Neden NDR Çözümüne İhtiyacımız Var ?

Network ağı performansını ölçmek ve analiz etmek için capture edilmiş meta data verilerine dayalı yöntemlerle network trafiği incelenmekteydi.Data hacimlerinin artması ve görünürlüğün olmamasından kaynaklı network'te ayrı bir iş yükü oluşturmuştur.Dolayısı ile işin içinden çıkılamaz bir hale gelinmiştir.Siber güvenliğin temeli oluşmasında önemli bir rol oynamıştır.

İlk olarak "network traffic analysis" (NTA) fikri ortaya çıktır.SOC(Security Operation Center) 'un temellerini NTA oluşturmaktadır.Geleneksel güvenlik ürünleri daha çok IDS (Algılama Sistemlerine )ağırlık vermiştir.Bilinen tehditlerin temel varyasyonlarına odaklanan ve imza tabanlı ürünlerdir.IDS detection yaptığından herhangi block'lama yapmamaktadır.Günümüz atakların dinamik ve daha sofitike olması ile bu ürünler yetersiz kalmıştır.

Daha fazla insan kaynağına ihtiyaç duyulmaktadır.Nitelikli siber güvenlik uzmanları, güvenlik systemin merkezinde yer almaktadır. (SOC) Ancak son yıllarda görüldü ki, saldırıların karmaşıklığı ve hızı,çok iyi kurgulanmış SOC ekiplerinide devre dışı bırakabilmektedir.Burada NDR ürünleri nitelikli siber güvenlik uzmanlarına sitemlerini savunmaları konusunda yardımcı olmaktadır.

Pre-Programmed Response araçları Next-Gen firewall 'lar,anti-virus yazılımları,IPS,ve Email koruma ürünlerin genellikle imza tabanlı +(Threat Intel) koruma yöntemlerine dayalıdırlar.Gelişen saldırıları tiplerini tespit etmekte zorlanmaktadırlar.Örneğin bir zararlının network'te haftalarca aylarca kalabilmektedir.(APT) "https://www.sans.org/blog/advanced-persistent-threat-apt-and-insider-threat/" Geleneksel mimari yöntemleri ile saldırğanları tespit etmek kolay değildir.

Network detection response, saldırganların network'ünüzde araştırma yaparak, kontrolü ele geçirmek ve kendilerinin network'te kalıcılığını sağlamak için kullandıkları diğer tüm yöntem ve tekniklere derinlemesine görünürlük sağlayarak tehdit algılama ve müdahalenin temellerini oluşturmaktadır. NDR tüm bağlantı noktalarında ve protokollerde görünürlük sağlamaktadır.Network'ünüzde tespit edilen, paketlerin ve meta verilerinin gerçek zamanlı olarak analiz edillip trafiğin derinliklerine kadar iner ve dahada önemlisi geriye dönük analizi de sağlamaktadır.

Orchestration Çözümleri son yılların popular konularından birdir.Bir dizi entegrasyonlar ve iş akışlarını otomatikleştiren ve ilişkilendirmek için tasarlanmış orkestrasyon çözümlerinin farklı araçlardan oluşturulmasını sağlar. Özetle otomatize edilmiş kütüphanelerdir. Bu çözümler çok ciddi bakım gerektir.Orkestraterda bir şeyin oluşmasını beklemek yerine bir açığı kapatmak daha verimli olabilmektedir.

Günümüzde giderek daha karmaşık hale gelen davranışsal analitik; makine öğrenme; ve bulut, sanal ve şirket içi ağların yapay zekası (AI), NDR çözümlerinin omurgasını oluşturur. NDR bu teknolojileri kullanarak kuruluşların algılama yeteneklerini geliştirmelerini, bir tehdidin güvenini ve risk düzeyini belirlemelerini ve ilgili üçüncü taraf bağlamsal telemetri bilgilerinin edinilmesi ve uygulanması gibi analistler tarafından gerçekleştirilen görevleri manuel görevlerin giderek daha fazla otomatik hale getirmesini sağlamıştır. Tehditleri riske göre önceliklendirmek için standartlaştırılmış araştırmacı kütüphaneler (Playbooks), böylece stratejik olarak triyaj ve hızlı müdahaleye odaklanmalarını sağlamaktadır.

