EN
EN

XDR Nedir, Nasıl Çalışır? EDR ile XDR Arasındaki Benzerlik Ve Farklar Nelerdir?

28 Şubat 2022


EDR Nedir?

EDR (Endpoint Detection and Response - Uç nokta Tehdit Algılama ve Yanıt) Son kullanıcı cihazları üzerine kurulan, bilgi güvenliğinin arttırılmasını ve veri ihlallerinin azaltılmasını temel alan araçlardır.

Endpoint üzerindeki zararlı zararsız tüm aktiviteleri toplamaktadır. Bu aktiviteler genel olarak process aktiviteleri, network aktiviteleri, register (windows temelinde) aktiviteleri gibi… Sonrasında bu aktiviteler içerisindeki zararlı durumların tespiti aynı zamanda bu olaylara müdahale yeteneği konusunda çözüm sunmaktadır. Toplanan bu veriler üzerinde daha ileriki zamanlarda işlem ve/veya analiz yapma imkanı sağlamaktadır.

EDR araçları antivirüs öğelerine ek olarak gerçek zamanlı anomali algılama, uyarma, uç noktalarda çalışan işlemlerin takibi ve kayıtlarının tutulması gibi özellikler ile tehditlerin görünürlüğünü arttırır, adli analizi kolaylaştırır.

EDR genel olarak endpoint (son kullanıcı) üzerinden koruma sağlamaktadır. EDR koruma kapsamı geliştirilerek ortaya çıkan ürün ise XDR (extended detection and response) olarak adlandırılmıştır.

XDR Nedir?

"Genişletilmiş algılama ve yanıt" anlamına gelen XDR, çeşitli altyapı düzeylerinde tehditleri proaktif olarak algılamak, bunlara yanıt vermek ve karmaşık tehditlere karşı koymak için tasarlanmış bir otomatikleştirilmiş bilgi güvenliği sistemleri sınıfıdır.

XDR, güvenlik uzmanlarının uç noktalarda, ağda, bulutta ve posta sunucularında veri izlemeyi gerçekleştirmek için mevcut güvenlik programları ve uygulamalarıyla entegre edebileceği çok çeşitli araçlar içerir. Ayrıca mevcut ve potansiyel tehditlerin tespiti ve ortadan kaldırılması için analitik ve otomasyon işlevleri ekler.

XDR Nasıl Çalışır?

İyi tasarlanmış tehditleri tespit etmek zor olabilir, çünkü bunlar paralel olarak çalışan, ancak birlikte çalışması gerekmeyen çoklu güvenlik yaklaşımları olan güvenlik siloları arasında çalışır. Güvenlik siloları arasında gizlenme yetenekleri nedeniyle zaman geçtikçe yayılabilir veya çoğalabilirler. Sonuç olarak, bir güvenlik operasyon merkezinin (SOC) dikkatinden kaçabilir ve daha fazla hasara neden olabilirler.

XDR, bu tehditleri izole eder ve inceler. Toplar ve ardından her algılamayı ayrı güvenlik katmanlarına göre ilişkilendirir. Her "katman" farklı bir saldırı düzeyini temsil eder; uç noktalar, e-posta, network, sunucular ve bulut iş yükleri.

XDR diğer güvenlik çözümlerinden farklı olarak machine learning özelliği ile entegre edilmiştir. Machine learnin (ML) altyapısı ile tehditlerin meydana getirdiği anormallikleri inceler. İnceleme sonucunda yeni bir öğrenme tecrübesiyle daha sonraki benzer tehditleri algılama ve analizlerde çok daha hızlı karar verme yetisine sahip olacaktır. Bu durum SOC personellerine daha fazla zaman kazandırarak farklı lokasyonlarda da çalışmalar yürütmelerine olanak sağlayacaktır.

Uç Noktalar

Bir XDR sistemi, bir uç noktada ne olduğunu ve bir tehdidin nereden geldiğini ve birden çok uç noktaya nasıl yayılmayı başardığını gösterebilir. XDR daha sonra tehdidi izole edebilir, gerekli işlemleri durdurabilir ve dosyaları silebilir veya geri yükleyebilir.

