Uç Nokta (EndPoint) Güvenlik İzleme Hizmeti

Endpoint Detection and Response (EDR) güvenliği gelişmekte olan bir teknolojidir. Terim, şüpheli etkinlikleri ve sunucu ve uç noktalar üzerindeki sorunları tespit etmeye, araştırmaya ve azaltmaya odaklanan bir araç ve çözüm kategorisini tanımlar..

Uç nokta endpoint güvenliği carbon black

EDR yani uç nokta güvenlik izleme çözümleri, uç noktalarda daha zengin davranış temelli anormal durum tespiti ve görünürlük için geleneksel imza tabanlı teknolojileri desteklemektedir. Katmanlı network ve güvenlik yapılarının kurumları yeteri kadar korumadığı artık tüm firmalar tarafından anlaşılmış durumdadır. Gelişmiş kalıcı tehditler (APT) ve özelleştirilmiş hedefe yönelik kötü amaçlı yazılım saldırısı araçları, geleneksel imza tabanlı antivirüs çözümlerini bypass edebiliyor.

Uç Nokta (EndPoint) Güvenlik İzleme Hizmeti

Gerekli olan güvenlik önlemlerini aldıktan sonra, firmaların yoğunlaşmaları gereken alan çalışanları için “Farkındalık” olmaya başladı. Eğer kurum içi ağınızda (network) neler olup bittiğini göremiyorsanız, “Göremediğiniz noktaları yönetemezsiniz” ve başınıza gelecek olan tehlikeleri de çok geç olduğunda fark edebilirsiniz.

Son kullanıcı ağınızda ve sunucularınızda, bir saldırganın yapabileceği davranışları tanımlayıp, bu tanımları alarm haline getirebileceğiniz bir yazılım mevcut: Carbon Black Response

Aşağıdaki soruların en az birine evet diyorsanız Carbon Black Response ürününe ihtiyacınız var demektir!

  1. SOC ekibiniz var mı?
  2. Incident Response (IR) çalışmalarınızı kendi bünyenizde mi yürütüyorsunuz?
  3. SOC ekibiniz için veya IR çalışmalarınız için Bulut’ta (Cloud) veya Veri Merkezinizde (Data Center) bir araç arayışınız var mı?
  4. Güvenlik ihlalleri olduğunda kök sebebini (root cause) bulmak için çok mu uğraşıyorsunuz?
  5. Güvenlik ihlali durumunda, son kullanıcı cihazlarınızı uzaktan veya ilgili networkten izole edip incelemek ister misiniz?

Sınırsız Ölçek

Bir kuruluş yüz binlerce uç noktaya sahip ve denetliyor olabilir, ancak bir saldırganın yalnızca bu uç noktalardan herhangi birini ihlal etmesi sisteme sızması için yeterli olacaktır. Gelişmiş atakları günümüz güvenlik çözümleri ile maalesef ki %100 engelleyemiyoruz. Saldırganı fark etmek ve kurum ağınızda ne yaptığını görebilmek için tüm kuruluşunuz da ölçeklendirebileceğiniz bir çözüme ihtiyacınız var.

  • CB Response, devamlı ve merkezi bir kayıt sistemi sunar. Böylece geçmişe dönük olarak araştırma yapabilirsiniz.
  • CB firmasının ve diğer intelligence servislerinin yeteneklerinden yararlanırsınız.
  • Son kullanıcı üzerinde minimum etki ve düşük kaynak kullanımıyla kullanıcılarınızın işini kesintiye uğratmadan güvenliği sağlayabilirsiniz.

Filtresiz Görünürlük

Genellikle 78 saat süren soruşturmalar, 15 dakika gibi kısa bir sürede tamamlanabilir. Cb Response, son kullanıcı cihazlarında meydana gelen olaylar hakkında kapsamlı bilgi toplar. Olayların yanıtları ve cihazda meydana gelen değişiklikler (örneğin; registry değişiklikleri, çalıştırılan komutlar, indirilen dosyalar gibi…) konusunda net bir fikir verir.

  • Çevrimdışı olsa bile, her son kullanıcı cihazına ait eksiksiz veri kaydına tam erişim sağlar.
  • Saldırının her aşamasında kolay takip edilen saldırı zinciri görselleştirmeleri ile neler olduğunu görebilirsiniz.
  • Savunmanızdaki boşlukları hızlıca çözmek için kök nedenini açığa çıkarabilirsiniz.

