Ağ Tespit ve Müdahale (NDR) nedir?
Ağ tespit ve müdahale (NDR), anormallikleri belirlemek ve diğer güvenlik önlemlerinin gözden kaçırabileceği tehditlere yanıt vermek için gelişmiş siber güvenlik teknolojileri ve metodolojilerinin bir kombinasyonunu kullanır.
NDR neden gereklidir?
Güvenlik operasyon merkezi (SOC) ekipleri, kuruluşlarını siber tehditlere karşı korumak için yoğun baskı altındadır. Bu tehditler gelişmeye ve çoğalmaya devam ederken, ağ giderek daha sınırsız hale geliyor ve başa çıkılması gereken daha büyük ve daha karmaşık bir saldırı yüzeyi yaratıyor. Pandemi döneminden bu yana uzaktan ve hibrit çalışmadaki artış buna önemli ölçüde katkıda bulundu; McKinsey, ABD işgücünün en az %58'inin halihazırda uzaktan çalıştığını tahmin ediyor.
Genişleyen ağ içinde çok sayıda yönetilmeyen varlık vardır: güvenlik aracıları yüklü olmayan veya güvenlik ayarları yanlış yapılandırılmış ya da güncel olmayan cihazlar. Bazı tahminlere göre, yönetilmeyen varlıklar yönetilen varlıklardan 2:1 daha fazla olabilir.
Yönetilmeyen varlıklara yama yapmak zordur. Ayrıca, güvenlik açıkları için nadiren taranırlar ve hiç taranamayabilirler. Özellikle eski cihazlarda üreticiler güvenlik güncellemelerini yayınlamakta yavaş kalabiliyor. BT ekiplerinin bu cihazları yükseltmesi için öncelikle yeniden dağıtmaları veya lisans eklemeleri gerekebilir; bu da, bu cihazlar bir güvenlik yükümlülüğünü temsil etse bile, haklı gösterilmesi kolay olmayan çaba ve maliyetler gerektirir.
Tüm bu nedenlerden dolayı siber suçlular yönetilmeyen cihazlara yönelmektedir. Mükemmel saklanma yerleri sunar ve çevredeki kaynaklarla hayatta kalma fırsatları sağlar. Saldırganlar, dikkat çekmeden yönetilmeyen cihazlar arasında ağda dolaşmak için tamamen meşru, yetkili araçlar kullanabilir, haftalarca veya aylarca gizlenebilir.
Genişletilmiş tespit ve müdahale (EDR), kimlik tehdidi tespiti ve müdahalesi (ITDR) ve saldırı yüzeyi yönetimi (ASM) gibi güvenlik teknolojileri ve yaklaşımları, yönetilmeyen varlıklarda gizlenen tehditleri bulmak veya ağ trafiğinin içini görmek için tasarlanmamıştır. NDR bu boşluğu doldurarak, aksi takdirde gözden kaçabilecek tehditlerin neden olduğu ince anormallikleri bile ortaya çıkarır ve ilişkilendirir.
Security technologies and approaches such as extended detection and response (EDR), identity threat detection and response (ITDR) and attack surface management (ASM) aren’t designed to find threats lurking in unmanaged assets or see inside network traffic. NDR fills that gap, exposing and correlating even subtle anomalies caused by threats that might otherwise slip through the cracks.
NDR, SOC ekipleri için hangi zorlukları çözüyor?
Bazı tahminler, dünya genelinde 2025 yılına kadar 18 milyardan fazla cihazın kullanımda olacağını gösteriyor. Bu cihazların küçük bir yüzdesi yönetilmiyor olsa bile, güvenlik etkileri çok büyük olacaktır. Günümüzde çok az SOC ekibi tüm saldırı yüzeyinde veya her bir uç noktada, özellikle de yönetilmeyen varlıklarda görünürlüğe sahiptir. Ulaşamadığınız yeri savunmak zordur ve göremediğiniz şeyi yönetmek imkansızdır.
SOC'ler de uyarılarla boğulmuş durumdadır, bu da çok sayıda yanlış alarm ve kaçırılan saldırılara yol açar. Bu tufanla bile, olayları tam olarak anlamak için ihtiyaç duydukları verilerden genellikle yoksundurlar. Çok fazla gürültü var ve çok az doğru, kesin, eyleme geçirilebilir bilgi var.
