Yönetilen Tespit ve Müdahale (MDR) Servisi

MDR Nedir?

Yönetilen Tespit ve Müdahale (MDR), tehdit avı, izleme ve müdahale gerçekleştirmek için teknoloji ve insan uzmanlığını birleştiren bir siber güvenlik hizmetidir. MDR'ın ana yararı, ek personele ihtiyaç duymadan tehditlerin etkisini hızla belirlemeye ve sınırlamaya yardımcı olmasıdır.

MDR, kuruluşunuz içinde tespit edilen tehditleri uzaktan izler, algılar ve yanıt verir. Bunun için hizmet sağlayıcı, bir uç nokta tespit ve müdahale (EDR) aracı kullanır ve uç noktadaki güvenlik olaylarına ilişkin gerekli görünürlüğü sağlar. Görünürlük sağlandıktan sonra uç noktalardan elde edilen telemetri verileri merkez konsolda toplanarak burada tehdit istihbarat verileri ve gelişmiş analitik yardımıyla, hızlı bir şekilde şüpheli olay tespiti ve müdahalesi gerçekleştirilir.

MDR Tarafından Sunulan Servislerin Temel Karakteristikleri Nelerdir?

MDR tarafından sunulan servislerin en temel karakteristiği klasik koruma çözümleri tarafından yakalanamayan ve önlenemeyen siber saldırıların detaylı şekilde tespitini gerçekleştirmek ve bu saldırılara olabildiğince kaynağında müdahale etmektir. MDR tarafından sunulacak gelişmiş tespit ve müdahale süreçlerini uç noktalarda işletmek için EDR olarak adlandırılan, özel yeteneklerle donatılmış yazılımlar kullanılır.

MDR hizmeti kapsamında, ilgili kurumun kendisine veya kendisiyle aynı sektörde yer alan diğer yerli ve yabancı kurumlara yönelik gerçekleştirilen siber saldırılarla ilgili siber tehdit istihbaratı, bütün süreçlerde kullanılmak üzere geniş biçimde tanımlanır. Bu adımda ticari ve ticari olmayan birçok siber tehdit istihbarat kaynağından faydalanılır.
Kurumun işlettiği SOC süreçlerinden bağımsız olarak yukarıda bahsi geçen, uç nokta ve ağ katmanında görünürlüğü arttıran teknolojiler MDR servisi sunan özel ekip tarafından 7x24 esasına göre izlenir ve işletilir.

Kurumun halihazırda dış kaynak olarak aldığı bir SOC hizmeti varsa, MDR ve SOC hizmet sağlayıcıları koordine şekilde çalışabilir ve birbirlerini veri akışıyla besleyebilir. Bununla birlikte siber olayların tespiti ve bu olaylara hızlı ve doğru şekilde müdahale için gerekli en kritik rolü MDR üstlenir. Kurumda tanımlı süreçler bu konu özelinde gözden geçirilerek yeniden düzenlenir.
Geleneksel güvenlik izleme yaklaşımları hantal ve olay müdahalesinde yetersiz olduklarından, kurum ağına yapılacak bir siber saldırıyı en hızlı ve doğru şekilde tespit ederek müdahale etmek için MDR hizmeti oldukça kritik bir öneme sahiptir. Buna bağlı olarak MDR hizmeti her geçen gün daha fazla şirket ve işletme tarafından kullanılmaya başlanmıştır.

MDR Ne işe yarar?

Başarılı saldırıların olasılığını veya etkisini azaltır.
7/24 görünürlük sağlar ve kuruluştaki tüm varlıkları kapsar.
Yeni tehditler ve güvenlik açıkları üzerinde araştırma yaparak süreklilik sağlar.
Doğruluk ve değer sağlamak için merkezinde insan deneyimiyle teknolojiyi dengeli bir biçimde uygular.
İş ve saldırı bağlamını ve nedenini yansıtan özel müdahale yaklaşımları sunar.
Güvenilir, erişilebilir ve kullanışlı sonuçlar ve raporlar sunar.

SOC ve MDR Karşılaştırması

MDR hizmeti bazen SOC’ler tarafından sunulan hizmetlerle karıştırılmaktadır. Gartner tarafından hazırlanan aşağıdaki diyagram bu konuya açıklık getirmektedir.

