Endpoint Detection and Response (EDR) güvenliği gelişmekte olan bir teknolojidir. Terim, şüpheli etkinlikleri ve sunucu ve uç noktalar üzerindeki sorunları tespit etmeye, araştırmaya ve azaltmaya odaklanan bir araç ve çözüm kategorisini tanımlar..
EDR yani uç nokta güvenlik izleme çözümleri, uç noktalarda daha zengin davranış temelli anormal durum tespiti ve görünürlük için geleneksel imza tabanlı teknolojileri desteklemektedir. Katmanlı network ve güvenlik yapılarının kurumları yeteri kadar korumadığı artık tüm firmalar tarafından anlaşılmış durumdadır. Gelişmiş kalıcı tehditler (APT) ve özelleştirilmiş hedefe yönelik kötü amaçlı yazılım saldırısı araçları, geleneksel imza tabanlı antivirüs çözümlerini bypass edebiliyor.
Uç Nokta (EndPoint) Güvenlik İzleme Hizmeti
Gerekli olan güvenlik önlemlerini aldıktan sonra, firmaların yoğunlaşmaları gereken alan çalışanları için “Farkındalık” olmaya başladı. Eğer kurum içi ağınızda (network) neler olup bittiğini göremiyorsanız, “Göremediğiniz noktaları yönetemezsiniz” ve başınıza gelecek olan tehlikeleri de çok geç olduğunda fark edebilirsiniz.
Son kullanıcı ağınızda ve sunucularınızda, bir saldırganın yapabileceği davranışları tanımlayıp, bu tanımları alarm haline getirebileceğiniz bir yazılım mevcut: Carbon Black Response
Aşağıdaki soruların en az birine evet diyorsanız Carbon Black Response ürününe ihtiyacınız var demektir!
- SOC ekibiniz var mı?
- Incident Response (IR) çalışmalarınızı kendi bünyenizde mi yürütüyorsunuz?
- SOC ekibiniz için veya IR çalışmalarınız için Bulut’ta (Cloud) veya Veri Merkezinizde (Data Center) bir araç arayışınız var mı?
- Güvenlik ihlalleri olduğunda kök sebebini (root cause) bulmak için çok mu uğraşıyorsunuz?
- Güvenlik ihlali durumunda, son kullanıcı cihazlarınızı uzaktan veya ilgili networkten izole edip incelemek ister misiniz?
Sınırsız Ölçek
Bir kuruluş yüz binlerce uç noktaya sahip ve denetliyor olabilir, ancak bir saldırganın yalnızca bu uç noktalardan herhangi birini ihlal etmesi sisteme sızması için yeterli olacaktır. Gelişmiş atakları günümüz güvenlik çözümleri ile maalesef ki %100 engelleyemiyoruz. Saldırganı fark etmek ve kurum ağınızda ne yaptığını görebilmek için tüm kuruluşunuz da ölçeklendirebileceğiniz bir çözüme ihtiyacınız var.
- CB Response, devamlı ve merkezi bir kayıt sistemi sunar. Böylece geçmişe dönük olarak araştırma yapabilirsiniz.
- CB firmasının ve diğer intelligence servislerinin yeteneklerinden yararlanırsınız.
- Son kullanıcı üzerinde minimum etki ve düşük kaynak kullanımıyla kullanıcılarınızın işini kesintiye uğratmadan güvenliği sağlayabilirsiniz.
Filtresiz Görünürlük
Genellikle 78 saat süren soruşturmalar, 15 dakika gibi kısa bir sürede tamamlanabilir. Cb Response, son kullanıcı cihazlarında meydana gelen olaylar hakkında kapsamlı bilgi toplar. Olayların yanıtları ve cihazda meydana gelen değişiklikler (örneğin; registry değişiklikleri, çalıştırılan komutlar, indirilen dosyalar gibi…) konusunda net bir fikir verir.
- Çevrimdışı olsa bile, her son kullanıcı cihazına ait eksiksiz veri kaydına tam erişim sağlar.
