NDR – Ağ Tespiti ve Yanıtı artık BT güvenliğinde hiçbir şirket ağında eksik olmaması gereken bir güvenlik teknolojisi olarak kabul ediliyor. Peki tüm verileri kim değerlendiriyor ve müdahaleyi kim yönetiyor? Buradaki sihirli kelime MDR – Yönetilen Tespit ve Yanıt Hizmetleridir. Sophos'un güvenlik uzmanı Michael Veit ile röportaj.
Etkili güvenlik çözümleri, ağ bağlantılı uç nokta koruması, yeni nesil güvenlik duvarı gibi teknolojik bileşenleri içerir; bunların her ikisi de güvenlik hizmetleri biçiminde yapay zeka ve insan uzmanlığıyla eşleştirilir.
Klasik güvenlik çözümleri çok sayıda saldırıyı ve kötü niyetli anormallikleri tespit edip savuştururken, ağın doğrudan korunması uzun süredir ihmal ediliyor. Ancak saldırganlar ağa erişim sağladıktan sonra takip edilmeleri zordur. Ne uç nokta koruması ne de güvenlik duvarı, halihazırda ağda bulunan saldırganları güvenilir bir şekilde tespit edemez. Bu sayede saldırganlar, gerçek saldırılarına veya veri hırsızlığına hazırlanmak için ağ içerisinde uzun süre engelsiz ve gizlice yanal olarak hareket edebilirler (yanal hareket).
NDR iyidir – MDR daha iyidir
Sophos güvenlik uzmanı Michael Veit (Resim: Sophos).
NDR (Ağ Tespiti ve Yanıtı) artık güçlü ağ güvenliği için vazgeçilmezdir. NDR algılama teknolojileri ağın durumuna ve korunmasına ilişkin çok iyi bir genel bakış sağlasa da zararsız ve tehlikeli mesajların da anlaşılması gerekir. Son olarak, NDR'de "Müdahale" noktasının yerine getirilmesi, yani bir saldırı veya olay belirtileri sonrasında doğru önlemlerin alınması da önemlidir.
Sophos, çözümlerinde tam olarak bu noktaya değiniyor ve şirketlere siber güvenlik olarak yönetilen algılama ve müdahaleyi 24/7/365 hizmet olarak sunuyor. Sophos güvenlik uzmanı Michael Veit, MDR'nin Sophos ile tam olarak nasıl çalıştığını, neler yapabileceğini ve önemli noktalarının neler olduğunu bir röportajda yanıtlıyor.
NDR'nin MDR ile birlikte güçlü yönleri – Hizmet Olarak Siber Güvenlik
B2B Siber Güvenlik: NDR'nin şirketler için güçlü yönleri nelerdir?
Michael Veit, Sophos: “Modern bir NDR çözümü, ağın derinliklerindeki saldırıları bile tespit ediyor. Trafiği izler ve ayrıca yönetilmeyen sistemlerden, IoT cihazlarından, yetkisiz kullanıcılardan veya varlıklardan ve diğer ağ trafiği kaynaklarından gelen etkinlikleri tespit eder. Hatta kişisel verileri riske atmadan şifrelenmiş paket verilerini bile inceleyebiliyor.”
Sophos'un yeni nesil NDR'si, karmaşık ve sürekli gelişen tehdit ortamını ele almak için tasarlanmış gelişmiş bir ağ izleme çözümüdür. Çok çeşitli ağ tehditlerine karşı gerçek zamanlı, eyleme dönüştürülebilir istihbarat sağlamak için beş özel tespit motorunu derin öğrenme analitiğiyle birleştirir. Algılama motorları, ağ trafiğini 330'dan fazla protokole, 50 akış riskine ve binlerce IOC'ye göre sınıflandırır. Bu motorlar aynı zamanda yanlış tespitleri en aza indirirken tehdit algılamada yeni düzeylerde doğruluk sağlayan birden fazla derin öğrenme modelini de içeriyor."
B2B Siber Güvenlik: Şirketler neden NDR ile birlikte MDR'ye güvenmeli?
