İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS Kişisel Verilerin Korunması Kanunu-KVKK TaliaDomain Faronics Uçtan Uca Güvenlik
EN

Ağ Güvenliği için Neden EDR ve NDR Birlikte Kullanılmalıdır?


Masaüstü bilgisayarlar, dizüstü bilgisayarlar ve cep telefonları gibi uç nokta cihazları, kullanıcıların kurumsal ağlara bağlanmasına ve kaynaklarını günlük işleri için kullanmalarına olanak tanır. Ancak, saldırı yüzeyini genişlettikleri için kuruluşlarını siber saldırılara ve veri ihlallerine karşı daha savunmasız hale getirirler.

Neden EDR?

Ponemon Institute tarafından hazırlanan 2020 küresel risk raporuna göre akıllı telefonlar, dizüstü bilgisayarlar, masaüstü bilgisayarlar ve mobil cihazlar siber saldırganların kurumsal ağları tehlikeye atmasına neden olan en savunmasız giriş noktalarından bazılarıdır. Güvenlik ekipleri, bu cihazların oluşturduğu güvenlik risklerini kuruluşa zarar vermeden önce değerlendirmeli ve ele almalıdır. Bunun için Endpoint Detection & Response (EDR) çözümü güvenlik ekipleri için büyük bir kolaylık sağlar.

EDR çözümleri, uç noktalara gerçek zamanlı görünürlük sağlar ve kötü amaçlı yazılım, fidye yazılımı gibi tehditleri tespit eder. Güvenlik ekiplerinin uç noktaları sürekli izleyerek, kötü niyetli faaliyetleri ortaya çıkarmasına tehditleri araştırmasına ve kuruluşu korumak için uygun yanıtları başlatmasına olanak tanırlar.

Sadece EDR Kullanmanın Dezavantajları:

Modern kurumsal ağlar, şirket içi ve çoklu bulut ortamları arasında dağıtılan karmaşık kullanıcı ağları, uç noktalar, uygulamalar ve veri akışlarını içerir.  EDR çözümleri yalnızca uç noktalara görünürlük sağladığından, diğer güvenlik riskleri için ekstra bir önlem alınması gerekmektedir.

EDR aracılarını devre dışı bırakan/kötüye kullanan kötü amaçlı yazılımlar: Lapsus$ gibi karmaşık hacker gruplarının ortaya çıkması, EDR araçlarının üstesinden gelemeyeceği bir başka risktir. 2021'in sonlarında Lapsus$, uzak uç noktalardan ödün vererek ve EDR araçlarını kapatarak birkaç büyük şirkete girdi. Böylece virüslü uç noktalarda kötü niyetli davranışlarını gizleyebildiler ve hassas şirket verilerini çalma hedeflerine ulaştılar. Diğer bir sorun ise, tehdit aktörlerinin, EDR'lerin çalışan süreçleri izlemek için kullandığı "bağlama" tekniğini kötüye kullanabilmesidir. Bu teknik, EDR araçlarının programları izlemesini, şüpheli etkinlikleri tespit etmesini ve davranışa dayalı analitik için veri toplamasını sağlar. Ancak aynı süreç, saldırganların uzak bir uç noktaya erişmesine ve kötü amaçlı yazılımları içe aktarmasına olanak tanır.

BYOD: Son yıllarda birçok kuruluş, çalışanların ve üçüncü taraf kullanıcıların uzak ağlar ve güvenli olmayan mobil cihazlar aracılığıyla kurumsal kaynaklara erişmesine olanak tanıyan uzaktan çalışma modellerine geçti. Bu cihazlar güvenlik ekiplerinin ve onların EDR araçlarının kontrolü dışındadır. Sonuç olarak, güvenlik çözümleri tüm bu uç noktalara ayak uyduramaz, onları veya kurumsal ağı kötü niyetli saldırılara karşı koruyamaz.

Desteklenmeyen cihazlar: Ayrıca, her bağlı uç nokta EDR aracılarını destekleyemez. Bu, yönlendiriciler ve anahtarlar gibi eski uç noktaların yanı sıra daha yeni IoT cihazları için de geçerlidir. Ayrıca, bağlı Denetleyici Kontrol ve Veri Toplama (SCADA) ve Endüstriyel Kontrol Sistemi (ICS) ortamlarıyla, bazı uç noktalar kuruluşun kontrolü dışında ve dolayısıyla EDR'nin güvenlik çevresinin dışında olabilir. Sonuç olarak, bu uç noktalar ve sistemler kötü amaçlı yazılım, DDoS saldırıları ve kripto madenciliği gibi tehditlere karşı savunmasız kalır.

Neden NDR?

Yukarıda vurgulanan güvenlik açıklarını kapatmanın en etkili yollarından biri, aşağıdaki nedenlerle kurumsal siber güvenlik çözümlerine Ağ Algılama ve Yanıt (NDR) çözümünü eklemektir.

NDR devre dışı bırakılamıyor: ExeonTrace gibi log veri tabanlı bir NDR, ağdaki birden çok farklı veri kaynağından veri topladığı için (ve belirli cihazlara bağlı olmadığı için), algılama algoritmaları atlatılamaz. Bu nedenle, bir EDR kötü amaçlı yazılım tarafından devre dışı bırakılsa bile NDR bunu algılayacaktır.

Gölge BT'nin tanımlanması: NDR çözümü, yalnızca bilinen ağ cihazları arasındaki ağ trafiğini izlemeyi sağlamakla kalmaz, aynı zamanda henüz bilinmeyen cihazları ve ağları da tanımlar ve izler. Ve elbette, EDR aracıları olmayan uç noktalarda (BYOD gibi) ağ analizine dahil edilir.

Yanlış yapılandırılmış güvenlik duvarları ve ağ geçitleri: Uygun olmayan şekilde yapılandırılmış güvenlik duvarları ve ağ geçitleri, saldırganlar için giriş kapısı olabilir. NDR, istismardan önce algılamaya izin verir.

Kurcalamaya karşı korumalı veri toplama: Ağ tabanlı veri toplama işlemi, bir aracı ile veri toplamaya göre kurcalamaya karşı daha dayanıklıdır. Böylece düzenleyicilerin gerektirdiği dijital adli analiz için daha idealdir.

Tüm ağın tam görünürlüğü: Aracı gerekmediğinden, NDR çözümü tüm ağ bağlantılarının ve veri akışlarının tam görünürlüğünü sağlar. Böylece tüm kurumsal ağda ve bu ağdaki olası tehditlerde daha fazla görünürlük sağlar.

EDR çözümlerinin bıraktığı güvenlik boşluklarını doldurmak için kuruluşlar güvenlik savunmalarını güçlendirmelidir. Ağ Algılama ve Yanıt (NDR) çözümleri, ağ trafiğini izlemenin ve böylece kurumsal siber güvenliği tamamlamanın güvenilir ve kanıtlanmış bir yoludur. EDR ve NDR çözümleri birbirini tamamlayıcı nitelikte olduğundan, bunların birleşik algılama yetenekleri, kuruluşları karmaşık siber saldırılardan etkili bir şekilde koruyabilir.

Kaynak: The Hacker News, Nextgen

Yazar: Nazlıcan Hatice Tanın/ Beyaz Net Bilgi Sistemleri Denetim Mühendisi