Endpoint Detection and Response (EDR)
Endpoint Detection and Response (EDR), bir bilgisayar ağında bulunan uç nokta cihazlarının (örneğin, bilgisayarlar, mobil cihazlar ve sunucular) güvenlik olaylarını tespit etme ve bu olayları yönetme yeteneğine sahip bir güvenlik çözümüdür. EDR, bir ağdaki uç noktaları tarar ve bu uç noktaların işlemlerini izler, böylece ağdaki potansiyel güvenlik tehditlerini tespit edebilir. EDR ayrıca, güvenlik olaylarını yönetmek için önlemler almaya yönelik önerilerde bulunabilir ve bu olayları önleyici veya koruyucu önlemler alınmasını sağlayabilir.
EDR, bir ağdaki güvenlik olaylarının önceden tespit edilmesine ve bu olayların önlenmesine yardımcı olabilir. Bu sayede, ağdaki cihazların güvenliğinin korunması ve sistemlerin çalışır durumda kalması sağlanabilir. EDR, ayrıca, güvenlik olaylarının tespit edilmesi ve yönetilmesi için gerekli olan zamanı azaltarak, ağdaki güvenlik yöneticilerinin iş yükünü hafifletebilir.
EDR Siber güvenlik riskini yönetme yeteneğini geliştiren bir dizi özellik sağlar;
Improved Visibility (Gelişmiş Görünürlük): EDR çözümleri sürekli olarak izlenen ve analiz edilen verilerin tek bir noktadan izlenebilmesini sağlar.
Rapid Investigations (Hızlı Sorgulama): EDR çözümleri verileri otomatik olarak toplama, işleme ve belirli bir yanıt verecek şekilde tasarlanmıştır.
Remediation Automation (Onarım-Müdahale Otomasyonu): EDR çözümleri önceden belirlenmiş kurallara dayalı olarak tespit edilen tehditlere müdahale edilmesini sağlar.
Contextualized Threat Hunting (Bağlamsal Tehdit Avcılığı): EDR çözümlerinin uç noktalardan sürekli veri toplaması ve analiz etmesiyle, sistemdeki uç noktaların durumuna ilişkin daha fazla görünürlük sağlanır. Böylece potansiyel tehditlerin tanımlamasına ve araştırılmasına olanak tanır.
EDR çözümleri siber tehditleri etkili ve proaktif bir şekilde tespit etmek için bazı bileşenlere sahip olmalıdır;
Incident Triaging Flow (Önceleklendirme): Bir EDR çözümü ortaya çıkan False Pozitif uyarılardan, potansiyel olarak şüpheli veya kötü niyetli olayları otomatik olarak önceliklendirmeli ve güvenlik analistinin araştırmalarına katkı sağlamalıdır.
Threat Hunting (Tehdit Yakalama): EDR çözümleri, olası izinsiz girişlere karşın tehdit yakalama faaliyetlerine destek sağlamalıdır.
Data Aggregation and Enrichment (Veri Toplama Zenginleştirme): True positives ve false positives (gerçek tehditler ile yanlış alarmlar) arasında doğru bir ayrım yapması gereklidir. EDR çözümleri, potansiyel tehditler hakkında bilinçli kararlar almak için mümkün olduğu kadar çok veri kullanmalıdır.
Integrated Response, Multiple Response Options (Entegre ve Çoklu Yanıt): EDR çözümü, bir tehdit belirlendikten sonra, analistlere, belirli bir zararlının ortadan kaldırılması veya karantinaya alınması gibi birden çok yanıt seçeneğini hızla sunmalıdır.
Data Loss Prevention (DLP)
Data Loss Prevention (DLP), veri kaybını önlemeyi amaçlayan bir güvenlik çözümüdür. DLP, bir ağdaki verilerin çalınmasını, yanlışlıkla veya kötü niyetle veriye erişimi engellenmesini ve veri kaybını önlemeyi amaçlar. DLP, veri kaybını önlemek için birçok yöntem kullanabilir, bunlar arasında veri filtreleme, veri şifreleme ve veri yönetimi gibi önlemler bulunur.
DLP, özellikle büyük şirketler ve kurumlar için önemli bir güvenlik çözümüdür, çünkü bu kurumlar genellikle önemli miktarda veriye sahiptir ve bu verilerin güvende kalması ve çalınmasının önlenmesi önemlidir. DLP ayrıca, veri kaybını önleme konusunda kurallar ve politikalar belirleyerek, veriye erişimi ve kullanımını düzenleyebilir. Bu sayede, veri kaybı riskinin azaltılması ve veri güvenliğinin sağlanması amaçlanır.
