının üstesinden gelebilmesi, etkili araçlar ve yetenekli bir güvenlik analistleri ekibi gerektirir. Ne yazık ki, çoğu kuruluş bu dengeyi sağlamakta zorlanıyor.

Geleneksel Teknolojilerin ve Yaklaşımların Sınırlılıklarının Farkına Varmak

Güvenlik ekipleriniz, kuruluşunuza yönelik başarılı saldırıları önlemeye çalışırken, hiçbir ortamın tamamen güvenli olmadığı gerçeğine hazırlıklı olmanız gerekir. Eninde sonunda bir tehdit ortamınıza sızacaktır.

Güvenlik ekiplerinin tehditleri bulmasına yardımcı olmak için birçok günlük kaydı, tespit ve müdahale aracı geliştirilmiştir. Bu araçların her biri güçlü ve zayıf yönlere sahiptir ve bilinen dosya tabanlı kötü amaçlı yazılımlar veya altyapının sadece bir bölümünü hedefleyen saldırılar gibi belirli tehditlere karşı faydalı olabilir. Ancak bu araçların çoğu, tek bir amaca odaklanmıştır ve hiçbiri karmaşık tehditleri tek başına ele almaya uygun değildir.

ESG Research’e göre, kuruluşların %66’sı, tehdit tespiti ve müdahale etkinliklerinin birden fazla bağımsız nokta aracına dayandığı için sınırlı olduğunu belirtmektedir.

Bu bölümde, güvenlik ekipleri tarafından kullanılan yaygın günlük kaydı, tespit ve müdahale araçlarını daha yakından inceleyeceğim ve bu araçların zorlukları ve sınırlamaları hakkında sizi bilgilendireceğim.

Uç Nokta Tespit ve Müdahale (EDR)

Uç nokta tespit ve müdahale (EDR), uç nokta cihazlarındaki tehditleri tespit etmek ve incelemek için kullanılan bir araç kategorisidir. EDR araçları, tespit, analiz, araştırma ve müdahale yetenekleri sağlar.

EDR, ilk olarak 2013 yılında, kötü amaçlı yazılımları tersine mühendislik yapmak ve bir tehdit aktörünün güvenliği ihlal edilmiş bir cihazda tam olarak ne yaptığını anlamak için çok detaylı uç nokta telemetrisi gerektiren adli soruşturmalara yardımcı olmak amacıyla ortaya çıktı.

EDR araçları, şüpheli etkinlikleri tespit etmek için uç nokta aracılarının oluşturduğu olayları izler. EDR araçlarının oluşturduğu uyarılar, güvenlik operasyonları analistlerinin olayları tanımlamasına, incelemesine ve düzeltmesine yardımcı olur. Ayrıca, şüpheli etkinliklere ilişkin telemetri verilerini toplar ve bu verileri diğer bağlamsal bilgilerle zenginleştirir. Bu işlevler sayesinde EDR, olay müdahale ekiplerinin yanıt sürelerini kısaltmada etkilidir.

Ancak, EDR'nin yalnızca uç noktaya odaklanması, kurumsal tehdit tespitini tek başına sağlamasını engeller. EDR, yönlendiriciler, anahtarlar, sunucular, IoT cihazları, BYOD (Kendi Cihazını Getir) ve endüstriyel kontrol sistemi (ICS) gibi ağ ve ağ bağlantılı cihazlar için yeterli görünürlük sağlamaz. Ayrıca, iş yükleri, bulut ağları ve PaaS (Hizmet Olarak Platform) gibi bulut kaynaklarına da yeterince erişemez.

Uç Nokta Koruma Platformu (EPP)

Uç nokta koruma platformu (EPP), dosya tabanlı kötü amaçlı yazılımları önlemek ve kötü niyetli etkinlikleri tespit etmek için uç nokta cihazlarına yüklenen bir yazılım aracısıdır. EPP, geleneksel antivirüs ve kötü amaçlı yazılım koruma çözümlerinin evrimidir ve genellikle uç nokta cihazlarında ilk savunma hattı olarak kabul edilir.

EPP çözümlerinin algılama yetenekleri değişiklik gösterir, ancak çoğu, aşağıdaki algılama ve önleme tekniklerinin bir kombinasyonunu kullanır:

  • Statik uzlaşma göstergeleri (IOC'ler, yani imza tabanlı algılama)
  • Beyaz listeye alma veya kara listeye alma (uygulamalar, URL'ler, bağlantı noktaları ve adresler)
  • Davranış analizi ve makine öğrenimi
  • Şüpheli tehditleri korumalı bir ortamda test etme (sandboxing)

Bir EPP çözümü, faaliyet verilerinin sürekli izlenmesi ve toplanmasını sağlamak için bulut tarafından yönetilmelidir. Ayrıca, uç noktanın kurumsal ağda mı yoksa uzaktan mı kullanıldığına bakılmaksızın uzaktan iyileştirme eylemleri gerçekleştirebilmelidir. EPP çözümleri, bulut veri desteğine sahip olmalıdır. Yani, uç nokta aracısının tüm IOC'lerin yerel bir veritabanını tutması gerekmez; bunun yerine, sınıflandıramadığı nesnelerle ilgili en son kararları bulmak ve gerçek zamanlı tehdit istihbaratından yararlanmak için bir bulut kaynağını kontrol edebilir.