Michael Veit, Sophos: "Ağdaki bir anormalliği veya saldırı düzenini tespit etmek yalnızca ilk adımdır. NDR sistemi şirketi uyarır ve ayrıca sorun veya saldırıyla ilgili bilgileri sağlar. Bunların doğru yorumlanması ve ardından “cevap” kısmının eksiksiz yerine getirilmesi gerekiyor. Pek çok şirket için sorun da tam olarak burada yatıyor, çünkü ellerinde uzman yok. MDR'de işler farklı yürüyor: Tespit edildikten sonra saldırganların ağdan uzaklaştırılması ve açıkların kapatılması gerekiyor. Bu, güvenlik ekosistemindeki başka bir önemli bileşen aracılığıyla otomatik olarak yapılır: MDR (Yönetilen Tespit ve Yanıt Hizmetleri). MDR hizmetleri, daha önce tespit edilemeyen bir saldırganın şirket ağında olabileceği konusunda NDR çözümü tarafından otomatik olarak bilgilendirilir.
Bu bilgi üzerine Sophos'un MDR Güvenlik Operasyon Merkezi ekibi hemen harekete geçerek NDR raporunu araştırır ve saldırganları ortadan kaldırır. Aynı zamanda adli tıp uzmanları, kötü amaçlı yazılım kalıntılarını keşfetmek veya ağdaki haklardaki manipülasyonları ve değişiklikleri tespit edip düzeltmek için saldırının yollarını araştırıyor. Yalnızca böyle bir olaylar zincirinin hassas bir şekilde işlenmesi bir saldırıya karşı mükemmel bir yanıttır."
B2B Siber Güvenlik: Bir NDR'nin özellikleri nelerdir?
Michael Veit, Sophos: “NDR teknolojileri, bir şirkete normalde karanlık olan bir ağa bol miktarda ışık getiriyor. Bu, bir uç nokta sensörüyle tam olarak yönetilemeyen yasal IoT veya OT cihazları da dahil olmak üzere bilinmeyen veya korumasız ağ cihazlarının belirlenmesine yardımcı olur. Bunlar arasında örneğin ağdaki IoT cihazları, yazıcılar veya güncel olmayan sistemler yer alır. Unutulan ve bu nedenle BT güvenliği tarafından dikkate alınmayan ve korunmayan ağ cihazları da bilgisayar korsanları arasında popülerdir. NDR, bu tür cihazları bir saldırıya işaret edebilecek şüpheli veya kötü amaçlı davranışlara karşı tanımlar ve izler.
Ayrıca ağa dahil edilen ve halihazırda ele geçirilmiş veya bir saldırı başlatmak için kullanılmış olabilecek yetkisiz varlıklar da Sophos NDR tarafından kolayca tespit edilip izlenebiliyor."
B2B Siber Güvenlik: Sophos NDR en modern saldırıları da tespit edebiliyor mu?
Michael Veit, Sophos: "Bu çok ilginç bir nokta. Çözüm aynı zamanda daha önce görülmemiş Komuta ve Kontrol (C2) faaliyetlerini de tespit ediyor. Çünkü birçok saldırı ve güvenlik ihlali uzaktan kontrol ediliyor. İlk bakışta saldırgan ile ağ içindeki uzak süreçleri arasındaki bazı iletişimler meşru görünmektedir. NDR, yeni sıfır gün C2 etkinliklerini tespit edebilir ve böylece hedefe yönelik, son derece uzmanlaşmış saldırıları erken bir aşamada tespit edebilir.
Çözümün bir diğer özelliği de şüpheli ağ trafiği akışlarının erken tespitidir. Sophos olağandışı trafik düzenlerini bile tespit edebiliyor ve böylece bilinen kötü amaçlı yazılımların oluşturduğu zararlı trafiği bile tespit edebiliyor. Bir örnek: Sophos, QBot veya Qakbot'un trafik modelini analiz etti ve bunu şüpheli ağ trafiği akışlarıyla karşılaştırdı. QBot'un saldırısı da bu şekilde tespit edildi. Arkasındaki teknoloji: Sophos NDR EPA (Şifrelenmiş Yük Analizi) modeli, paket akışlarını görüntülere dönüştürür ve görüntünün bir Qakbot veri akışından veya başka bir kötü amaçlı yazılım ailesinden (ör. Bumblebee, Cobalt Strike, Emotet, Dridex) beklediğimizle eşleşip eşleşmediğini belirlemek için bir sinir ağı kullanıyor."
Daha fazlası Sophos.com'da
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.