EDR, EPP, MDR, NDR, XDR Nedir ?

 EDR- Endpoint Detection and Response
(Uç Nokta Tespiti ve Yanıtı)

Siber tehdit aktörleri her geçen gün artış göstermekte ve kuruluşların her alanını riske maruz bırakabilmekteler. Kuruluşların iş süreçlerini oluşturmak ve uygulayan uç noktalar (Endpoint) savunmasız durumda olabilmekteler. Bu uç noktaları korumak ve altyapıdaki giriş noktalarının güvenliğini sağlamak yani uç noktalara gelebilecek tehditleri en aza indirmek gerekir. EDR sistemleri, sayesinde uç noktaları tehditleri hızlı ve uygun bir şekilde müdahale etmek mümkündür. EDR araçları uç nokta ve ağ olaylarını izleyerek ve daha fazla analiz, algılama, araştırma, raporlama ve uyarının gerçekleştiği merkezi bir veri tabanına kaydeder. EDR araçları kurumsal ağdaki tüm uç noktalarda kapsamlı görünürlük sağlayarak gelişmiş tehditleri keşfetmeye, ölçeklendirmeye, soruşturmaya ve etkisiz hale getirmeye yönelik görevlerin otomasyonunu sağlar. Sürekli izleme ve keşif sayesinde içeriden gelen tehditleri veya dışarıdan gelen saldırıları erken tanımlanmasını kolaylaştırarak kurum içi güvenliği için çok önemli bir hale gelmiştir. EDR veri toplama zamanlaması, kapsamı veya tehdit istihbarat sağlayıcıları ilke entegre olma yetenekleri bakımından farklılık gösterir.

Tüm EDR araçları aynı şekilde çalışmayabilir. Örneğin bazı EDR araçları uç noktalar üzerinde daha fazla analiz gerçekleştirirken, başka bir EDR aracı veri analizi yönetim konsolu üzerinden gerçekleştirir. Fakat tüm EDR araçları aynı temel işlevleri aynı amaçla yerine getirir. https://www.esecurityplanet.com/products/edr-solutions/ adresinden sektörde en çok kullanılan EDR’ların karşılaştırmasını görebilirsiniz.

EDR Kullanım Avantajları:

  •  PoweShell istismarları, memeory attack, file-less gibi tespit edilmesi zor tehditler tespit edebilir.
  •  Exploit-based yapılan atakların tespit ve analizi gerçekleştirilmesini sağlar.
  •  Kendini gizlemeye çalışan malwareların endpointler üzerinde yanal hareketlerini gözlemlemeyi sağlar.
  •  Çeşitli güvenlik ürünleriyle birlikte entegre bir şekilde çalışabilir.
  •  Davranış analizi (Behaviour Monitoring) teknolojilerini kullanarak olay tespit süresini azaltır.
  •  Davranış analizi sayesinde Endpointlere ve ağa zarar vermesinin önüne geçer.
  •  Bilinmeyen dosya ve uygulamaların tespiti ve sanal ortamlarda testlerini sağlayarak ağ da yer alan diğer uç nokta ürünlerini koruma sağlar.
  •  Uç noktalar (Endpointler) üzerinde gerçekleşen eylemlerin takibinin yapılması ve analizlerinin anlık görüntülenmesini sağlar.
  •  Adli izlenim süreçlerinde önemli bilgi tespit imkanı sunar. (ıp, url, domain, DNS, file name, file path …)

EPP – Endpoint Protection Platfrom
(Uç Nokta Koruma Platformu)

EPP sisteme dahil cihaz seviyesindeki tehditleri tespit etmek ve engellemek için tasarlanmış güvenlik çözümüdür. EPP, imza tabanlı saldırılara karşı koruma sağlamak için tasarlanmış kötü amaçlı yazılım önleme yeteneklerini kapsar. Bir dosya ağa dahil olduğunda EPP aracı dosyanın imzasının veritabanındaki herhangi bir kötü amaçlı tehditle eşleşip eşleşmediğini görmek için dosyayı tarar. EPP, uç noktadaki çeşitli tehditleri algılayan ve durduran, antivirüs, veri şifreleme, izinsiz giriş önleme ve veri kaybını önleme gibi entegre bir uç koruma teknoloji paketi sağlar. EPP imza tabanlı olarak çalıştığı için gelişmiş saldırılara karşı etkisiz kalmaktadır.

EDR ve EPP benzer hedeflere sahiptir, ancak farklı amaçları gerçekleştirmek üzere tasarlanmıştır. EPP, kötü amaçlı dosyaları tanımlayarak, potansiyel olarak kötü niyetli etkinlikleri tespit ederek ve olay incelemesi ve müdahalesi için araçlar sağlayarak cihaz düzeyinde koruma sağlamak üzere tasarlanmıştır.

EPP, kuruluşun konuşlandırılan güvenlik çözümleri tarafından tespit edilebilen saldırıları filtreleyerek ilk savunma hattı görevi görür. EDR, güvenlik analistlerinin tehdit avı gerçekleştirmesine ve uç noktaya yönelik daha ince tehditleri tespit etmesine olanak tanıyan ikinci bir koruma katmanı görev görür.

Etkili uç nokta savunması, bir kuruluşun güvenlik ekibine yardımcı olarak siber tehditlere karşı koruma sağlamak için hem EDR hem de EPP’nin yeteneklerini entegre eden bir çözüm kullanmak avantajlı olacaktır.