EPP, sadece önleme ve kontrol için tasarlanmıştır; bu nedenle, modern saldırılara karşı savunma amacıyla bilgi tespit etmeye veya toplamaya odaklanmaz. Çoğu EPP platformu, olayları araştırmak için gerekli müdahale yeteneklerinden de yoksundur. Sonuç olarak, EPP tek başına modern saldırıları durdurmak için gerekli özellikleri sağlamaz.

Güvenlik Bilgileri ve Olay Yönetimi (SIEM)

Güvenlik bilgileri ve olay yönetimi (SIEM) yazılım araçları, çeşitli ağ cihazları ve uygulamalar tarafından oluşturulan güvenlik uyarılarının neredeyse gerçek zamanlı olarak toplanmasını, ilişkilendirilmesini ve analiz edilmesini sağlar.

Birçok kuruluş, farklı güvenlik cihazlarından ve sunucu ortamlarından günlükleri toplamak için büyük bütçeler ayırır. SIEM araçları, başlangıçta uyumluluk raporlaması amacıyla günlük toplayıcılar olarak tasarlandı, ancak zamanla tehdit tespitine yönelik kullanımları genişledi. Günümüzde, birçok güvenlik operasyon merkezi (SOC) için merkezi uyarı deposu haline gelmişlerdir.

SIEM'ler, uyarıları merkezileştirir ve günlük verilerini toplar, ayrıştırır ve normalleştirir. Güvenlik ekipleri, bu verileri tek bir yerden görebilir; ancak bu veriler genellikle anlamlı bir şekilde organize edilmez ve analistler tarafından kullanılamaz. SIEM'ler, uç nokta ve ağ verileri gibi temel veri kaynakları için yeterli analiz derinliğinden yoksundur ve dağıtımı, yapılandırılması ve bakımı zor olabilir.



Ağ Tespiti ve Müdahale ile Kullanıcı ve Varlık Davranışı Analitiği

Ağ tespiti ve müdahale (NDR) ile kullanıcı ve varlık davranışı analitiği (UEBA) araçları, SIEM'in bilinmeyen saldırıları tespit etme yeteneğini genişletir ve SIEM'in genişliğini artırır.

NDR, ağ ortamlarındaki anormal etkinlikleri tespit etmek için ağ iletişimini izler. UEBA ise saldırganların giriş yapabileceği tüm yollara odaklanmak yerine, kullanıcı hesaplarına yönelik tehditlere bakarak şüpheli etkinlikleri tespit eder. Her iki çözüm de tehdit algılama yeteneklerini artırmak için SIEM ve EDR araçlarına takviye olarak hizmet edebilir.

Bu araçlar, tehdit aktörlerinin SIEM, EDR veya EPP araçlarının normalde yakalayamayacağı gizli faaliyetlerini açığa çıkarmak için ağ veya kullanıcı davranışlarından şüpheli anomalileri izler.

NDR, genellikle tehdit aktörlerinin güvenliği ihlal edilen cihazlardan dış ortama veri gönderip göndermediğini görmek için iç trafik ve dışa akan ağ trafiği arasındaki farkları izleyerek çevresel savunmalarınızı güçlendirmek için kullanılır. UEBA ise kullanıcı hesapları gibi hedeflere yönelik, daha geniş bir saldırı yüzeyi analizi sağlamak için kullanılır.

Alarm Yorgunluğunun ve Güvenlik Becerileri Eksikliğinin Ortaya Çıkardığı Zorluklar

Güvenlik operasyonları ekipleri, yüksek alarm hacimleriyle boğuşuyor. Genellikle daha küçük SOC ekipleri, tüm uyarıları verimli bir şekilde yönetemediği ve gerçek tehditleri ortaya çıkaramadığı için alarm yorgunluğu yaşamaktadır. Örneğin, Microsoft, tüm uç nokta kullanıcılarının %27'sinin EDR tarafından oluşturulan uyarılara doğru şekilde yanıt veremediğini tahmin etmektedir.

Güvenlik ekiplerinin karşılaştığı zorluklardan biri, analiz yapılacak büyük veri hacmi ve bu verilerden anlamlı sonuçlar çıkarabilme yeteneğinin eksikliğidir. Ayrıca, birçok kuruluşta güvenlik uzmanlarının yeterli olmaması, tehdit tespiti ve müdahale süreçlerinde eksikliklere neden olabilir.