E-posta

Önceliklendirme sürecinin bir parçası olarak XDR, e-posta tehditlerini algılayabilir ve güvenliği ihlal edilmiş hesapları belirleyebilir. Ayrıca, sık sık saldırıya uğrayan kullanıcıları ve saldırı kalıplarını tespit edebilir. XDR, güvenlik protokolleri tarafından alınan tehditten kimin sorumlu olduğunu ve söz konusu e-postayı başka kimlerin almış olabileceğini araştırabilir.

Saldırıya yanıt vermek için XDR, e-postayı karantinaya alabilir, hesapları sıfırlayabilir ve sorumlu gönderenleri engelleyebilir.

Network

XDR, ağdaki sorunlu davranışı tespit edebilir ardından nasıl iletişim kurduğu ve şirket içinde nasıl seyahat ettiği dahil olmak üzere tehditle ilgili ayrıntıları araştırabilir. Bu, bir tehdidin ağ üzerindeki konumundan bağımsız olarak, uç hizmetler ağ geçidinden (ESG) merkezi bir sunucuya kadar yapılabilir. XDR daha sonra yöneticilere saldırının kapsamı hakkında bilgi verebilir, böylece hızlı bir şekilde bir çözüm bulabilirler.

Server ve Bulut İş Yükleri

XDR, sunuculara, kapsayıcılara ve bulut iş yüklerine odaklanmak için özel olarak tasarlanmış tehditleri yalıtma yeteneği sağlar. XDR daha sonra tehdidin iş yükünü nasıl etkilediğini araştırır ve sistem genelinde nasıl yayıldığını inceler. Ardından sunucuyu izole eder ve tehdidi içermek için gerekli işlemleri durdurur. Tehdit yalıtımı, saldırılardan kurtulmak için ortalama süreyi azaltmanın önemli bir bileşenidir.

Örneğin, bir tehdit bir IoT uç noktası aracılığıyla bulut ağınıza erişirse, XDR nereden geldiğini tespit edebilir. Ardından, güvenlik ihlalinin arkasındaki nedenleri ele alabilir ve bu bilgileri bir saldırı planı oluşturmak için kullanabilirsiniz. 

XDR ile EDR arasındaki bazı önemli benzerlikler şu şekilde sıralanabilir:

Önleyici Yaklaşım: Geleneksel güvenlik çözümleri genellikle devam eden tehditleri tespit etmeye ve düzeltmeye odaklanır. EDR ve XDR, derinlemesine veri toplayarak ve tehditleri oluşmadan önce belirlemek için veri analitiği ve tehdit istihbaratı uygulayarak güvenlik olaylarını önlemeye çalışır.

Hızlı Tehdit Yanıtı: EDR ve XDR, otomatik tehdit algılama ve yanıtını destekler. Bu, bir kuruluşun bir siber saldırıyı önleyerek veya hızla düzelterek neden olduğu maliyeti, etkiyi ve hasarı en aza indirmesini sağlar.

Tehdit Avı Desteği: Tehdit avı, analistlerin olası güvenlik sorunlarını bir saldırgan tarafından kullanılmadan önce belirlemelerine ve düzeltmelerine olanak tanıyarak proaktif güvenlik sağlar. EDR ve XDR, derin görünürlük ve verilere kolay erişim sağlayarak tehdit avlama çabalarına yardımcı olur.

EDR ve XDR araçları özellikle siber güvenlik personellerinin (SOC gibi) hem iş yükünü azaltmakta hem de olası gözden kaçan logları daha görünür kılarak tehditleri önlemede kolaylık sağlamaktadır.

XDR, genel anlamda EDR aracının geliştirilerek daha geniş kapsamlı tehdit algılaması sağlanmıştır. Aralarındaki benzerliklere rağmen başlıca bazı farklılıkları şu şekilde sıralanabilmektedir:

Odak: EDR, belirli bir cihaz için derinlemesine görünürlük ve tehdit önleme sağlayarak uç noktayı korumaya odaklanır. XDR, güvenliği uç noktalar, bulut bilişim, e-posta ve diğer çözümler arasında entegre ederek daha geniş bir bakış açısına sahiptir.

