EDR Nədir ? – Endpoint Dedection and Response
EDR Nədir? Necə İşləyir?
Bu yazımda sizlərə qısa olaraq EDR kibertəhlükəsizlik həlli haqqında məlumat verəcəm, əlavə olaraq EDR ilə Antivirus, SIEM və XDR arasındakı fərqlərdən bəhs edəcəm.
EDR Haqqında
EDR Endpoint Dedection and Response sözlərinin qısaltması olub istifadəçi komputerlərində kiber təhlükələri öncədən müəyyən edib cavab verərək informasiya təhlükəsizliyini artırmaq və məlumat itgisinin qarşısını almağa çalışan möhtəşəm bir həlldir.
EDR Antivirus proqramlarına əlavə olaraq gerçək zaman aralığında anlıq olaraq anomali halların, təhdidlərin aşkarlanması, xəbərdarlıq edilməsi, izlənilməsi və qeydə alınmasə kimi xüsusiyyətlərlə Forensic Investigate ( Kibertəhlükəsizlik sahəsində Hüquq Mühafizə Orqanlarının əməliyyat axtarış və araşdırma prosesləri ) prosesini asanlaşdırır.
EDR həmçinin endpoint cihazlarda hər bir fayl, proqramların Run olunması ( işə salınması ) və ya Modifikasiya edilməsi proseslərini, Windows Registry-də olunan dəyişikliklər, şəbəkə qoşulmalarını və bu kimi komputerdə baş verə biləcək önəmli dəyişiklikləri loglayaraq ( yəni qeyd panelinə bir bir tarixinə uyğun yazır ) kiber təhdidlərin görünməsini təmin edir. Bir sözlə İstifadəçi komputerləri üçün Malware və ya kiber atakaların müəyyən olunması və onlarının qarşısının alınması üçün yaradılmış bir alətdir.
EDR eyni Təyyarələrdə olan Qara Qutu kimidi, o hərşeyi özündə qeyd edir və daha sonra biz də bu məlumatlar ilə kiber hücumları analiz edib gələcəkdə onların bir daha baş verməməsi üçün önləyici tədbirlər görürük.
Günümüzdə işçilərinin sayı çoxalan, kritik infrastruktura sahib olan bir çox qurumlar EDR həllindən istifadə edir, hətta Pandemiya ilə artan Remote İşləyən işçilərin də təhlükəsizliyini təmin etmək üçün VPN-lər ilə də birlikdə istifadə oluna bilib, anlıq olaraq trafiki monitoring edib müəəyən qeydlər apararaq bir sıra təhlükələrin qarşısını alırlar.
Araşdırmalara görə hərbir uğurlu kiber hücumun təxminən 90%-i, məlumat itgilərinin isə 70%-i şirkətlərdə olan son istifadəçilərin komputerlərindən (Endpoints) yəni işçilərin kibertəhlükəsizlik haqqında məlumatsız olmalarından dolayı bir sıra səhvlər etdiklərinə görə qaynağlandığı bilinir. Bu səbəbdən infrastrukturu daim monitoring edib endpointlərin şübhəli davranışlarını loglayıb müəyyən cavab tədbirləri görmək lazımdır ki, Insider hücumların az da olsa qarşısını ala bilək.
Antivirus yoxsa EDR ? Hansı daha effectlidir ?
Antivirus, Antimalware, Firewall və ya birçox Endpoint security toollar inkişaf etsə də, onlar hələ də öz databazalarında olan fayl və ya Signature based müəyyən etmə metodundan istifadə etdikləri üçün Endpoint tərəfində qarşılaşa biləcəyimiz təhlükələri müəyyən etməkdə əksik qalırlar. Bu kimi alətlər məsələn Sosial Mühəndislik hücumlarını dayandırmaqda, istifadəçilərin həssas məlumatların yayılmasına, fişing məqsədli olan zərərli saxta veb saytlara daxil olmalarının qarşısını almaqda yetərsizdir, onlar sadəcə zərərli proqramları (virus, trojan, spyware, worms, adware və s.) daha öncədən databazaya əlavə edilmiş məlum imzalar əsasında sistemi scan edərək ənənəvi metodlarla aşkarlayıb qarşısını alır. EDR kimi daha geniş bir təhlükəsizlik perspektivində inkişaf etmiş təhdid aşkarlama və cavab vermə imkanlarına sahib olmadığı üçün, ayrıca ən yeni çıxan virus və zeroday boşluqlarını detect etməkdə çox əksik qalır. Bir sözlə antiviruslar (kaspersky,eset) bilinən virusları imza əsaslı köhnə metodika ilə aşkarlayıb silərək və ya karantinaya alaraq qarşısını alır, EDR isə geniş bir spektrdə kompleks təhdidləri, davranışları anazliz edir, Machine learning kimi qabaqcıl texnologiyadan istifadə edərək aşkar edir, qabaqcıl təhlillər edib istintaq apara bilir hətta müəyyən cavablar da verə bilir.
EDR ilə SIEM oxşar cəhətləri, aralarındakı əsas fərqlər
Birçox böyük şirkətlərdə SIEM (Security İnformation and Event Management) Kibertəhlükəsizlik həlli var ki, bu da bizə bir çox loqları tək bir yerdə cəmləşdirib onları analiz etmə imkanı yaradır. SIEM Həlli də şirkətin IT Infrastrukturunda cloud, endpoint, server kimi bir çox mənbələrdən təhlükəsizlik hadisələrini, məlumatlarını toplayıb real vaxt rejimində izləyib təhlil edərək cavab verməyə Kömək edir, bu məlumatları özündə məzkəzləşdirilmiş bir platformada saxlayıb analiz edə bilir, həmçinin müəyyən təhlükəsizlik qruplarına avtomatik bildirimlər və alarmlar verə bilir. Buna baxmayaraq SIEM olsa belə əlavə EDR quraşdırıb işlətməkdə fayda var. Çünki SIEM həllinin əsas təyinatı müxtəlif cihaz və avadanlıqlardan, proqramlardan təhlükəsizlik məlumatlarını, logları, statistik məlumatları toplayıb təhlil etməkdir. SIEM EDR kimi real vaxt rejimində endpointləri izləyib, təhlükələrin dəqiq şəkildə aşkar olunması və cavab verilməsi kimi qoruma imkanlarına sahib deyildir. EDR isə anlıq olaraq endpointləri izləyir, real təhdidləri müəyyən edib təhlillər aparır və müyyən cavablar verə bilir. EDR SIEM-dən fərqli olaraq Bütün IT Infrastrukturda olan mənbələrdən deyildə yanız endpointlərdən gələn loglara baxır, bu iki həll fərqi texnologiyalar olsalar da oxşar cəhətləri çox olduğu üçün birlikdə işlətməkdə fayda vardır.
EDR ilə XDR arasındakı fərqlər
Bir də XDR həlli (eXTENDED Detection and Response) var ki bu bütün IT Infrastrukturunda şəbəkə,server,cloud,endpoint, proqramlar və s. kimi mənbələrdən gələn məlumatları bir araya gətirərək təhlükəsizlik hadisələrini daha geniş bir perspektivlə izləyib analiz edir, şübhəli aktivitiləri və ya davranışları Machine Learning kimi qabaqcıl analitikadan istifadə edərək qabaqcıl təhlillər aparır. EDR isə XDR kimi daha geniş konteksə sahib deyil, o yalnız endpointləri (komputer, server, telefon) qorumaqla yükümlü olan imza əsaslı aşkarlamadan ibarət bir Kibertəhlükəsizlik həllidir.
Author
Post Comment