NDR, ağ trafiğini ve ağ içindeki cihaz davranışlarını izleyerek bu zorlukların üstesinden gelir. Yönetilmeyen bir cihazın etrafındaki herhangi bir etkinlik, cihazın kendisi karanlık olsa bile tespit edilebilir, analiz edilebilir ve anormal olduğu belirlenebilir. Ve NDR'nin korelasyon yetenekleri, meşru potansiyel tehditler ile zararsız faaliyetler arasında daha kesin bir ayrım yapmak için kalıpları eleme ve noktaları birleştirme işini yapar.
Etkili bir NDR çözümü ile SOC ekipleri ağdaki yönetilmeyen varlıkları keşfedebilir ve tehditlere kilitlenmek ve saldırganların kökünü kazımak için aksi takdirde 'zayıf sinyaller' olacak şeyleri tespit edip ilişkilendirebilir. Zayıf sinyaller esasen düşük güvenirlikli uyarılar veya bir saldırının mevcut olup olmadığını bilmek için yeterli bilginin olmadığı olaylardır.
Karmaşık, çok katmanlı saldırılar, ağın farklı katmanlarında aşamalı hareketlerle kendilerini gizleyebildiklerinden -ki bunlardan hiçbiri siber güvenlik müdahalesini haklı çıkarmak için tek başına yeterli kanıt değildir. Diğer güvenlik teknolojileri ve çerçeveleri bunları gözden kaçırabilir. Katmanlar arası korelasyona sahip NDR, olumlu bir değerlendirme sunmak için parçaları bir araya getirebilir.
Saldırıyı baştan sona tekrar izleyin
NDR, SOC ekiplerine, şüpheli veya başka türlü tüm trafikten ağ meta verilerini çıkararak ağda neler olup bittiğine dair daha fazla görünürlük sağlar. Bu meta veriler potansiyel tehditlerle ilişkilendirilerek SOC ekiplerine bir saldırının ayak izini görselleştirmenin bir yolunu sunar. Tüm saldırı zincirlerini görebilir, kök nedenleri belirleyebilir ve tüm güvenlik yığını boyunca bir olayın tam kapsamını belirleyebilirler.
NDR ayrıca, üçüncü taraf tarama araçlarının çıktılarının uzman güvenlik bilgisiyle buluşabileceği bir platform sağlayarak gizli güvenlik açıklarını ortaya çıkarmanın bir yolunu sunar, böylece potansiyel zayıflıklar kötüye kullanılmadan önce önleyici olarak yamanır.
Özellikle EDR, ITDM ve ASM gibi diğer güvenlik çözümleriyle birlikte kullanıldığında tüm bunlar, daha hızlı tespit süresi, daha düşük maliyetler ve daha az yanlış pozitif ile neredeyse gerçek zamanlı eylem sağlar.
Bir NDR çözümünün bileşenleri nelerdir?
NDR, ayrıntılı paket denetimi, davranışsal analitik ve makine öğrenimi kullanarak ağ trafiğinin sürekli izlenmesini ve analiz edilmesini sağlar. Maksimum etkinlik için tehdit istihbarat kaynaklarıyla entegre olarak anormallikleri tespit eder ve potansiyel tehditleri tanımlar. NDR, gerçek zamanlı izlemeyi otomatik müdahale ve azaltma ile birleştirerek SOC ekiplerinin sofistike siber tehditlere karşı proaktif bir şekilde savunma yapmasını ve güvenlik olaylarının potansiyel etkisini en aza indirmesini mümkün kılar.
Bu işlevleri yerine getirmek için NDR'nin birbiriyle ilişkili kapsamlı bir dizi yeteneğe ihtiyacı vardır. Bunlar arasında şunlar yer alır:
- Anormalliklerin öne çıkması ve tespitin belirli imzalar aramak yerine davranışsal temelde yapılabilmesi için ağ trafiğini modelleme yeteneği. Bunun için makine öğrenimi ve gelişmiş analitik gerekir.
- SOC ekiplerinin elde ettikleri sonuçlara güvenebilmeleri için çözüm uygun şekilde ayarlandıktan sonra güvenilir şekilde düşük bir yanlış pozitif oranı.
- Uyarıları Gartner'ın “yapılandırılmış olaylar” olarak adlandırdığı şekilde bir araya getirme ve ilişkilendirme kapasitesi, güvenlik uzmanlarının tehditleri araştırmasını kolaylaştırır.
- Otomatik müdahalelerle tehditleri kontrol altına alma veya engelleme becerisi.
Ağ tespit ve müdahale çözümlerinin, ağlar genişledikçe ve ağlara daha fazla cihaz bağlandıkça ölçeklenebilmesi ve tutarlı, güvenilir performans sunabilmesi de gerekir. İdeal olarak, NDR çözümünün zaman içinde daha doğru ve etkili hale gelebilmesi için sürekli iyileştirme için de bir miktar kapasite oluşturulmalıdır.