       -Çok Fazla Uyarı, Çok Az Zaman ve Personel-

Sonuç ve Öneriler

Bu bölümde ele alınan sınırlamalar göz önüne alındığında, güvenlik stratejinizin başarısını sağlamak için tespit, önleme ve müdahale sürecini sürekli olarak iyileştirmeniz gerektiği açıktır. Alarm yorgunluğunu azaltacak ve tehditlere karşı daha etkili bir savunma sağlayacak gelişmiş tehdit tespit ve müdahale teknolojilerine yatırım yapmayı düşünebilirsiniz. Ayrıca, güvenlik operasyonlarınızı desteklemek ve ekiplerinizin becerilerini geliştirmek için sürekli eğitim ve farkındalık programları düzenlemek de önemlidir.


SOC Takımı Ne Yapar?

Güvenlik operasyonları ekipleri, hem büyük hem de küçük ölçekte bazı temel işlevleri yerine getirir. Çoğu SecOps ekibi ve SOC (Security Operations Center - Güvenlik Operasyon Merkezi) için geleneksel bir model, bu işlevleri deneyim düzeyine göre katmanlı bir analist yapısına böler. İşte bu katmanların birincil sorumlulukları:

  • Kademe 1 — Triyaj: Bu kademe, güvenlik analistlerinin çoğunlukla zamanlarını harcadığı yerdir. Kademe 1 analistleri genellikle en az deneyimli olanlardır ve temel görevleri, şüpheli etkinlikler için olay günlüklerini izlemektir. Eğer bir durum daha fazla araştırma gerektiriyorsa, mümkün olduğunca çok kaynaktan kullanıcı, ana bilgisayar, IP adresi ve ilgili tüm IOC'leri (Indicator of Compromise - Uzlaşma Göstergeleri) içeren bir olay raporu hazırlarlar ve durumu Kademe 2’ye iletirler.

  • Kademe 2 — Soruşturma: Kademe 2 analistleri, şüpheli etkinliği derinlemesine inceler. Bu aşamada, tehdidin doğasını ve çevreye ne kadar sızdığını belirlerler; ayrıca olayları ilişkilendirmek için bir zaman çizelgesi oluşturur ve saldırının ne kadar ileri gittiğini anlamak için ek araştırmalar yaparlar. Bu analistler, sorunu çözmek için bir yanıt süreci koordine ederler. Bu görev, genellikle daha fazla deneyim gerektiren, daha yüksek etkili bir faaliyettir.

  • Kademe 3+ — Tehdit Avcılığı: Kademe 3 ve üzeri analistler, karmaşık olay yanıtını destekler ve zamanlarının geri kalanını, tespit yazılımı tarafından şüpheli olarak tanımlanmamış tehditleri aramak için adli ve telemetri verileri üzerinde çalışarak geçirirler. Çoğu şirket, tehdit avlama faaliyetlerine az zaman ayırır çünkü Kademe 1 ve Kademe 2’nin faaliyetleri, analist kaynaklarının büyük bir kısmını tüketir.

Bu model yaygın olarak kullanılsa da, ideal olmayabilir. Çoğu insan, tüm gün boyunca olay günlüklerini izlemek için uygun değildir. Uyarı yorgunluğu gerçek bir sorundur ve bir SOC'deki sayısız sensör tarafından üretilen gürültüden tehditleri ayırt etmek zordur. Analistleri bu görevi yerine getirmek için tutmak zor olabilir; çünkü çoğu, araştırmalara anlamlı katkılarda bulunmayı tercih eder ve eski araştırma süreçleri için gerekli teknik becerilere sahip olmayabilirler. Kaynak saatlerinin çoğu tehditlerin tespiti ve azaltılmasına harcandığından, tehdit avlama ve süreç iyileştirme için çok az zaman kalır.

Ayrıca, uyarı triyajından sorumlu güvenlik analistleri, genellikle bir saldırının kuruluşa sunduğu gerçek riski belirlemek için yetersiz bağlamla karşı karşıya kalırlar. Bu nedenle, uyarı daha fazla doğrulama için üst düzey bir gruba iletilir, bu da daha fazla zaman, emek ve kaynak gerektirir ve her düzeyde verimsizlik yaratır.

Çoğu kuruluş, çok sayıda izleme çözümünden binlerce uyarı alır; ancak, fazla gürültü ters etki yapabilir. Gelişmiş algılama, daha fazla uyarı almakla değil, daha iyi ve daha uygulanabilir uyarılar elde etmekle ilgilidir. Bu tür bir gelişmiş algılamaya ulaşmak için, kullanılan tüm algılama teknolojilerinin entegrasyonu ve saldırgan etkinliklerini bulmak ve doğrulamak amacıyla uç nokta, ağ ve bulut verilerini analiz eden karmaşık analiz yöntemleri gereklidir.

