Genişletilmiş tespit ve müdahale (XDR), birden çok güvenlik katmanında daha kapsamlı bir veri kaynağı yelpazesi kullanarak tespit, araştırma ve müdahale sağlar. XDR, tek bir görünümde saldırı hikayesini eksiksiz bir şekilde belirlemek ve ortaya çıkarmak için güvenlik silolarını parçalara ayırır.
XDR: Hikayenin tamamını anlatır
Tehdit tespiti söz konusu olduğunda, güvenlik operasyonları merkezi (SOC) analistinin işi, noktaları ilk sızma, yanal hareket yoluyla herhangi bir sızıntıya bağlamaktır. Bu süreç, etkinin ve gereken müdahale eylemlerinin daha hızlı anlaşılmasını sağlar.
Tek bir entegre XDR platformuna ne kadar çok veri kaynağı ve güvenlik vektörü sağlarsanız, korelasyon fırsatları o kadar büyük ve araştırma ve müdahale o kadar kapsamlı olur.
Örneğin, günümüzde bir analist, yönetilen uç noktalarda şüpheli etkinliklere ilişkin ayrıntılı görünürlük elde etmek için bir uç nokta algılama ve yanıt (EDR) aracı kullanabilir. Ancak daha sonra ağ güvenliği uyarıları ve trafik analizi için ayrı bir silo görünümüne sahip olabilir. Bulut iş yüklerine gelince, analist şüpheli etkinliği belirlemek için muhtemelen sınırlı görünürlüğe sahiptir.
Ortamdaki bölümler, büyük olasılıkla güvenlik bilgi ve olay yönetimi sistemine (SIEM) çok sayıda gürültülü uyarı gönderir. Analist, uyarıları görebilir, ancak uyarılar arasındaki tüm etkinliklerin ayrıntılı kaydını kaçırır. Ek korelasyon olmadan, analist, bağlam veya ilgili olayları bağlamanın bir yolu olmadan uyarılarda gömülü kalan önemli saldırı ayrıntılarını kaçıracaktır.
XDR, katmanları bir araya getirir, böylece güvenlik analistleri daha büyük resmi görebilir ve kullanıcıya nasıl bulaştığı, ilk giriş noktasının ne olduğu ve aynı saldırının başka neyin veya kimin parçası olduğu dahil olmak üzere kuruluşta neler olabileceğini hızlı bir şekilde açıklayabilir. .
Uç nokta
Bir tehdidin nasıl ulaştığını, değiştiğini ve uç noktalara nasıl yayıldığını analiz etmek için verimli uç nokta etkinliği kaydı gereklidir. XDR'yi kullanarak, tehlike göstergelerini (IOC'ler) tarayabilir ve saldırı göstergelerine (IOA'lar) dayalı arama yapabilirsiniz.
Tespit: Şüpheli ve tehlikeli uç nokta olaylarını bulun ve belirleyin
Araştırma: Uç noktada neler oldu? Olay nereden kaynaklandı? Diğer uç noktalara nasıl yayıldı?
Müdahale: Olayı izole etme, işlemi durdurma, dosyaları silme ve geri yükleme
Birçok işletme uç noktalarda güvenliğe ilk adımı EDR araçlarıyla atmaktadır. EDR bir adım olsa da saldırı hikayesinin başlangıcını ve gelişmini görmek için yetersizdir. Uç noktaya ulaşmadan önce ne oldu? E-posta yoluyla mı uç noktaya ulaştı? Aynı e-postayı başkaları da aldı mı? Uç noktaya ulaştıktan sonra ne oldu? Bir sunucuya veya konteynere doğru yanal hareket oldu mu? Yönetilmeyen cihazlara yayıldı mı?
E-posta
İhlallerin %94'ünün e-posta [1] yoluyla başladığı göz önüne alındığında, güvenliği ihlal edilmiş hesapları belirleme ve kötü niyetli e-posta tehditlerini tespit etme becerisine sahip olmak, bir kuruluşun daha geniş kapsamlı tehdit algılama yeteneğinin kritik bir parçasıdır.
