İLETİŞİM
EN
Digital Maturity Assessment BİGR Danışmanlığı Göç'e Hazır mısınız? AÇIK KAYNAK KODLU SİSTEMLERE GÖÇ Penetrasyon Testi Bilgi Güvenliği Yönetimi Sistemi BGYS TaliaDomain Faronics Uçtan Uca Güvenlik SANGFOR SearchInform
EN

Risk Tabanlı Uyarı ve NDR’ın Rolü


Risk tabanlı uyarı/alarm nedir?

Risk tabanlı uyarı, güvenlik uyarılarının ve yanıtlarının bir kuruluşun sistemleri, verileri ve genel güvenlik duruşu için oluşturdukları risk düzeyine göre önceliklendirildiği bir yaklaşımdır. Bu yöntem, kuruluşların kaynaklarını öncelikle en kritik tehditleri ele almaya yoğunlaştırmasını sağlar. Risk tabanlı uyarıların birçok faydası bulunmaktadır:

- Uyarılar risklere göre önceliklendirildiği için zaman ve kaynaktan tasarruf edilir.
- Güvenlik ekipleri, çoğu false pozitif veya küçük sorunlar olabilen çok sayıda uyarıyla uğraşırken genellikle uyarı yorgunluğuyla karşı karşıya kalır. Risk tabanlı uyarılar, ekiplerin en büyük potansiyel etkiye sahip uyarılara odaklanmasını sağlayarak uyarı yorgunluğunu azaltmaya yardımcı olur. Risk tabanlı uyarılar bu şekilde güvenlik olaylarının etkisini önlemede veya en aza indirmede kritik olabilir.
- Güvenlik ekipleri, hangi uyarıların önce araştırılacağı ve kuruluş üzerindeki potansiyel etkiye göre kaynakların nasıl tahsis edileceği konusunda daha isabetli kararlar alır.
- Kuruluşlar, tehditlerin bağlamını göz önünde bulundurarak ve potansiyel etkilerini anlayarak, uyarıların ciddiyetini daha iyi değerlendirebilir.

NDR Nedir?

Ağ algılama ve yanıt (NDR) çözümleri, ağ trafiğini sürekli olarak analiz ederek anormal sistem davranışlarını algılayan bir ağ güvenliği ürünleri kategorisini ifade eder. NDR çözümleri hem iç hem de dış ağ iletişimlerine ilişkin ham ağ paketlerini ve meta verileri incelemek için davranışsal analitiği uygular. Makine öğrenimi gibi imza tabanlı olmayan gelişmiş analitik tekniklerin bir kombinasyonunu kullanır.

Risk Tabanlı Uyarılarda NDR'nin Rolü

NDR, bir kuruluşun siber güvenlik stratejisi kapsamında risk tabanlı uyarıların uygulanmasını kolaylaştırmada veya etkinleştirmede önemli bir rol oynar.

NDR çözümleri, ağdaki tehditleri tespit edip bunlara yanıt vermek ve çeşitli etkinliklerin veya olayların potansiyel riskleri hakkında bilgi sağlamak için tasarlanmıştır. Potansiyel güvenlik risklerini gösteren anormallikleri tespit etmek için ağ trafiğinin kalıplarını ve davranışlarını analiz ederler.

Ağ etkinliği, ağdaki analizörlerin farklı ağırlıkları ve alarm eşiğine kadar çeşitli alarmların toplanması hakkındaki bu bağlamsal bilgilerle, kanıtın ağırlığına bağlı olarak farklı uyarı seviyeleri tanımlayabilirler. Ayrıca varlık yönetiminde belirli kritik bölgeler belirlenebilir. Bu bağlam, güvenlik uyarılarının ciddiyetini ve olası etkisini değerlendirmek ve risk tabanlı bir yaklaşımla uyumlu hale getirmek için çok önemlidir.

NDR çözümlerinin tehdit istihbaratı beslemeleriyle entegrasyonu, ağ güvenliğini sağlama ve tehditlere yanıt verme yeteneklerini önemli ölçüde artırır. Bu entegrasyon, NDR'nin daha proaktif ve etkili bir güvenlik aracı olmasını sağlar. Bu entegrasyonunun bazı faydaları aşağıda verildiği gibidir:

Veri Zenginleştirme: Tehdit istihbaratı beslemeleri, NDR'nin analiz ettiği verileri zenginleştirir. Bu beslemeler, ağda tespit edilen etkinliklerle ilgili ek bilgi sağlar ve böylece tehditlerin daha hızlı ve doğru bir şekilde tanımlanmasını mümkün kılar.

Kritiklik Değerlendirmesi: Tehdit istihbaratı beslemeleri, belirli uyarıların kritiklik düzeyini değerlendirmeye yardımcı olur. Bu, güvenlik ekiplerinin hangi tehditlerin öncelikli olarak ele alınması gerektiğini belirlemesine olanak tanır.

Risk Değerlendirme: Tehdit istihbaratı beslemeleri, belirli uyarılarla ilişkili riskleri değerlendirme yeteneğini artırır. Bu, güvenlik ekiplerinin potansiyel tehditlerin önemini ve olası etkilerini daha iyi anlamalarına yardımcı olur.

Bazı görüşlere göre NDR, risk tabanlı uyarılar için Güvenlik Bilgi ve Olay Yönetimi'nden (SIEM) daha üstün kabul edilebilmektedir çünkü NDR ağ trafiği kalıplarının ve davranışlarının gerçek zamanlı analizine odaklanır ve anormalliklerin ve potansiyel tehditlerin anında tespitini sağlar. SIEM ise yalnızca günlük analizine dayanır ve bu da gecikmelere neden olabilir ve ağ merkezli, belirsiz tehditleri gözden kaçırabilir ve çok sayıda uyarı (yanlış olanlar da dahil) oluşturabilir.

Kaynak: The Hacker News

Yazar: Nazlıcan Tanın / BeyazNet Denetim Hizmetleri ve Teknolojileri K.Uzmanı