Tehdit tespiti için daha iyi ve kapsamlı araçlara sahip olunsa bile, uyarılarla ve olası olaylarla başa çıkmak, yetenekli uzmanlardan daha fazla doğrulama ve önceliklendirme gerektirir. Ne yazık ki, bu güvenlik uzmanlarından yeterince bulunmamakta ve bu önemli beceri açığı, kuruluşların saldırganlara karşı etkili bir şekilde mücadele etme yeteneğini olumsuz etkileyebilmektedir.(Bkz Şekil1-2)



Tehdit aktörleri, güvenlik açıklarını bulmak ve sistemlere ilk erişimi sağlamak için son derece otomatikleştirilmiş araçlar ve teknikler kullanırlar. Saldırganların bu otomatik araçları hızlı ve uygun maliyetle ölçeklendirebilmesi, beceri boşluğunu daha da derinleştirir, çünkü kuruluşlar bu hızla orantılı şekilde kalifiye güvenlik personeli ekleyemezler. Bu nedenle, aşağıdaki alanlarda araçlara yatırım yapmak büyük önem taşır:

  • Daha az deneyimli personelinizi daha etkin ve verimli hale getirmek
  • Karmaşık tehditlerin algılanmasını otomatikleştirmek
  • Araştırma süreçlerini basitleştirmek
  • Analistlerin becerilerini geliştirmelerine yardımcı olmak

Uluslararası Bilgi Sistemleri Güvenlik Sertifikasyon Konsorsiyumu (ISC)²'nin 2020 Siber Güvenlik İş Gücü Çalışması'na göre, dünya genelinde 3.12 milyon kalifiye siber güvenlik uzmanı açığı bulunmaktadır. Cyberseek'e göre, yalnızca Amerika Birleşik Devletleri'nde 300.000'den fazla siber güvenlik iş ilanı vardır ve bu sayının önümüzdeki yıllarda önemli ölçüde artması beklenmektedir.

Birçok şirket, algılama ve yanıt işlevlerini tamamen veya kısmen yönetilen güvenlik hizmeti sağlayıcılarına (MSSP'ler) ya da yönetilen algılama ve yanıt (MDR) satıcılarına dış kaynak olarak sağlama yoluna gitmektedir. Bu dış kaynak kullanımı, özellikle daha küçük güvenlik bütçelerine sahip ekipler ya da kendi güvenlik operasyonlarını yönetme arzusu veya kaynakları olmayan kuruluşlar için yaygın bir çözümdür ve çoğu durumda en iyi uygulama olarak kabul edilir. Ancak, kapsamlı bir görünürlük ve kontrol isteyen kuruluşlar, sadece araçların yetersizliği nedeniyle güvenliklerini dış kaynaklardan temin etmek zorunda kalmamalıdır. Ayrıca, teknoloji altyapısının da dış kaynaklı bir güvenlik ekibi için aynı derecede önemli olduğunu belirtmek gerekir; eski araçları kullanan satıcılar, kurum içi güvenlik ekiplerinin karşılaştığı verimsizliklerle aynı sorunları yaşayacaktır.

Gerçekten ihtiyaç duyulan, toplam uyarı sayısını azaltırken daha az deneyimli analistlerin tehditleri kendi başlarına verimli ve güvenli bir şekilde değerlendirmelerini sağlayarak, yalnızca yüksek kaliteli uyarıların daha kıdemli analistlere iletilmesine olanak tanıyan bir teknoloji setidir.


XDR

XDR'yi Tanımlama

Extended Detection and Response (XDR), tehdit algılama ve yanıtlamaya yönelik yeni bir yaklaşımdır. XDR terimi, 2018 yılında Palo Alto Networks'ün kurucu ortağı ve baş teknoloji sorumlusu (CTO) Nir Zuk tarafından ortaya atılmıştır. XDR'nin geliştirilmesindeki temel amaç, saldırıları daha verimli bir şekilde durdurmak, önlenemeyen saldırgan tekniklerini ve taktiklerini tespit etmek ve Güvenlik Operasyonları Merkezi (SOC) ekiplerinin tehditlere daha iyi yanıt vermesine yardımcı olmaktır.

XDR'deki "X" genişletilmiş anlamına gelir, ancak bu, aslında herhangi bir veri kaynağını temsil eder. Çünkü bir ortamın bileşenlerine ayrı ayrı bakmak verimli veya etkili değildir. XDR, tehdit algılama ve müdahaleye proaktif bir yaklaşım getirerek, günümüzün giderek karmaşıklaşan tehditlerini ele almak için analitik ve otomasyon uygularken, tüm veriler üzerinde görünürlük sağlar.

