Uç Nokta Algılama ve Yanıtlama sistemlerinin globalde ve yerel pazarda herkes tarafından daha çok kullanılan adı “Endpoint Detection and Response”dır. İngilizce kısaltması EDR olan bu teknoloji; uç nokta adı verilen bilgisayar donanım aygıtlarını (bilgisayar, sunucu vb.) potansiyel tehditlerden korumak için kullanılan bir araç ve teknolojidir. EDR platformları genellikle sürekli izleme yaparak, olası zararlı uç nokta etkinliklerini ve aktivitelerini algılamaya ve bunları engellemeye odaklanan, üzerlerinde yapay zeka ve makina öğrenmesi algoritmaları çalışan araçlar olarak tanımlayabiliriz. Sunucu veya istemcilere kurulan ajanlar vasıtasıyla verileri toplayarak bunları analiz eder ve potansiyel tehditleri tespit etmek ve bunlara yanıt vermek için bu verileri kullanır.
Bir uç nokta cihazı ağ olayları, yapılandırma değişiklikleri veya dosya erişim verileri gibi kritik bilgiler içerebilir.
EDR sürekli izleme yapabilmek için kullanılan son kullanıcı cihazına veya veri merkezindeki sunuculara bir ajan yüklenir. Bu cihazlarda oluşan her aktivite merkezi bir veritabanına kaydedilir. EDR araçları daha sonra geçmiş bir olayı araştırmak ve tanımlamak için verileri analiz edebilir veya verileri benzer tehditleri diğer cihazlarda aramak için kullanabilir. Yaptığı analiz sonucu herhangi bir tehdit bulunursa bununla ilgili kullanıcıyı uyarabilir ve engelleyebilir. Bütün EDR’ların bir yönetim konsolu bulunur ve burada belirlenen güvenlik protokolleri ve kuralları bütün cihazlara ajanlar vasıtasıyla uygulanır.
EDR’ların En Belirgin Özellikleri
Kapsamlı Birleşik Veri
EDR çözümleri veri toplamaya bütünsel bir yaklaşımla, çevrimiçi ve çevrimdışı uç nokta cihazlarını izler, yapılan aktiviteler hakkında veri toplar ve depolar. Bu verileri daha sonra diğer güvenlik cihazlarının verileri ile eşleştirebilir.
Geniş görünürlük
En gelişmiş siber tehditler genellikle otomatik savunmaları önlemek için tasarlanmıştır. Bu yüzden bu gibi durumlarda insan müdahalesi şarttır. Var olan bir tehdidi kalıcı olarak önlemek için yönetilen tüm ortamlarda görünürlük gereklidir. Bir EDR çözümü tarafından toplanan veriler, yanıt verenlerin bir ortam içinde güçlü bir yer edinmeye çalışırken saldırganların geride bıraktıkları modelleri, davranışları, IOC’leri (Indicators of Compromise) ve diğer derin gömülü ipuçlarını hızlıca görmelerine yardımcı olan ayrıntılı bir görünürlük sağlar. Yanıtlayıcılar daha sonra dosya veya kayıt defteri değişikliklerinden, çapraz süreç olaylarından, dosya yürütmelerinden ve daha büyük bir olaya veya ihlale yol açabilecek ağ bağlantılarından kaynaklanan anormallikleri ve açıkları tespit edebilir.
Gerçek Zamanlı Yanıt
EDR’lar mevcuttaki bir tehdide yanıt verebilmek için doğru konfigüre edilmeliler. EDR’ların olayları gerçek zamanlı olarak izleyebilmeleri ve uygun olduğunda devam eden saldırıyı kesmeleri gerekir. Otomatik tehdit avı algoritmaları şüpheli ve yetkisiz faaliyetleri doğru bir şekilde tespit ederek ve saldırının temel nedenini göstererek saldırıyı görselleştirmelerine yardımcı olur. Bununla beraber hasarı hızlı bir şekilde düzeltirken aktif saldırıları geciktirebilir veya durdurabilir. Yanal hareketi önlemek için virüs bulaşmış sistemleri izole edebilir ve saldırganların bıraktığı kötü amaçlı dosyaları kaldırabilir.