SOC kapsamında sunulan siber güvenlik izleme ve yönetim hizmetleri, geleneksel güvenlik araçlarını kullanarak ve bilinen siber saldırı imzalarının yardımıyla (uç noktada, ağ geçidi düzeyinde veya log toplama merkezinde) siber saldırıları tespit etmeyi ve önlemeyi amaçlamaktadır. Kuruluşların siber güvenlik altyapılarını izleyen ve yöneten SOC'ler bilinen siber saldırıların önlenmesinde kritik öneme sahiptir. Buna ek olarak birçok ilgili kuruluş, günümüz siber saldırılarının çok gelişmiş olduğunu, klasik SOC yaklaşımında kullanılan teknoloji ve süreçlerin söz konusu gelişmiş siber saldırıların tespitinde ve müdahalesinde yetersiz kaldığını kabul etmektedir. MDR hizmeti, merkezinde insanın yer aldığı teknolojilerin ve hizmetlerin devreye girmesiyle, kuruluşların gelişmiş siber saldırılara karşı direncini artırır. Aşağıda olay müdahale sürecinin ana adımları dikkate alınarak SOC ve MDR hizmetlerinin karşılaştırmaları verilmiştir.

Detaylı Bilgi İçin iletişime Geçin

DOĞRULAMA

SOC analistlerinin karşılaştığı en büyük sorun ilgili SOC'nin kullandığı teknolojiler tarafından siber saldırı olarak işaretlenen ve bu bağlamda bir uyarı üreten bütün olayların detaylı şekilde doğrulanmalarının yapılması gerekliliğidir. SOC'lerin tamamının yüksek miktarda yanlış pozitif alarmlarla uğraştıkları ve hatta bu alarm sayılarını minimize etmek adına birçok teknolojiyi güvenlik altyapılarına dahil ettikleri bilinmektedir. Bu durumda bile bir SOC analistinin en büyük sorunu gelen bir alarmın doğru olup olmadığının tespitini yapmaktır. Özellikle siber saldırılarda saldırganların gerçekleştirdikleri aksiyonun merkezinden uzakta tespit edilen alarmların öncesi ve sonrasında yaşananların kaydının tutulmadığı için dolayı ilgili uyarı mesajının gerçek bir siber saldırıya ait olup olmadığı, saldırı gerçekse olayın öncesinde ve sonrasında nelerin olduğunun bilinmemesi SOC'lar için en temel problemlerden biridir.

MDR analistlerini SOC analistlerinden ayıran en temel özelliklerden biri kullandıkları teknolojilerdir. Bir siber saldırının iç ağda gerçekleştiği bileşenler üzerinde bu saldırıyı doğrulayabilecek detayda iz kayıtlarına erişimlerinin olması ve benzer saldırılara ilişkin davranış modelleri baz alarak üretilen saldırı uyarıları sayesinde, MDR analistleri gerçek zamanlı siber olay tespiti yapabilmekte ve tespit edilen siber saldırılarla ilgili çok hızlı aksiyon alabilmektedirler. Özellikle gelişmiş siber saldırganların çok kısa sürede hedeflerine ulaşmayı amaç edindikleri göz önünde bulundurulursa hızlı doğrulama ve aksiyon alma yeteneklerinin ne kadar hayati önem taşıdığı görülecektir.

DETAYLI İNCELEME

SOC'ler tarafından işletilen süreçlerin özünde birçok kaynaktan toplanan kayıtların merkezi bir kayıt sunucusunda (SIEM) toplanması ve bu kayıtlar üzerinden tespit edilerek doğrulaması yatmaktadır. Özellikle birçok farklı sistemden çok fazla miktarda kaydın merkezde toplanması bu kayıtların korelasyonunu gerekli kılar. Başarılı bir korelasyonun ilk koşuluysa ilgili teknolojilerden doğru kayıtların toplanmasıdır. Çoğu durumda hem ilgili teknolojilerin yeterli oranda detayı kayıtlarda bulundurmaması hem de bu teknolojilerin kayıtlarının detaylandırılması için ekstra bazı süreçlerin işletilmesini gerekli kıldığı için birçok SOC süreci eksik kalmakta, başarılı bir olay incelemesi gerçekleştirilememektedir.

MDR'lar tarafından kullanılan teknolojilerin sunduğu detaylı kayıtlar ve işletilen süreçler sayesinde bir siber saldırının kök nedeninin tespiti çok hızlı şekilde yapılabilmektedir. Kök nedeninin hızlı şekilde ortaya çıkarmak hem karşılaşılan siber saldırının hızlı şekilde engellenmesinde hem de bundan sonraki süreçlerde benzer siber saldırıların gerçekleşmemesi için alınması gereken aksiyonların ortaya çıkartılmasında kilit rol oynamaktadır.