Bu bölümde, XDR'nin ne olduğunu ve bir XDR çözümünün temel gereksinimlerini öğrenebilirsiniz.

Güçlü Tehdit Önlemenin Sağlanması

XDR'nin temeli, sağlam tehdit önlemeye dayanır. Bir XDR çözümü, manuel doğrulama gerektirmeksizin gerçek veya neredeyse gerçek zamanlı olarak otomatik bir şekilde engellenebilecek tehditlerin %99'undan fazlasını doğru bir şekilde durdurmalıdır. Sınıfının en iyisi tehdit önleme ile ekibiniz, savunmayı aşan her olası tehdidi araştırmak yerine, daha karmaşık ve gizli saldırıları belirlemeye ve durdurmaya odaklanabilir.

Bir XDR çözümünde aşağıdaki NGAV (Yeni Nesil Antivirüs) özelliklerini aramalısınız:

  • Makine öğrenimi tabanlı yerel analiz ve tehdit önleme
  • Çalışan süreçlerin dinamik analizi için davranış tabanlı tehdit önleme
  • İstismar tekniği ile istismar önleme
  • Dosya karmaları gibi tehdit istihbaratına dayalı bilinen tehdit önleme
  • Analiz raporları ve minimum MB dosya boyutu desteği ile bulut tabanlı kötü amaçlı yazılım önleme hizmetiyle otomatik entegrasyon
  • Hızla koruma sağlamak ve tehdit istihbaratını paylaşmak için sıfır gecikmeli imzalar
  • Ters kabuk koruma özelliği
  • Şeffaf tehdit algılama motoru güncellemeleri
  • Güvenlik profilleri ve istisnalar
  • Uç noktaların ad hoc ve zamanlanmış taraması
  • Kötü amaçlı yazılımlara, fidye yazılımlarına ve dosyasız saldırılara karşı koruma
  • Uç nokta koruması, algılama ve yanıt için tek hafif aracı

XDR çözümünüz ayrıca saldırı yüzeyinizi azaltmalı ve aşağıdakiler dahil olmak üzere uç nokta koruma özellikleriyle hassas verileri korumalıdır:

  • Ana güvenlik duvarı
  • Disk şifreleme
  • USB cihaz kontrolü
  • Özelleştirilebilir önleme kuralları

Son olarak, XDR çözümünüz, güvenli uzaktan erişim, tehdit önleme ve URL filtreleme sağlamak için uç noktalar için bir ağ güvenlik istemcisi ile uyumlu olmalıdır.

Eksiksiz Görünürlük ve Tespit Sağlama

Görünürlük ve algılama, tehdit azaltma için kritik öneme sahiptir. Bir tehdidi göremezseniz, onu tanımlayamaz, araştırma yapamaz ve kesinlikle durduramazsınız. Tehdit aktörleri, kalıcılıklarını sağlamak ve değerli verileri sızdırmak için bulut ve makine öğreniminden yararlanarak devasa, çok yönlü saldırılar gerçekleştirir. Bu, XDR'nin aşağıdakiler gibi sağlam görünürlük ve algılama özelliklerine sahip olması gerektiği anlamına gelir:

  • Geniş görünürlük ve bağlamsal anlayış: Silo haline getirilmiş veri kaynakları, silo haline getirilmiş verilere yol açar ki bu da etkili değildir. Kendi ortamınızda en az tehdit aktörleri kadar çevik değilseniz, saldırılara karşı etkili bir şekilde savunma yapmayı umamazsınız. XDR, uç noktalarınızdan, ağlarınızdan ve bulut ortamlarınızdan telemetriyi entegre ederek ortamınızın tamamında görünürlük ve algılama özelliklerine sahip olmalıdır. Ayrıca, çeşitli olayların nasıl bağlantılı olduğunu ve belirli bir davranışın bağlama göre ne zaman şüpheli olduğunu anlamak için bu veri kaynaklarını ilişkilendirebilmelidir.

Veri Saklama:

Saldırganlar sabırlı ve ısrarcıdır. Yavaş hareket ettiklerinde tespit edilmelerinin daha zor olduğunu bilirler ve karşı karşıya oldukları tespit teknolojilerinin günlük tutma sürelerini beklerler. XDR, bu durumu saldırganlar için kolaylaştırmamalıdır. Algılama sistemlerinizin, ağdan, uç noktadan ve buluttan gelen verileri tek bir havuzda toplaması, ilişkilendirmesi ve analiz etmesi gerekir. Bu sistemin, 30 gün veya daha fazla bir geçmiş saklama süresi sunması önemlidir.