NDR hangi ek yeteneklere ihtiyaç duyabilir?
Gartner ve Forrester gibi siber güvenlik analist firmaları, yukarıda özetlenen temel yeteneklere ek olarak, NDR çözümlerinin gerekli korumanın tam kapsamını geliştirmek için başka özelliklere de ihtiyaç duyduğunu öne sürmüşlerdir.
Bu gelişmiş yetenekler şunları içerir:
- Ağ trafiği şifre çözme. Trafik düzenlerini analiz etmek önemlidir, ancak bu trafiğin ne içerdiğini görmek siber güvenliği sağlamada çok daha fazlasını ifade eder. Bununla birlikte, günümüz ağ trafiğinin önemli bir kısmı, web trafiğinin neredeyse tamamı (%95) gibi şifrelidir. Bu, ağdaki varlıklar arasında şüpheli bir yanal hareket tespit edilse bile, şifre çözme olmadan SOC ekiplerinin trafiğin ne içerdiğini veya gerçekten zararlı olup olmadığını bilemeyeceği anlamına gelir.
- Katmanlar arası korelasyon. Ağın tek bir katmanındaki anormal davranışları ilişkilendirme yeteneği inkar edilemez derecede faydalıdır, ancak yine de aşırı sayıda uyarı veya yanlış pozitifler üretebilir. Birden fazla katmandan gelen verileri ilişkilendirebilen bir NDR çözümünün gerçek tehditleri izole etme ve SOC ekiplerinin ele alınması gerektiğine güvenebileceği anlamlı uyarıları tetikleme şansı çok daha yüksektir.
- Sıfır güven yaklaşımları için destek. Sıfır güven, kurumsal varlıklara ve kaynaklara erişimi sınırlandırmak, maksimum dikkatle ihlalleri ve saldırıları önlemek için günümüzün en iyi çerçevesidir. Sıfır güven yaklaşımını ağ algılama ve yanıtlama ile birleştirmek, anormal davranışları daha belirgin hale getirir ve tehditlerin daha hızlı tespit edilmesine yardımcı olur.
- SOC analist deneyimini önceliklendirme. Bu niceliksel olmaktan çok niteliksel bir özelliktir, ancak her açıdan (hatta daha da fazla) önemlidir. SOC ekiplerinin üzerindeki stres, her gün ilgilendikleri uyarıların hacmi ve bir şeyleri yanlış yapmanın potansiyel sonuçları göz önüne alındığında, SOC'deki hayatı kolaylaştıran bir NDR çözümü sunmanın değeri yüksektir ve kullanılma şansı çok daha fazladır.
Trend Micro'nun NDR'ye yaklaşımı nedir?
Trend, güçlü korelasyonlar ve zengin bağlam ile yüksek doğrulukta tespitler sağlamak için güvenlik vektörlerinden gelen yerel telemetriyi kullanır. Trend'in NDR yaklaşımı, SOC'lerin gelecekteki saldırıları önlemek için üçüncü taraf çözümler ve güvenlik düzenleme, otomasyon ve yanıt (SOAR) platformlarıyla birlikte çalışırken otomatik düzeltmeyi dahil etmelerine olanak tanır.
Trend'in NDR teknolojisi, hem yönetilmeyen hem de yönetilen cihazlarla ilişkili riskleri tanımlar; anormallikleri tespit eder ve bir tehdide işaret edebilecek zayıf kalıpları bile seçmek için davranış modellemesi yapar.
Birçok NDR çözümü neredeyse yalnızca yapay zeka, makine öğrenimi ve anomali tespitine dayanırken, Trend ayrıca 35 yılı aşkın tehdit istihbaratının yanı sıra son derece düşük yanlış pozitif oranlarla tehditleri ortaya çıktığı anda doğru bir şekilde tespit etmek için son derece gelişmiş davranışsal analizleri de bünyesinde barındırıyor.
NDR, bir kuruluşun siber güvenlik araç setine önemli bir ektir ve ağ güvenlik açıklarını kapatmak ve tam teşekküllü XDR sağlamak için EDR, ITDR ve ASM'yi tamamlar. Trend, NDR için temel gereksinimleri ve kapsamlı ve güvenilir bir ağ algılama ve yanıt çözümü için önde gelen siber güvenlik analistleri tarafından belirlenen ek yetenek gereksinimlerini karşılar.