Diğer Güvenlik Araçları ile Entegrasyon
Kurum içinde kullanılan SIEM, SOAR, Firewall vb. diğer güvenlik odaklı cihazlarla kolayca entegre edilebilir ve log paylaşımı yapılabilir. Bu sayede bir ürünün kaçırdığı herhangi bir saldırıyı diğeri tespit edebilecektir. Böylece kurum içinde 365 derecelik bir güvenlik ortamı sağlanmış olur. SOAR entegrasyonları ile de herhangi bir şüpheli olay sonucu oluşabilecek tehditlerin önüne geçilmiş olunur.
Kara Liste Beyaz Liste Kullanımı
Daha önceden belirlenmiş tehditler tanımlanarak sistemin analiz işlemi kolaylaştırılabilir. Aynı şekilde engellenmesi istenmeyen herhangi bir aktivite içinde izin verilebilir. Bu özelliğiyle false positive durumlar önlenir ve gereksiz alarm üretilmesinin önüne geçilir.
Endpoint Detection and Response Pazar Araştırması
Günden güne gelişen siber tehditler karşısında, günümüz teknolojik altyapılarında güvenliği sağlamak için kullanılan ürünler belli bir noktadan sonra yetmemeye başlıyor. Son yapılan araştırmalara göre saldırganlar amaçlarına ulaşmak için artık son kullanıcıları daha fazla hedef almaya başladı. Hatta şirket içindeki kişilerle anlaşmaya kadar giden iş birlikleri yapılır oldu. Bu sebeple son kullanıcı güvenliği büyük önem kazanmış vaziyette. Bu alandaki güvenliği sağlamak için antivirus üreticileri kendi ürünlerini günümüz tehditlerine karşı daha da geliştirip akıllı hale getirerek EDR pazarını oluşturdular.
Aşağıdaki Mayıs 2021 tarihli Gartner Magic Quadrant raporuna baktığımızda pazarda şu anda lider konumda olan Microsoft ve CrowdStrike’ı görüyoruz. Microsoft’un son zamanlarda güvenlik alanında yaptığı yatırımlar meyvesini vermişe benziyor.
Tabloda görülen ve sektörde çokça kullanılan bazı ürünleri inceleyelim.
CrowdStrike
CrowdStrike’ın bulut ve yerel mimarisi; IT hijyeni, güvenlik açığı değerlendirmesi ve tehdit istihbaratı gibi ek güvenlik hizmetleri sağlayan genişletilebilir bir platform sağlar. Uygulama mağazası “CrowdStrike Mağazası” müşterilerin aynı müşteri ve bulut yönetim konsolundan yararlanan ortaklar aracılığıyla kullanıcı ve varlık davranışı analitiği (UEBA) ve dosya bütünlüğü izleme gibi ek güvenlik işlevleri edinmelerini sağlar.
CrowdStrike, 2018’de Dell ve Secureworks ile stratejik bir pazara girme ittifakını ilan etti ve şirket genel olarak uygulanabilirliğini artırarak çok başarılı bir halka arz sürecini yönettiler. Bir dizi yönetilen hizmete sahip modern ve bulutsal bir EDR odaklı son kullanıcı güvenliği çözümü arayan kuruluşlar CrowdStrike’i kullanmaktadır.
Microsoft
Microsoft işletim sistemi ile tümleşik yerleşik uç nokta koruma yetenekleri sağlayabilen piyasadaki tek satıcı olduğu için son kullanıcı koruma alanında gerçekten benzersizdir.
Windows kurulumlarına otomatik olarak gelen “Windows Defender Antivirus”e alınacak ek lisans ile Microsoft’un EDR sistemi olan “Windows Defender For Endpoint”e geçiş artık çok daha kolay. Bu ürün çeşitli yerlerden topladığı tehdit veritabanı ile bulut destekli saldırı korumasını çok iyi bir şekilde sunar.