MDR -Managed Detection and Response
(Yönetilen Tespit Ve Müdahale)

MDR, tarafından sunulan servislerin en temel karakteristiği klasik saldırılar dışında gelişmiş saldırıları detaylı bir şekilde tespitini gerçekleştirmek ve saldırı kaynağına müdahale etmektir. MDR tarafından sunulacak gelişmiş tespit ve müdahale süreçlerini EDR yazılımları kullanılır. MDR aslında tehdit algılaması, tehdidin tespit müdahalesi ve iyileştirme süreçlerinin belendiği ve yönetildiği servistir.

MDR geriye dönük bütün trafiği analiz edebilir çünkü ağ tabanlı çözüm kullanmaktadır. MDR hizmet kapsamı olarak ilgili kurumun siber saldırılara karşı siber tehdit istihbaratı geniş şekilde bütün süreçlerde kullanılacak şekilde tanımlanabilir.

MDR Avantajları

  •  Başarılı saldırıların etkisini azaltır.
  •  7/24 görünürlük sağlar.
  •  Kuruluşu hedef alabilecek tehditler üzerinde araştırma yaprak süreklilik sağlar.
  •  Sonuç ve rapor sunar.

NDR -Network Detection Response
(Ağ Tespit Ve Müdahale)

NDR, kuruluşun siber saldırganlar tarafından gerçekleşebilecek saldırı sonuçlarında, ağ trafiğini izlemesi ve ağa yönelik siber tehditlerin tespitine, saldırılara tepki vermesini sağlayan bir güvelik hizmetidir. Siber saldırılar, internet altyapısına ciddi zararlar verebilmektedir. Ağ altyapısını monitöre eden ve saldırılara yanıt vermek için NDR hizmeti kullanılır. NDR, kuruluşların kötü niyetli etkinliklerini tespit etmek ve önlemek veya temel nedeni belirlemek, yanıt ve hafifletmeyi kolaylaştırmak için olay sonrası araştırmalar ve adli analiz yapmak için kullandığı bir güvenlik çözümüdür. NDR çözümleri, içeriden saldırıları, kimlik bilgilerinin kötüye kullanılması, ayrıcalık artırma, yanal hareket ve veri hırsızlığı gibi kötü amaçlı yazılım dışı tehditlere karşı koruma sağlayabilir. NDR EDR dan temel farkı olarak bir malware BIOS seviyesinde istismar ederek EDR’ı bozabilir ve böylece amaçlarını EDR a yansıtmaya bilir ancak ağ aracılığıyla başka herhangi bir sistemle etkileşime girer girmez ağ araçları tarafından görülebilir.

XDR- Extended Detection And Response
(Genişletilmiş Algılama Ve Müdahale)

XDR, EDR’den daha geniş bir özelliğe sahiptir. Daha yüksek görünürlük sağlamak ve tehdit bilgilerini toplamak ve ilişkilendirmek için en yeni ve güncel teknolojileri kullanırken, bugün ve gelecekteki saldırıları tespit etmeye yardımcı olmak için analitik ve otomasyon kullanır. XDR, sistem sunucuları, e-posta, bulut ve uç noktalar gibi çeşitli ap noktalarında veri toplayarak ilişkilendirmeye çalışır. Sistem ilişkili verileri analiz eder, görünürlük ve bağlam kazandırır.

Güvenlik ürünlerinin sayısının artması sebebiylede tek bir noktada yönetim zorlaşmıştır buna çözüm olarak bulut tabanlı bir güvenlik ürünüdür. XDR, güvenlik ürünlerinden alınan verileri işleyerek tek bir platform üzerinden yönetilmesini ve müdahale etmesini amaçlamaktadır.

XDR avantajları:

  •  Geliştirilmiş koruma, algılama ve yanıt verebilir.
  •  Siber tehditleri en etkili bir şekilde tespit edilmesi ve yanıtlanması için daha düşük maliyetli.
  •  Birden fazla güvenlik ürünü ile birlikte uyumlu çalışır.
  •  Hedefli saldırıların tespiti ve müdahale edilmesi
  •  Tehdit istihbarat kaynakları ile birlikte istihbarat bakar.
  •  Uyarıları otomatik olarak ilişkilendirerek ve onaylayarak yanlış pozitifleri takip etme ihtiyacını azaltır.

EDR, EPP, MDR, NDR, XDR

Kaynaklar:

https://www.kaspersky.com.tr/enterprise-security/endpoint-detection-response-edr

https://opdotech.com.tr/blog/endpoint-detection-response-edr-nedir-nasil-calisir/

https://www.eset.com/tr/business/enterprise-inspector/

https://www.mcafee.com/enterprise/en-us/security-awareness/endpoint/what-is-endpoint-detection-and-response.html

https://www.cisco.com/c/en/us/products/security/endpoint-security/index.html#~types-of-endpoint-security

https://www.mcafee.com/enterprise/en-us/security-awareness/endpoint/what-is-an-endpoint-protection-platform.html

https://digitalguardian.com/blog/what-managed-detection-and-response-definition-benefits-how-choose-vendor-and-more

A Beginner’s Guide to Network Detection and Response

https://blog.paloaltonetworks.com/2019/04/introducing-cortex-xdr-tr/?lang=tr

https://www.mcafee.com/enterprise/en-us/security-awareness/endpoint/what-is-xdr.html

https://en.wikipedia.org/wiki/Extended_detection_and_response