- Saldırının her aşamasında kolay takip edilen saldırı zinciri görselleştirmeleri ile neler olduğunu görebilirsiniz.
- Savunmanızdaki boşlukları hızlıca çözmek için kök nedenini açığa çıkarabilirsiniz.
Proaktif Olun
Ortalama bir güvenlik ihlalin keşfedilmesi 150 gün kadar sürmektedir. Hatta saldırganların 1-2 sene işlerini yapmadan önce bekledikleri müşteri deneyimlerine de sahibiz. Log ve alarm mekanizmaları düzgün kurgulanmadığında yeterli ve deneyimli personel olmadığında saldırganın içeride olduğunu fark etmek güçleştiği gibi neler olduğunu bulmak da samanlıkta iğne aramak gibi zor bir hale gelebilir. CB Response ile başınıza bir siber olay geldikten sonra ne olayı araştırabileceğiniz gibi, proaktif olup daha önce öğrenilmiş ihlal göstergelerini (IoC – Indicatorof Compromised) kurgulayarak saldırganın işini zorlaştırabilirsiniz.
- Ataklar için Proaktifve iteratif arama ile tehditleri tespit edebilir, zaman çizelgeleri çıkarabilir, ve görselleştirebilirsiniz.
- Şüpheli davranışları otomatik olarak algılamakta ortamınız için tehdit istihbaratını kullanabilirsiniz. (YARA, NIST, STIX/TAXII , iSIGHT, gibi…)
- Açık API’ler ve kullanıma hazır paket entegrasyonları aracılığıyla ağ, uç nokta ve SIEM (QRadar, Splunk ile doğal entegrasyonu mevcut, diğer SIEM çözümleri içinevent forwarder kullanılabiliyor.) verilerini ilişkilendirebilirsiniz.
Gerçek Zamanlı Yanıt
Bir saldırgan ortamınızı bir saat ya da daha kısa bir süre içinde tehlikeye atabilir. Cb Response, size gerçek zamanlı olarak yanıt verme ve çözme, aktif saldırıları durdurma ve hasarı hızlı bir şekilde tamir etme gücü verir.
- Yatay hareketi önlemek ve zararlı dosyaları kaldırmak için enfekte sistemleri izole edin.
- “Live Response” ile herhangi bir uç noktaya güvenli erişim sağlayın.
- Olay sonrası soruşturma için ayrıntılı adli verileri otomatik olarak toplayın ve depolayın.
Örnek CB Response Sorguları
Eğer CB Response kullanıcısı iseniz aşağıdakisorgu örneklerinden yararlanabilirsiniz. İsterseniz Mitre’nin Att@ck framework ünübaz alarak watchlist leri kurgulayabilirsiniz.
Newly installed application
q=-path: C:\windows\*&cb.q.regmod= registry\machine\ software\microsoft\ windows\currentversion \uninstall&cb.urlver=1
Netconns to .cn or .ru
q=domain:.cn or domain:.ru&cb.urlver=1
New unsigned binaries
q=cb.urlver=1&rows=10&facet=false&cb.query_source=ui&start=0&q=digsig_result:unsigned
USB drive usage
q=regmod: registry\machine\ system\currentcontrolset\ control\deviceclasses\ {53f5630d-b6bf-11d0-94f2-00a0c91efb8b} \* or regmod: registry\machine\ currentcontrolset\control\ deviceclasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b} \ *&cb.urlver=1
Word Documents launching .vbs scripts
parent_name: winword.exe AND process_name:cmd.exe AND childproc_name:wscript.exe
nmap execution
process_name:nmap.exe
Unsigned file with network connections
netconn_count:[1 TO *] digsig_result:”Unsigned”
Watchlist oluşturmak tecrübe ve bilgi gereksiminden daha fazlasına ihtiyacınız varsa ya da ürünün yeteneklerini görmeki sterseniz (PoC), ürünü satın aldınız fakat yönetmekte zorluk yaşıyorsanız bizimle iletişime geçerek detaylı bilgi veya sağdaki formu doldurarak fiyat teklifi alabilirsiniz.