Proaktif Olun

Ortalama bir güvenlik ihlalin keşfedilmesi 150 gün kadar sürmektedir. Hatta saldırganların 1-2 sene işlerini yapmadan önce bekledikleri müşteri deneyimlerine de sahibiz. Log ve alarm mekanizmaları düzgün kurgulanmadığında yeterli ve deneyimli personel olmadığında saldırganın içeride olduğunu fark etmek güçleştiği gibi neler olduğunu bulmak da samanlıkta iğne aramak gibi zor bir hale gelebilir. CB Response ile başınıza bir siber olay geldikten sonra ne olayı araştırabileceğiniz gibi, proaktif olup daha önce öğrenilmiş ihlal göstergelerini (IoC – Indicatorof Compromised) kurgulayarak saldırganın işini zorlaştırabilirsiniz.

  • Ataklar için Proaktifve iteratif arama ile tehditleri tespit edebilir, zaman çizelgeleri çıkarabilir, ve görselleştirebilirsiniz.
  • Şüpheli davranışları otomatik olarak algılamakta ortamınız için tehdit istihbaratını kullanabilirsiniz. (YARA, NIST, STIX/TAXII , iSIGHT, gibi…)
  • Açık API’ler ve kullanıma hazır paket entegrasyonları aracılığıyla ağ, uç nokta ve SIEM (QRadar, Splunk ile doğal entegrasyonu mevcut, diğer SIEM çözümleri içinevent forwarder kullanılabiliyor.) verilerini ilişkilendirebilirsiniz.

Gerçek Zamanlı Yanıt

Bir saldırgan ortamınızı bir saat ya da daha kısa bir süre içinde tehlikeye atabilir. Cb Response, size gerçek zamanlı olarak yanıt verme ve çözme, aktif saldırıları durdurma ve hasarı hızlı bir şekilde tamir etme gücü verir.

  • Yatay hareketi önlemek ve zararlı dosyaları kaldırmak için enfekte sistemleri izole edin.
  • “Live Response” ile herhangi bir uç noktaya güvenli erişim sağlayın.
  • Olay sonrası soruşturma için ayrıntılı adli verileri otomatik olarak toplayın ve depolayın.

Örnek CB Response Sorguları

Eğer CB Response kullanıcısı iseniz aşağıdakisorgu örneklerinden yararlanabilirsiniz. İsterseniz Mitre’nin Att@ck framework ünübaz alarak watchlist leri kurgulayabilirsiniz.

Newly installed application

q=-path: C:\windows\*&cb.q.regmod= registry\machine\ software\microsoft\ windows\currentversion \uninstall&cb.urlver=1

Netconns to .cn or .ru

q=domain:.cn or domain:.ru&cb.urlver=1

New unsigned binaries

q=cb.urlver=1&rows=10&facet=false&cb.query_source=ui&start=0&q=digsig_result:unsigned

USB drive usage

q=regmod: registry\machine\ system\currentcontrolset\ control\deviceclasses\ {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} \* or regmod: registry\machine\ currentcontrolset\control\ deviceclasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b} \ *&cb.urlver=1

Word Documents launching .vbs scripts

parent_name: winword.exe AND process_name:cmd.exe AND childproc_name:wscript.exe

nmap execution

process_name:nmap.exe

Unsigned file with network connections

netconn_count:[1 TO *] digsig_result:”Unsigned”

Watchlist oluşturmak tecrübe ve bilgi gereksiminden daha fazlasına ihtiyacınız varsa ya da ürünün yeteneklerini görmeki sterseniz (PoC), ürünü satın aldınız fakat yönetmekte zorluk yaşıyorsanız bizimle iletişime geçerek detaylı bilgi veya sağdaki formu doldurarak fiyat teklifi alabilirsiniz.

E-posta Listemize Kayıt Olarak Etkinliklerimizi Kaçırmayın!
Eğitimlerden ve etkinliklerimizi kaçırmamak için duyuru listemize üye olmayı unutmayın.
Sertifikalar
CISSP Sertifikası
SSCP Sertifikası
CCSP Sertifikası
CCNA Sertifikası
LPT Sertifikası
CISA Sertifikası
Comptia Sertifikası
CHFI Forensic Sertifikası
CEH Beyaz Şapkalı Hacker Sertifikası
PMP Sertifikası
OPST Sertifikası
EC-Council Türkiye Yetkili Eğitim ve Sınav Merkezi
EWPT Sertifikası
EWPTX Sertifikası
OSWP Sertifikası
OSCE Sertifikası
OSCP Sertifikası
OSWP Sertifikası