ÖNLEME

SOC'ler tarafından tespit edilen siber saldırıların önlenmesi için işletilen süreçler çoğu zaman üçüncü partiler tarafından alınacak aksiyonlara bağlıdır. Bu da müdahalenin yavaşlamasına, dolayısıyla siber saldırının bu süre zarfında içinde devam etmesine neden olur.

MDR'lar tarafından kullanılan teknolojilerin en büyük özelliği tespit edilen siber saldırıların en hızlı şekilde önlenmesi adına gelişmiş müdahale yeteneklerine sahip olmalarıdır. Bu sayede MDR'lar herhangi bir üçüncü partinin desteğine ihtiyaç duymadan siber saldırıya müdahale edebilmekte ve gerektiğinde siber saldırıya uğrayan bileşeni ağ üzerinden izole edebilmekte, ilgili siber saldırıya ait sayısal izleri toplayabilmekte ve benzer saldırı izlerini MDR'lar tarafından izlenen diğer bütün sistem bileşenleri üzerinde hızlı şekilde arayarak siber saldırının ne ölçüde yayıldığını ortaya çıkartabilmektedir.

PROAKTİF SİBER AVLANMA VE TEHDİT AVCILIĞI

SOC altyapılarında kullanılan birçok teknoloji imza tabanlı çalışmakta olup, bir siber saldırıyı engelleme başarısı, ilgili saldırıya ilişkin imzaların kullanılan teknolojilerin içinde var olup olmamasına bağlıdır. Özellikle günümüzde karşılaşılan gelişmiş siber saldırıların neredeyse tamamının imzalarının ya hiçbir şekilde bilinmemesi ya da saldırganların siber saldırıyı gerçekleştirirken dışarıdan hiçbir araç getirmeden işletim sistemlerinin kendi araçlarını kullanması, bu saldırıların imza tabanlı sistemler kullanılarak tespitini imkansız hale getirmektedir.

MDR'lar tarafından kullanılan araç setlerinin tamamı sistemler üzerinde tam görünürlük sağlamayı amaçlamaktadır. Bu sayede saldırganlar tarafından kullanılan araçların ve yöntemlerin tamamı sistemler üzerinde detaylı şekilde kayıt altına alınır. Bu kayıtların detaylı şekilde incelenmesi de yine MDR analistleri tarafından gerçekleştirilmekte ve kullanılan teknolojiler tarafından herhangi bir şekilde tespit edilememiş siber saldırıların tespitine ilişkin tehdit avcılığı süreçleri işletilmektedir.

EDR Platformları

MDR hizmeti kapsamında kullanılan EDR teknolojileri sayesinde, bütün sunucu ve istemcilere yüklenen birer ajan üzerinden işletim sistemi bazında gerçekleşen bütün işlemlerin kayıtları toplanır ve merkezi sunucuya gönderilir. Bu sayede çalıştırılan uygulamalar, açılan dosyalar, bağlantı kurulan ağ adresleri gibi bilgisayar üzerinde gerçekleşen bütün aktivitelere ilişkin kayıtlar merkezi bir sunucuda tutulmakta ve bu sunucu üzerinde aktif edilen siber tehdit istihbarat kaynakları sayesinde çok hızlı şekilde siber olay tespiti yapılabilmektedir.

Bu yöntemle özellikle belirli davranış kalıplarının işaret ettiği siber saldırıların tespitinde ve siber saldırıların kök nedenlerinin ortaya çıkarılmasında oldukça iyi sonuçlar elde edilmektedir. Bu platformların bir diğer özelliği de siber saldırıya müdahale edebilme yeteneklerine sahip olmalarıdır. Bu sayede siber saldırıya uğramış bilgisayarlar veya sunucular ağdan tamamen izole edilebilmekte, bu sistemler üzerinde EDR platformu kullanılarak uygulama çalıştırılabilmekte veya siber saldırının detayı analizi için gerekli dosyalar uç noktalardan toplanabilmektedir.

META CYBER olarak sunduğumuz MDR hizmetinde önde gelen üreticilerin geliştirdiği teknolojileri kullanıyoruz. Tamamen müşterilerimizin ihtiyaçları göz önünde bulundurularak seçilen uygun EDR teknolojisinin dağıtımı yapıldıktan sonra kazanılan görünürlük sayesinde müşterilerimizin MDR hizmetimizden en iyi şekilde faydalanmalarını sağlıyoruz.

MENÜ