EDR (Endpoint Detection and Response) terimi, Uç Nokta Tespiti ve Yanıtı (veya Son Nokta Tehdit Tespiti ve Yanıtı) anlamına gelir. Şu anda Google’da güvenlik ürün stratejisi uzmanı olan Gartner’ın eski Başkan Yardımcısı ve güvenlik analisti Anton Chuvakin tarafından 2013 yılında icat edildi:
“Satıcılar, kuruluşlar ve diğer analistlerle pek çok görüşmeyi içeren uzun bir ıstıraplı sürecin ardından, ana bilgisayarlarda / uç noktalardaki şüpheli etkinlikleri (ve bu türlerin izlerini) diğer sorunları tespit etmeye ve araştırmaya odaklanan araçlar için bu genel ad üzerinde karar kıldım: Endpoint Detection and Response. ” – Anton Chuvakin, Gartner’ın blogu
Sizce Kontroller ile kastedilen nedir Target veri ihlalin.pdf
Edr nedir?
1. www.huseyinerdal.net
EDR Nedir ve Neden Önemlidir?
Çoğu zaman, kuruluşunuzun uç noktaları siber saldırganlar için anahtar giriş noktaları haline
gelebilir. İş yeri hareketliliğinin evrimi ve dünya çapındaki iş yeri dışındaki uç noktalardan
İnternet’e bağlanan çalışanların dolaylı etkisi ile cihazların giderek daha savunmasız hale
gelmesi şaşırtıcı olmamalı. Ve uygun siber güvenlik koruma önlemleri olmadan, kötü niyetli
bilgisayar korsanları mevcut güvenlik açıklarından kolayca yararlanabilirler. Bu nedenle,
geleneksel Güvenlik Duvarlarını ve Antivirüs çözümlerini aşan gelişmiş güvenlik araçlarına
duyulan ihtiyaç, büyük ve küçük kuruluşlar için inkar edilemez. EDR (Endpoint Detection and
Response), tehdit avlama, önleme ve tespit araçlarını kapsayan ve siber güvenlikte altın standart
haline gelen bir terimdir.
Bu yazımda, Endpoint Detection and Response (EDR) ne olduğunu ve neden işinizin hayati bir
parçası haline geldiğini anlatmaya çalışacağım.
Siber suçlular, çeşitli nedenlerle şirketinizin uç noktalarını başarılı bir şekilde hedeflemek ve
bunlara saldırmak için ellerinden geleni yapar. Verilerinizi çalmak veya fidye için saklamak,
makinelerinizi geçersiz kılmak, bir botnet’te kullanmak ve DDoS saldırıları yapmak ve çok
daha fazlasını isteyebilirler.
EDR Ne Anlama Geliyor?
EDR (Endpoint Detection and Response) terimi, Uç Nokta Tespiti ve Yanıtı (veya Son Nokta
Tehdit Tespiti ve Yanıtı) anlamına gelir. Şu anda Google’da güvenlik ürün stratejisi uzmanı
olan Gartner’ın eski Başkan Yardımcısı ve güvenlik analisti Anton Chuvakin tarafından 2013
yılında icat edildi:
“Satıcılar, kuruluşlar ve diğer analistlerle pek çok görüşmeyi içeren uzun bir ıstıraplı sürecin
ardından, ana bilgisayarlarda / uç noktalardaki şüpheli etkinlikleri (ve bu türlerin izlerini) diğer
sorunları tespit etmeye ve araştırmaya odaklanan araçlar için bu genel ad üzerinde karar
kıldım: Endpoint Detection and Response. ” – Anton Chuvakin, Gartner’ın blogu
Anton Chuvakin, Gartner
Esasen, Endpoint Detection Response (EDR) sistemleri, karmaşık kötü amaçlı yazılımları ve
siber saldırıları tespit etmek ve bunlara aktif olarak yanıt vermek için oluşturulmuştur. EDR
çözümleri, daha sonra daha ayrıntılı olarak araştırılabilecek şüpheli kalıpları
tanıyabilir. Adlarından da anlaşılacağı gibi, bu araçlar özellikle uç noktalar için tasarlanmıştır
(ağlar için değil).
EDR Neden Önemlidir?
Geleneksel güvenlik çözümleriyle karşılaştırıldığında EDR, uç noktalarınız için gelişmiş
görünürlük sağlar ve daha hızlı yanıt süresi sağlar.