Tespit: E-posta tehditleri, güvenliği ihlal edilmiş hesaplar, yüksek düzeyde saldırıya uğrayan kullanıcılar ve e-posta saldırı modelleri
Araştırma: Sızmayı kim başlattı? Şüpheli e-postayı başka kim aldı?
Müdahale: E-postanın karantinaya alınması, gönderenlerin engellenmesi, hesapların sıfırlanması
1 numaralı saldırı vektörü olan e-posta, çapraz katmanlı tespit ve müdahaleye yönelik öncelikli bir genişleme noktası olmalıdır. E-posta tehditleri, bir kullanıcı e-postada yer alan bir eke veya bağlantıya tıklayana kadar genellikle uç noktaları etkilemez. Henüz etkisini göstermemiş bir tehdit, birden çok gelen kutusunda fark edilmeden duruyor olabilir. Bir uç nokta tespitini, kaynak e-postaya bağlamak, kötü amaçlı e-postayı başka kimlerin aldığını ve kötü amaçlı ekin veya URL'nin diğer kullanıcıların posta kutularında olup olmadığını bulmak için gelen kutularını otomatik olarak arayabileceğiniz anlamına gelir. Daha sonra e-postaları karantinaya alabilir ve herhangi bir ek yayılmayı ve hasarı önlemek için tehdidi kaldırabilirsiniz.
Ağ
Ağ analitiği, yanal olarak yayıldıkları veya komuta ve kontrol (CC) sunucuları ile iletişim kurdukları için hedefli saldırıları bulmanın en önemli yollarından biridir. Ağ analitiği, olayları gürültüden filtrelemeye ve nesnelerin interneti (IoT) ve yönetilmeyen cihazlar gibi kör noktaları azaltmaya yardımcı olabilir.
Tespit: Tehditler yayıldıkça anormal davranışları bulun ve belirleyin
Araştırma: Tehdit nasıl iletişim kuruyor? Kuruluş içinde nasıl ilerliyor?
Müdahale: Saldırının kapsamını özetleyin
Ağ günlükleri, bir saldırının kapsamını anlamanıza yardımcı olacak kapsamlı bir veri kaynağı sağlar Ancak bu günlükleri diğer güvenlik uyarılarıyla ilişkilendirmeden, neyin alakalı ve önemli olduğunu değerlendirmek için ihtiyaç duyduğunuz bağlamı elde etmek zordur. Bu nedenle ağ ve uç nokta güçlü bir kombinasyon oluşturur. Buralardan toplanan veriler ilişkilendirildiğinde uç nokta cihazında çok önemi görünmeyen şüpheli bir PowerShell etkinliği kontrol ve komut merkeziyle (C&C) iletişime geçtiğinde yüksek öncelikli bir uyarı haline gelebilir.
Sunucu ve bulut iş yükleri
Uç noktalara benzer şekilde bu, bir tehdidin nasıl ulaştığını, sunucular ve bulut iş yükleri arasında nasıl yayıldığını analiz etmek için verimli etkinlik kaydını içerir. IoC'leri tarayabilir ve IoA'lara dayalı olarak bulabilirsiniz.
Tespit: Özellikle sunucuları, bulut iş yüklerini ve konteynerları hedefleyen tehditleri arayın ve belirleyin
Araştırma: İş yükünde neler oldu? Nasıl yayıldı?
Müdahale: Sunucuyu izole etme, işlemleri durdurma
Kuruluşlar, sunucular ve bulut iş yükleri için EDR araçlarını kullanabilir, ancak bunu yaparken etkinlikten feda etmeleri gerekebilir. EDR tek başına ne yeni bulut modellerini ele alacak ne de gerekli veri ve görünürlük türünü sağlayacak donanıma sahip değildir. Tüm vektörlerde olduğu gibi, şimdiye kadar hiç iletişim kurulmamış bir ülkedeki sunucuların IP adresleriyle iletişim kurulması gibi sunucu ortamlarındaki bilgilerin diğer katmanlardaki bilgilerle ilişkilendirilmesi kötü amaçlı etkinliklerin tespitinde büyük önem taşır.
İlgili Makaleler