Hem Dahili Hem de Harici Trafiğin Analizi:

Geleneksel tespit teknikleri, öncelikle harici saldırganlara odaklanır ve bu durum, potansiyel tehdit aktörlerinin eksik bir görünümünü sağlar. Tespit, sadece çevrenin ötesinden gelen saldırıları aramakla sınırlı kalmamalıdır. Ayrıca, anormal ve potansiyel olarak kötü niyetli davranışları aramak ve kimlik bilgilerinin kötüye kullanımını belirlemek için dahili tehditlerin profilini çıkarma ve analiz etme yeteneğine sahip olmalıdır.

Entegre Tehdit İstihbaratı:

Bilinmeyen saldırılarla başa çıkabilmek için donanımlı olmalısınız. Ölçekleri dengelemenin bir yolu, diğer kuruluşların ilk kez karşılaştığı bilinen saldırılardan yararlanmaktır. Algılama, küresel bir işletme ağı genelinde toplanan tehdit istihbaratına dayanmalıdır. Genişletilmiş ağ içerisindeki bir kuruluş bir saldırı tespit ettiğinde, bu bilgileri kullanarak kendi ortamınızdaki sonraki saldırıları belirleyebilirsiniz.

Özelleştirilebilir Algılama:

Kuruluşunuzu korumak, belirli sistemler, farklı kullanıcı grupları ve çeşitli tehdit aktörleriyle ilişkili benzersiz zorluklar sunar. Algılama sistemleri, ortamınızın özel ihtiyaçlarına göre son derece özelleştirilebilir olmalıdır. Bu zorluklar, hem özel hem de önceden tanımlanmış algılamaları destekleyen bir XDR çözümü gerektirir.

Makine Öğrenimi Tabanlı Algılama:

Yetkili sistem dosyalarını tehlikeye atan, komut dosyası oluşturma ortamlarını kullanan ve kayıt defterine saldıranlar gibi geleneksel kötü amaçlı yazılımlara benzemeyen saldırılar karşısında, algılama teknolojisinin toplanan tüm telemetriyi analiz etmek için gelişmiş analitik teknikler kullanması gerekir. Bu yaklaşımlar, denetimli ve yarı denetimli makine öğrenimini içermelidir.

Bir XDR Çözümünde Aranması Gereken Temel Görünürlük ve Algılama Gereksinimleri:

  • Ağ trafiğini, uç nokta olaylarını ve zaman içindeki kullanıcı olaylarını analiz ederek davranışları profillemek ve bir saldırının göstergesi olan anormallikleri tespit etmek için davranış analizi.
  • Denetimli ve denetimsiz makine öğrenimi yetenekleri.
  • Önceden tanımlanmış ve özelleştirilebilir davranış tabanlı algılama kuralları.
  • Saldırıları geriye dönük olarak tespit edebilen özel kurallar.
  • Uç nokta, ağ, bulut veya üçüncü taraf uyarılarının isteğe bağlı ayarlanması için ayrıntılı uyarı istisnaları.
  • Bulut tabanlı kötü amaçlı yazılım analiz hizmetinden güvenlik duvarlarına, uç nokta aracılarına ve algılama ve yanıt hizmetlerine kadar kitlesel tehdit istihbaratını dağıtmak için paylaşılan tehdit istihbaratı.
  • JavaScript Object Notation (JSON) ve virgülle ayrılmış değerler (CSV) formatlarında üçüncü taraf kaynaklardan gelen tehdit istihbaratı akışlarını kullanma yeteneği.
  • Keşif, yanal hareket, komuta ve kontrol ve sızma dahil olmak üzere saldırı yaşam döngüsü boyunca saldırı tekniklerinin tespiti.
  • MITRE Adversarial Tactics, Techniques ve Common Knowledge (ATT&CK) değerlendirmeleri aracılığıyla saldırgan taktiklerini ve tekniklerini tespit etme yeteneği.
  • Uyarılarda ve tespit kurallarında MITRE ATT&CK taktik ve tekniklerinin etiketlenmesi.
  • Hileli cihaz keşfi ile varlık yönetimi.
  • Güvenlik açığı değerlendirmesi.
  • Ayrıntılı kullanıcı, sistem ve uygulama bilgileriyle envanter barındırma.

