Arama Yapın

Aramak istediğiniz kelimeyi boşluğa yazıp arama butonuna basın.

Kaspersky ile “Gri Alandaki Saldırılar” Artık Gri Değil!

E-Data Teknoloji

  • Anasayfa
  • Kaspersky ile “Gri Alandaki Saldırılar” Artık Gri Değil!

Kaspersky ile “Gri Alandaki Saldırılar” Artık Gri Değil!

17 / Eylül / 20

Günümüzde, modern Uç Nokta Koruma (EPP) platformlarından beklentiler artık daha da yükselmiş durumda. Kaspersky, Endpoint Security çözümü üzerinde kullandığı KSN (Kaspersky Security Network) yaklaşımı ile uç noktalara yapılacak olan saldırıların yüzde 90’ını tespit edebilmekte.

Kaspersky, artık gri alanda kalan saldırılar diye nitelendirebileceğimiz yani detaylı olarak incelenmeden, kaynağını deşifre etmeden ve özellikle hangi sistemlerde çalıştığını görüntülenmeden tespit edilemeyen saldırılara gözünü dikmiş durumda.

Peki Kaspersky EDR bunu nasıl yapıyor? Gelin birlikte bakalım.

● Merkezi Veri Toplama
Uç noktalarda gerçekleşen tüm işlemleri zararlı bir işlem olsun veya olmasın, merkezi sunucuda toplar. Bunun sebebi ise zararsız görünen bir işlemin aslında arka planda bir saldırının başlamasına sebep olabilmesidir. Daha sonra toplanan bu işlemler üzerinde şüphe taşıyan işlemleri tespit ederek sistem yöneticisine sunar. Burada kök neden analizleri ve değişim analizleri gibi birçok yöntemin devreye girmesinin yanında, Kaspersky’nin kendi içerisinde tespit etmiş olduğu hedefli saldırıların yer aldığı geniş veri tabanı büyük bir rol oynuyor. Ek olarak, burada büyük bir avantaj olarak nitelendirebileceğimiz nokta ise aslında başlıkta yer almakta; “Merkezi” Veri Toplama. KEDR (Kaspersky EDR) uç noktadaki işlemleri merkezi sunucuda toplayarak, saldırganın, saldırıyı gerçekleştirdikten sonra izlerini silse veya uç noktayı kullanılamaz hale getirse bile tespitini gerçekleştirebilir. Yani, yönetici istediği zaman ara yüz üzerinden bu işlemler özelinde çeşitli filtremeler yaparak spesifik işlemleri görüntüleyebilir. Son olarak fark yaratan bir noktası olarak gördüğüm özelliği ise, tespit edilen zararlı bir sürecin veya dosyanın öncesinde ve sonrasında çalışan parametrelerin ve süreçlerin detaylı bir haritasını kullanıcıya sunabilmesi (ekran görüntüsü 1.1). Bu durumda, güvenlik yöneticilerinin zararlı dosya özelinde daha kalıcı ve etkili bir çözüm üretmesini kolaylaştırıyor.

●Olay Müdahalesi

Son kısımda artık analizi yapılmış zararlı dosyaya veya sürece karşı alınacak aksiyonları belirliyoruz. KEDR’in bu noktada da farkını ortaya koyduğunu net biçimde söyleyebiliriz. Özellikle tespit edilen zararlının ağdaki diğer uç noktalara veya diğer ağlara yayılması senaryolarında alınabilecek “izole et” aksiyonu etkili bir çözüm sunmakta. Ağdan izole edilen uç noktada sadece EDR aracısının erişebileceği filtremeler yapılabilmekte. İzole etme aksiyonunun yanında, uzaktan dosya silme, uzaktan dosyayı çekip analiz etme, süreci durdurma, karantinaya alma ve bu uç noktada script ya da komut çalıştırma gibi aksiyonlar alınabilmekte. Bunların yanında, önleme kuralları ile daha önce tespiti yapılmış zararlının gelecekte tekrar çalışmasını engelleme olanağı sağlıyor. Yine aynı zamanda, KEDR ile birlikte gelen sandbox aracı, şüphe duyulan dosyaları, yazılımları çeşitli Windows işletim sistemleri üzerinde çalıştırarak dosya hakkında çok daha net bir bilgiye sahip olunmasını sağlıyor.

Kaspersky, EDR çözümünün sistemlere nasıl uygulanabileceği konusunda bize 3 seçenek
sunuyor. Bunlar şöyle:

● Halihazırda Kaspersky kullanan kullanıcılar için ek bir ajan gerektirmeden, arka planda EDR sunucusunu aktive ederek ve gerekli sürüm güncellemelerini gerektirerek kullanım şansı sağlıyor. Bu sayede kolay ve zahmetsiz bir geçiş süreci sağlanabiliyor.

● Sisteminde halihazırda başka bir uç nokta güvenliği kullanan kullanıcılar için ise, birçok uç nokta güvenlik çözümüyle uyumlu çalışabilen bir EDR ajanı seçeneği sunuluyor.

● Son seçenekte ise ağ seviyesinde koruma sağlamak isteyen kullanıcılar düşünülmüş. Bu tür isteklerde Kaspersky, kendi Anti-APT çözümü olan KATA’yı arka planda kullanım olanağı sağlıyor.

Özetle KEDR, kullanıcılarına uç nokta güvenliği çözümlerinin sağladığı güvenlik prensipleri dışında, hareketleri ve süreçleri dikkatlice takip edilmesi gereken zararlılara karşı etkili bir çözüm sunuyor. Fakat şunu da belirtmeden geçmeyelim: Kaspersky EDR çözümü hali hazırda kullandığınız KES (Kaspersky Endpoint Security) sisteminin yerini alacak bir çözüm değil (resim 1.2). Kullandığınız uç nokta güvenlik çözümünün yanında bütünleşmiş bir şekilde çalışması çok daha mantıklı ve tavsiye edilen yöntem. Ek olarak, bir güvenlik yöneticisinin sürekli takip etmesi ve çözümün sağladığı alarmlara ve bildirimlere göre sistem üzerinde müdahaleler yapmasını gerektirmedir.

 

Referanslar:

https://www.kaspersky.com/enterprise-security/mitre/edr-mapping

https://me-en.kaspersky.com/enterprise-security/endpoint-detection-response-edr

https://www.kaspersky.com.tr/enterprise-security/endpoint-detection-response-edr

https://www.gartner.com/en/documents/3979316/solution-criteria-for-endpoint-protection-platforms

 

Mehmet Demir

Satış Destek Mühendisi