Ek olarak yol haritasındaki mükemmel ilerleyiş ile özellikle karmaşıklığı azaltmak isteyen kuruluşlar için rekabetçi çözümlerde güvenilir bir alternatif haline getiriyor.
Trend Micro
Trend Micro yakın zamanda uç nokta koruma ürünleri grubunu revize etti ve piyasada daha etkin bir hale geldi. Trend Micro aynı zamanda bulut yönetimi yeteneğini genişleterek SaaS ve şirket içi özellik paritesine ulaşmıştır. Trend Micro, sunucu koruma stratejilerindeki farklılığı tanıyan ve sunucu korumasını ele almak için Deep Security adlı belirli bir ürün grubu oluşturan ilk tedarikçilerden biridir.
SentinelOne
Pazarın bir diğer güçlü oyuncusu olan SentinelOne EDR çözümlerine yeni bir yaklaşım getirdikleri ActiveEDR ile yapay zeka teknolojisini en aktif kullanan ürünlerden bir tanesi haline geldi. ActiveEDR kötü niyetli eylemleri gerçek zamanlı olarak tanımlayabilir, gerekli yanıtları otomatik hale getirebilir ve tek bir IOC’de arama yaparak kolaylıkla tehdit avına olanak tanır.
Uç nokta cihazında görünen bir anomali için bulut bağlantısına gerek olmadan ActiveEDR üzerindeki yapay zeka algoritmalarını kullanarak ne yapacağına hızlıca karar verir. Sürekli olarak uç noktada neler olduğuna dair araştırmalar yapar. Herhangi bir zararlıyı tespit ettiğinde yalnızca kötü amaçlı dosyaları ve işlemleri değil, aynı zamanda sürece dair tüm gereksiz logları, olayları ve alarmları azaltma yeteneğine sahiptir.
Carbon Black
Carbon Black son zamanlarda yaşanan düşüşüne rağmen pazardaki önde gelen EDR çözümlerinden birini sunduğu için güçlü bir üne sahiptir. Carbon Black tehdit avı tipik olarak çok olgun güvenlik operasyon ekiplerinin bulunduğu daha karmaşık ortamlarda bulunur. Carbon Black savunma ajanı, filtrelenmemiş tüm uç nokta verilerini özel bir veri akışı mekanizması kullanarak buluta gönderir ve işler.
Symantec
Symantec bir endüstri ustası ve her ne kadar Gartner Magic Quadrant’tan düşmüş de olsa, diğer satıcılar için bir tehdid olmaya devam ediyor. Küresel bir yarı iletken sağlayıcısı olan Broadcom, 8 Ağustos 2019 tarihinde Symantec’in kurumsal güvenlik işini devralmak için bir anlaşma yaptığını açıklamıştı.
Symantec Endpoint Protection, bulut tarafından yönetilen EDR’ı ve tümü tek bir ajan aracılığıyla sunulan saldırı yüzey azaltma özelliklerini içeren “Komple Son Nokta Savunmasını” programını başlattı. Symantec EDR geleneksel antivirüs satıcıların en büyük EDR pazar payına sahiptir. Çoğu kuruluş için sağlam bir rakip ve iyi bir seçim olmaya devam ediyor.
Sonuç olarak teknolojinin gelişmesi ve buna bağlı siber saldırıların artması ile beraber, kurumların sunucu ve istemcilerinde veya kişilerin şahsi cihazlarında kullanılan geleneksel antivirüsler yerlerini artık Endpoint Detection and Response sistemlerine bırakmaya başladı. İmza tabanlı çalışma mantığına sahip geleneksel antivirüsler sıfırıncı gün (zero-day) zararlılarına karşı yetersiz kalması üzerine yapay zeka ve makine öğrenmesi destekli Endpoint Detection and Response sistemleri ortaya çıktı.
EDR’lar doğru konfigüre edildiğinde fidye yazılımlarının (ransomware) büyük oranda engellendiği görülüyor. Uç Nokta Algılama ve Yanıtlama sistemleri kurumlar için artık bir lüks değil, olmazsa olmaz siber güvenlik bütçe kalemlerinden birisi haline geldi.