Ayrıca, EDR araçları, kuruluşunuzu gelişmiş kötü amaçlı yazılım biçimlerinden (polimorfik
kötü amaçlı yazılımlar gibi), APT’lerden, kimlik avından vb. algılar ve korur. Ayrıca, EDR
çözümlerinin henüz bilinmeyen kötü amaçlı yazılım türlerini tespit etmek için tasarlanmış
2. www.huseyinerdal.net
makine öğrenimi algoritmalarına dayandığını da belirtmek gerekir. Daha sonra davranış temelli
sınıflandırma kararları verir.
Temelde, bazı dosyalar kötü niyetli davranıyor gibi görünüyorsa (ve zaten bilinen kötü amaçlı
yazılım türlerine benzer), EDR çözümlerini atlamayı başaramayacaklardır/başarabileceklerdir
(???)
EDR ve Antivirüs Arasındaki Fark Nedir?
Geçmişte, uç noktalarınızın korunmasını sağlamak için geleneksel bir Antivirüs çözümü yeterli
olabilirdi. Ancak kötü amaçlı yazılımlar daha gelişmiş ve yaygın biçimlere dönüşürken,
Antivirüsün artık yeterli olmadığı ve sürekli gelişen tehdit ortamına ayak uydurmak için önleme
ve tespit mekanizmalarının gerekli olduğu ortaya çıktı.
EDR çözümleri, geleneksel Antivirüs programlarının sunmadığı birçok benzersiz özelliğe ve
avantaja sahiptir.
Yeni EDR sistemleriyle karşılaştırıldığında, geleneksel Antivirüs çözümleri doğası gereği daha
basittir ve EDR’nin önemli bir bileşeni olarak görülmelidir.
Normalde, Antivirüs araçları; tarama, algılama, kötü amaçlı yazılım temizleme gibi temel
görevleri yerine getirir.
Öte yandan EDR, geleneksel Antivirüs’ten (imza tabanlı tehdit algılama yöntemlerini
kullanan) daha üstündür . EDR araçlarının kapsamı çok daha geniştir ve saldırı engelleme,
yama, istismar engelleme, güvenlik duvarı, beyaz liste / kara liste, tam kategori tabanlı
engelleme, yönetici hakları yönetimi ve yeni nesil Antivirüs gibi birden çok güvenlik katmanını
içermelidir.
Bu nedenle EDR güvenlik çözümleri, geleneksel Antivirüs tam güvenliği garanti etme
açısından günümüz işletmeleri için daha uygundur.
EDR’nin Temel Özellikleri ve Faydaları
Endpoint Detection Response özellikleri satıcıdan satıcıya değişebilir, ancak EDR’ı tanımlayan
ve gerekli olarak kabul edilen birkaç ana özelliğinden bahsedebiliriz. Her aracın belirli bir
karmaşıklığı olabilir, ancak EDR’nin beş ana özelliği:
1. Birden çok araçla entegrasyon
EDR çözümleri her zaman birden çok araç veya katmana sahiptir.
2. Uyarılar, raporlama ve ortamınıza genel bakış
Uç noktalarınızın koruma durumuna erişim sağlayan bir gösterge panosu, herhangi bir EDR
çözümünün zorunlu bir özelliği olmalıdır. Aynı zamanda, zamanında uyarılar alabilmeli ve uç
nokta güvenlik tehditlerini ve güvenlik açıklarını belirleme ve izleme yeteneğine sahip
olmalısınız.
3. www.huseyinerdal.net
Ayrıca, uyumluluk amacıyla rapor çalıştırmak, tüm EDR araçlarının çok önemli bir yönüdür.
3. Gelişmiş yanıt yetenekleri ve otomasyon
Bir EDR teknolojisi, önleme, tespit, tehdit istihbaratı ve adli tıp dahil olmak üzere güvenlik
olaylarını değerlendirmek ve bunlara tepki vermek için size özel araçlar sağlamalıdır. Aynı
zamanda, otomasyon yetenekleri de önemlidir.
4. Küresel kullanılabilirlik
EDR, platform kısıtlamalarına bağımlı kalmamanıza ve seçtiğiniz zamanda, nerede olursanız
olun veya ekipleriniz nerede olursanız olun ortamınızı yönetebilmenize izin vermelidir.
5. Önleme
Son olarak, önemli olmamakla birlikte, etkili bir EDR teknolojisi, kuruluşunuzdaki gelen ve
giden trafiğin davranışsal analizine dayalı olarak yeni nesil kötü amaçlı yazılımlara karşı
önleme yöntemleri ve uyarlanabilir koruma sunmalıdır.
…
Sonuç
Hangi EDR çözümünü seçerseniz seçin, ölçeğinin büyütülebileceğinden ve kuruluşunuzun
ihtiyaçlarına uyduğundan emin olun.