Soruşturma ve Müdahalenin Hızlandırılması

Ortamınızdaki olası tehditlere karşı uyarıldığınızda, bu tehditleri hızlı bir şekilde önceliklendirebilmeniz ve araştırabilmeniz gerekir. Özellikle ortamınızın birden çok bölümüne dokunan bir saldırı sırasında etkin bir şekilde hareket etmek, geleneksel algılama ve yanıt sistemlerinin yetersiz kaldığı bir alandır. XDR çözümleri, aşağıdaki araştırma ve yanıt yetenekleriyle bu süreci önemli ölçüde iyileştirebilir:

  • İlgili uyarıların ve telemetri verilerinin korelasyonu ve gruplandırılması: Kuruluşunuza yönelik saldırılar söz konusu olduğunda, zaman büyük önem taşır. Bir tehdit uyarısı aldığınızda, saldırganlar ortamınızdaki hedeflerine ulaşmak için hızla hareket eder. Saldırıyı ve tam nedensellik zincirini hızla anlamak için XDR aracınızın öncelikle ilgili uyarıları otomatik olarak gruplayarak ve en acil olarak ilgilenilmesi gereken olaylara etkin bir şekilde öncelik vererek gürültüyü azaltması gerekir. Ayrıca, XDR aracınız ağınızdan, uç noktalarınızdan ve bulut ortamlarınızdan gelen etkinlik günlüklerini bir araya getirerek saldırının bir zaman çizelgesini oluşturabilmelidir. Aktivitenin görselleştirilmesi ve olayların sıralanmasıyla, tehdidin temel nedeni belirlenebilir ve potansiyel hasar ile kapsam değerlendirilebilir.

XDR, herhangi bir kaynaktan veri toplar, daha iyi tespit ve arama için bunları ilişkilendirir ve birleştirir.



Soruşturma ve Müdahalenin Hızlandırılması

Ortamınızdaki potansiyel tehditlere karşı uyarıldığınızda, bu tehditleri hızlı bir şekilde önceliklendirme ve araştırma yeteneğiniz olmalıdır. Özellikle, ortamınızın birden fazla bölümüne dokunan bir saldırı söz konusu olduğunda, geleneksel algılama ve yanıt sistemlerinin yetersiz kaldığı noktalar vardır. XDR çözümleri, aşağıdaki araştırma ve yanıt yetenekleriyle bu süreci önemli ölçüde iyileştirebilir:

  • İlgili Uyarıların ve Telemetri Verilerinin Korelasyonu ve Gruplandırılması: Saldırılar söz konusu olduğunda, zaman kritik öneme sahiptir. Bir tehdit uyarısı aldığınızda, saldırganlar zaten hedeflerine ulaşmak için hızla hareket ederler. XDR aracınız, ilgili uyarıları otomatik olarak gruplayarak ve en acil olaylara öncelik vererek gürültüyü azaltmalıdır. Ayrıca, ağ, uç nokta ve bulut ortamlarından gelen etkinlik günlüklerini bir araya getirerek saldırının zaman çizelgesini oluşturabilmelidir.

  • Birleştirilmiş Kullanıcı Arabirimleri: Güvenlik analistlerinin, uyarıları araştırırken herhangi bir kaynaktan gelen bilgilerin temel nedenini tek bir tıklamayla anlamalarını sağlayan modern bir çalışma ortamına ihtiyacı vardır. Birden fazla araç arasında geçiş yaparak zaman kaybetmemelidirler.

  • Manuel ve Otomatik Tehdit Avı: Proaktif olarak aktif düşmanları avlamak, analistlerin saldırı hipotezleri geliştirmelerine ve çevredeki ilgili faaliyetleri aramalarına olanak tanır. Güçlü arama yetenekleri ve entegre tehdit istihbaratı ile tehdit avcılığı desteklenmelidir.

  • Koordineli Müdahale: Tehdit tespit edildikten ve araştırıldıktan sonra, verimli ve etkili bir yanıt süreci gereklidir. XDR sisteminiz, ağ, uç nokta ve bulut ortamlarınız genelinde etkin tehditlere karşı yanıtı koordine edebilmelidir. Ayrıca, önleme teknolojileri arasında iletişim sağlamalı ve analistlerin doğrudan XDR arabirimi aracılığıyla yanıt eylemleri gerçekleştirebilmesini sağlamalıdır.

Araştırma ve Yanıt Yetenekleri

Bir XDR çözümünde aşağıdaki araştırma ve yanıt yeteneklerini arayın:

  • Otomatik Kök Neden Analizi: Uç nokta verileri mevcutsa, ağ uyarıları da dahil olmak üzere herhangi bir uyarının otomatik kök neden analizi.
  • Zaman Çizelgesi Analizi Görünümü: Bir uyarıya yol açan yürütme zincirlerinin görselleştirilmesi ve zaman çizelgesindeki tüm eylemleri ve uyarıları görme.
  • Gelişmiş Sorgulama Desteği: Joker karakterler, normal ifadeler, JSON ve veri toplama ile veri görselleştirme desteği.
  • Otomatik Bilgi Toplama: Tehdit istihbaratı, olaylar ve ilgili IP bilgileri gibi bilgilerin tek bir görünümde otomatik olarak toplanması.
  • Koordineli Yanıt Yeteneği: Güvenlik duvarı uyarılarının otomatik olarak uç nokta verilerine eklenmesi ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) ile güvenlik bilgileri ve olay yönetimi (SIEM) çözümleriyle entegrasyon.
  • Olay Puanlaması ve Yönetimi: Yüksek riskli olayların sıralanması ve önceliklendirilmesi için olay puanlaması, kötü amaçlı dosyaların karantinaya alınması ve çalışma dizinlerinden kaldırılması.