DLP yazılımları Firewall ya da Antivirüs yazılımlarına göre biraz daha farklı yazılımlardır. Antivirüs ya da Firewall yazılımlarında standart tanımları yaptıktan sonra otomatik güncellemeler sayesinde belirli aralıklarla yazılımı kontrol etmek ve sorun çıktığında müdahale etmek normaldir. Ancak DLP yaşayan bir sistemdir ve verileriniz güncellendikçe, sisteminize yeni veriler eklendikçe şablonları kontrol edip, manuel olarak güncellemelisiniz. Belirttiğiniz kurallarla çakışan durumların oluş olmadığını, kullanıcıların izni dışında erişim denemelerini düzenli raporlarla tespit edip, gerektiğinde müdahale etmelisiniz.
DLP diğer güvenlik yazılımlarının aksine öncelikle şirket içinden gelebilecek zararları önlemek için tasarlanmıştır. Büyük şirketlere organize şekilde saldıran hackerların öncelikle sosyal mühendislik yaptığı ve şirketin içinden bilgi almaya çalıştıkları bilinen bir durumdur. Bu durumda yüzlerce, hatta binlerce çalışanın bulunduğu çok uluslu şirketlerde içerde bulunan tüm çalışanlara koşulsuzca güvenmek ne kadar mantıklıdır? Kötü niyetli bir çalışan saldırı için dışarı veri sızdırabilir ya da bilgilerinizi siz farkında olmadan kolayca kopyalayabilir. DLP tam da bu noktada devreye girerek verilerinizi “ beklenmedik yerlerden ” gelen saldırılara karşı korur.
DLP’ deki Veri Çeşitleri
DLP sistemlerinde hassas verilerin üç farklı durumu vardır. Bunlar durağan haldeki, kullanımdaki ve hareket halindeki verilerdir.
Durağan Haldeki Veri (Data at Rest): Veri tabanları, depolama birimleri, dosya sistemlerindeki gerektiğinde kullanılan veri türüdür. DLP ile durağan verilerde tarama yaparak tanımlanmış veya özel içeriğe, dosya adına veya belirli bir uyumluluk profiline göre hassas verileri bularak kurumlar için görünürlük sağlar.
Kullanım Halindeki Veri (Data in Use): Bir ağdaki birden çok kullanıcı tarafından sık sık güncellenen veri olmakla birlikte hassas ve gizli verilerle bağlantısı olan aktif veri türüdür. DLP ürünleri kullanımdaki verilerde, kullanıcı tarafından güncelleme yapıldıkça oluşturulan politikalar ile aktarma işleminin yanı sıra kopyala-yapıştır işlemlerine dair aksiyon alabilir.
Hareket Halindeki Veri (Data in Motion): Ağ içinde hareket eden, örneğin eposta, anlık mesajlaşma, bulut ve taşınabilir aygıtlara veya diğer çıkış noktalarında sürekli hareket halinde olan veri türüdür. Hareket halindeki veriler, insan hatası, ağ hataları, güvensiz dosya paylaşımı, kötü amaçlı eylemler ve daha fazlası dahil olmak üzere çeşitli tehditlere açık haldedir. DLP ürünleri genellikle hareket halindeki verilerde ihlalleri ve insan hatalarını ele alarak ağ trafiğini hassas bilgiler için tarar ve kritik bilgilerin kurum ortamından ayrılmasına izin vermez.
DLP Çeşitleri
Network: Network üzerinde kullanılan SMTP/TLS, HTTP/HTTPS, IM ve FTP protokolleri kullanılarak oluşturulan trafiği izleyerek, aktarılan verileri korumak için tasarlanmıştır. E-posta, Web vb. üzerinden veri kaybını durdurmak için kullanılır.
Endpoint: Kullanılan Laptop, Desktoplar üzerinde depolanan verileri izleyerek korunmasını sağlar. Clientlar üzerinde bulunan Lokal Diskler, Taşınabilir Sürücüler, E-posta, Web ve IM gibi bilgilerin kullanıldığı ve depolandığı ortamları tarayarak gizli/güvenli bilgileri keşfeder, izler ve korur. USB sürücülere verilerin kopyalanması, CD/DVD yazımı, lokal disklere bilgilerin indirilmesi, yazdırılması, fakslanması, network üzerinden transferi ve şifrelenmiş yüksek güvenlik içeriğine sahip bilgilerin denetimini sağlar.
Storage: Dosya sunucular, veri tabanları, ve veri depoları üzerinde keşif taramaları yaparak korumasız, sahipliği olmayan ve açıkta kalmış verileri tespit eder. DLP veri depolarını tarayarak hassas, gizli verileri bulur, sunucular üzerinde dosya kullanımının izlenmesi, dosya sahipliğinin tespiti ile sıra dışı ve kötü niyetli aktivitelerin oluşmasına karşı uyarılar düzenlenmesi ile tespitini sağlar.
Cloud: Hassas verilerin önce şifrelenmeden buluta girmemesini ve yalnızca yetkili bulut uygulamalarına gönderilmesini sağlayarak bulut depolamasını benimsemiş kuruluşları özellikle korur.