Bir network 'ü yönetmek, iyi hazırlanmış bir güvenlik planına sahip olmayı gerektirir. Network 'ünüze bir güvenlik tehdidi bulaşırsa, network 'e bağlı herhangi bir cihaza yayılabilir. Hem ağınızı hem de cihazlarınızı korumak için tehditlere birden çok açıdan cevap vermek gerekir. Birçok işletmenin dikkate almadığı bir nokta, ağınıza zaten sızmış olan ve saldırmak için doğru anı bekleyen kötü amaçlı yazılımlardır. İşte tam olarak (NDR) çözümünün devreye girdiği yer burasıdır.

NDR, ağ algılama ve yanıt verme (Detection and Response),adından da anlaşılacağı gibi, NDR çözümleri bir ağdaki güvenlik tehditlerini algılar ve bunlara yanıt verir. Neden bir ağ algılama ve yanıt çözümü kullanmalısınız ve diğer güvenlik araçlarının sağlayamadığı neyi sağlar?

Tehditleri tespit kolay değil!

Bildiğimiz geleneksel siber güvenlik çözümleri, bir sistemdeki güvenlik tehditlerini bulmaya ve BT ekibini bu konuda uyarmaya odaklanmaktadır. Sorunu teşhis etmek ve ortadan kaldırmak BT ekibine kalmıştır.Ancak, ağ güvenliğine yönelik bu yaklaşım, yalnızca bir ağa erişmeye çalışan aktif tehditler için gerçekten işe yaramaktadır. Güvenlik duvarları ve uç nokta güvenliği security cihazlar, zararlı tehdidin bir ağa girmesini engeller ancak sisteminizi zaten işgal etmiş olan zararlı verilere karşı hiçbir şey yapamamaktadır.Bu yüzden geleneksel güvenlik ürünleri bu işin bir parçasıdır tamamlayıcı değildir.Diğer bir konuda işletme ağında bulunan kötü amaçlı yazılımları ve zararlı aktörleri taraması gerekir.

Ancak sadece bu tehditleri bulmak yeterli değildir. Bir güvenlik ihlali bulmak bir şeydir; bu ihlalle hızlı ve etkili bir şekilde başa çıkmak başka bir şeydir. Güvenlik tehditleri hızla harekete geçebilir ve yayılabilir, bu nedenle işletmelerin bir tehdit bulma ile onu ortadan kaldırmak için adımlar atma arasındaki süreyi azaltması gerekir.Ağınıza buluşan bazı zararlılar aylarca hatta yıllarca verilerinizi düzenli olarak dışarıya sızdırıyor olabilir.Örneğin zararlı bulaşmış bir cihaza dns data exfiltration (https://www.sans.org/white-papers/34152/ ) yöntemi ile data sızdırıyor olabilir.

Peki (NDR) Görevi Nedir ?

Bir NDR çözümünde, tehdit arama özelliklerini otomatikleştirilmiştir.Eğer ortamda bir tehdit varsa bir aksiyon almaktadır. NDR cihazları, network 'te sürekli şüpheli ve/veya zararlı veriler için arama gerçekleştirmektedir.

Yanlış bir şey tespit ettiğinde, güvenlik tehdidinin tam olarak ne olduğunu belirlemek için sorunu anlamaya çalışır. Yapmış olduğu tanılar neticesinde, sorunu hafifletmeye yardımcı olmak için otomatikleştirilmiş görevler dağıtırken aynı anda BT ekibinizi sorun hakkında uyarır. Bu otomatik görevlerin amacı, sorunu çözmek için bir BT ekibi üyesine ihtiyaç duymadan sorunu durdurmaya çalışmaktır. Bu, bir güvenlik sorununu bulma ve çözme arasındaki süreyi azaltır ve ekibinizin diğer önemli konularla ilgilenmesini sağlar.

Network 'te NDR ile Görünürlük Sağlamak

Bir NDR çözümünün birincil yararı, NDR yazılımının network güvenliği görünürlüğünüzü iyileştirmeye yardımcı olmasıdır. Geleneksel güvenlik ürünleri ağ güvenliği çözümleri sizi şu anda network 'ünüze saldıran tehditlerden korurken, network 'ünüzde barınan kötü amaçlı yazılımlar olabilir. N

DR çözümleri, görünürlüğünüzü çevrenin ötesine taşır ve güvenliği içe doğru yoğunlaştırır. Bahsettiğimiz gibi, sadece bir şeyleri içeri girmekten korumak artık yeterli değil. Kuruluşunuz, sisteminize sızabilen ve altyapınıza saldırmak için bekleyen tehditlere cevap verebilmelidir.