Çözüm Entegrasyonu: EDR çözümleri, uç noktalar için "türünün en iyisi" koruma sağlayabilir ve bir kuruluş bunları bir dizi nokta çözümüyle manuel olarak entegre edebilir. XDR, bir kuruluşun güvenlik mimarisini önemli ölçüde basitleştirerek, tek bir çözüm içinde entegre, görünürlük ve tehdit yönetimi sağlamak üzere tasarlanmıştır.

KAYNAKLAR:

Kaynak [1]

Kaynak [2]

Kaynak [3]

BT Olgunluk Analizi

Kurumların BT yönetim süreçlerinin önem ve etkinliği, BT mimarisinin (yazılım, donanım, güvenlik ve altyapı) ilişkili strateji ve süreçlerle uyumu ve sürekliliği BT Olgunluğunu ortaya koyar. Her kurumun BT olgunluğu farklı seviyelerde olabilir. BT Olgunluk Analizi ile mevcut olgunluğun ölçülmesi ve değerlendirilmesi, uluslararası benzer başka kurumlarla kıyaslanması hedeflenir.

BT Olgunluk Analizi
Penetrasyon Testi

Sızma testlerinde siber suçluların gerçek dünyada kullandığı yöntemler kullanılarak bir kurumun bilişim altyapısına sızılmaya ve ele geçirilmeye çalışılır.

Penetrasyon Testi Paketlerimiz
Penetrasyon Testi Paketlerimiz
Dışarıdan Penetrasyon Testi Pentest RemoteShell, BeyazNet Pentest Standart Pentest Exploit One, BeyazNet Pentest Pro Pentest Injection Plus, BeyazNet Pentest Pro Plus Pentest ZeroDay Enterprise
Farklılıklarımız
Farklılıklarımız
Alanında lider lisanslı test araçları (Acunetix, NetSparker, Nexpose, BurpSuite, Nessus vb.), DB Vulnerability Scanner ürünü ile veri tabanlarının içerden taranması, DNS Firewall ile DNS trafiği izlenerek zararlı yazılım bulaşmış makinaların tespiti
BeyazNet Pentest Hizmetimiz
BeyazNet Pentest Hizmetimiz
Firmamızın uzman ve sertifikalı ekibi detaylı incelemeler yaparak ağ, sistem ve yazılım katmanındaki zayıflıkları maksimum seviyede tespit etmektedir
Penetrasyon Testi
Göç'e Hazır mısınız?

Tüm alışkanlıklarımızdan, tüm bağımlılıklarımızdan, tüm sıkıntılarımızdan, daha güvenli özgür yazılımlara göç etmek için yanınızdayız.

Planlama neden çok önemli?
Planlama neden çok önemli?
Linux sistemler, Windows'tan çok farklı olduğu için ancak sağlıklı bir planlama ile göç mümkündür.
Güncelleme ve Şifre Sunucusu
Güncelleme ve Şifre Sunucusu
Göç için kurduğumuz sunucular sayesinde işletim sistemleri güncel ve güvenli kalıyor.
Linux Göç
Geçmişe dair kuşkularınız mı var?

TaliaStamp kullanarak, geçmişte edindiğiniz belgeleri damgalayabilir, böylece varlıklarını hukuki olarak garanti altına alabilirsiniz. Damgalayarak sunduğunuz belgenin inkar edilmesi halinde, bu belgenin en azından damgalandığı zamanda var olması sebebiyle belgenin geçmiş zamanda varlığını kanıtlayabilirsiniz.

TaliaStamp
TaliaBee ile cihazlarınıza hükmedin

Kullanıcı dostu bir arayüz ve diğer uygulamalarla iletişim kurabilme desteği sağlayan TaliaBee, sizin olmadığınız ortamlarda uzaktan kontrol edilebilir çıkışları sayesinde elleriniz, sensör bağlayabileceğiniz girişleri sayesinde duyularınız olur.

TaliaBee
İnternet Kontrol Altında

TaliaLog kullanarak, internet paylaşımına dair yasanın gerektirdiği kayıtları tutabilir ve internet erişiminizi istediğiniz kişilerle rahatça paylaşabilirsiniz. İnternetinizi paylaştığınız kişiler, erişim bilgileri ile kayıt altına alınır.

TaliaLog