Güvenlik Etkinliğini Artırma

XDR, olayları ele almanın genel maliyetlerini önemli ölçüde azaltır ve tehdit kapsamını iyileştirerek mali zararı en aza indirir. Bu, personel eksikliğini önlemeye yardımcı olmak, güvenlik ekibinizin verimliliğini artırmak ve mevcut araçlarınızın entegrasyonunu geliştirmek anlamına gelir. XDR'nin aşağıdaki yeteneklere sahip olması gerekir:

  • Veri Alımı ve Entegrasyonu: Farklı güvenlik araçlarından veri alma esnekliği ile kapsamlı güvenlik sağlar.
  • Ölçeklenebilir Depolama ve Bilgi İşlem: Tehditlerin uzun süreli etkinliklerini izlemek için ölçeklenebilir depolama ve analitik güç.
  • Zamanla İyileştirme: Otomasyon, AI ve makine öğrenimi ile sürekli olarak tespit ve önleme etkinliğini güçlendirme.
  • Basitleştirilmiş Dağıtım: Tüm uç noktalar ve dijital varlıklar için hızlı yükleme ve dağıtım yeteneği.
  • Raporlama ve Gösterge Tabloları: Güvenlik duruşunu ve operasyonel ölçümleri anlayabilme ve iletebilme yeteneği.



Güvenlik Etkinliğini Artırma

XDR, olayları ele almanın genel maliyetlerini önemli ölçüde azaltır ve tehdit kapsamını iyileştirerek mali zararı en aza indirir. Bu, personel eksikliğini önlemeye veya üstesinden gelmeye yardımcı olmak için güvenlik ekibinizin verimliliğini artırmak, mevcut araçlarınızın entegrasyonunu iyileştirmek ve ölçeklenebilir altyapı ile yapay zeka (AI) kullanarak zaman içinde önleme etkinliğinizi güçlendirmek anlamına gelir. Bu kriterleri karşılamak için XDR'nin aşağıdaki yeteneklere sahip olması gerekir:

  • Herhangi Bir Kaynaktan Veri Alımı: Günümüzde her kuruluş, çeşitli silolar halinde güvenlik araçlarına sahiptir. XDR çözümleri, bu araçlardan gelen verilere yüksek görünürlük sağlayarak güvenliği kapsamlı hale getirir. En iyi XDR çözümleri, değer ve etkinliği maksimize etmek için ortamınızdaki diğer araçlardan veri alabilme esnekliğine sahip olmalıdır.

  • Ölçeklenebilir Depolama ve Bilgi İşlem: Tehdit aktörlerinin uzun süreli, "düşük ve yavaş" saldırılarında önemli adli kanıtları kaybetmek istemezsiniz. Tüm bu verileri etkin bir şekilde kullanabilmek için yüksek analitik beygir gücüne ihtiyaç vardır. Bulut tabanlı XDR platformları, neredeyse sınırsız erişilebilirlik ve ölçek sağlar.

  • Zamanla İyileştirme: Karmaşık saldırıları tespit etmek ve manuel çabaları azaltmak için otomasyon, düzenleme, AI ve makine öğrenimi gereklidir. XDR çözümleri, deneyimlerden öğrenmeli, gelecekteki riski azaltmalı ve tespit, araştırma ve müdahale yoluyla kazanılan bilgileri uygulayarak önlemeyi sürekli olarak güçlendirmelidir.

  • Basitleştirilmiş Dağıtım: Güvenlik ekiplerinin, Windows, macOS, Linux, Chrome OS ve Android sistemleri gibi tüm uç noktalara XDR araçlarını hızla yükleyebilmesi gerekir. XDR araçlarının, mobil cihazlar ve çeşitli bulut ortamları dahil olmak üzere tüm dijital varlıkları koruması ve bulut iş yükleriyle güvenliği ölçeklendirmesi için Kubernetes dağıtımını desteklemesi gereklidir.

  • Raporlama ve Gösterge Tabloları: Güvenlik ekiplerinin kuruluşun güvenlik duruşunu ve operasyonel ölçümleri anlayabilmesi ve iletebilmesi önemlidir. XDR çözümleri, sezgisel ve özelleştirilebilir raporlar ve panolar aracılığıyla daha iyi güvenlik sonuçları sağlama ve güvenlik durumunu özetleme yeteneğine sahip olmalıdır.