EDR Nedir ? Nasıl Çalışır ?

 

EDR (Endpoint Detection Response)

EDR (Endpoint Detection Response) Nedir ?

2013 yılında Gartner’dan Anton Chuvakin tarafından öne atılan Endpoint Threat Detection and
Response (ETDR) terimi 2015 yılından itibaren Endpoint Detection and Response (EDR) olarak
anılmaya başlanmıştır.

EDR, bir ağa bağlı Uç Nokta Cihazlarını (Endpoint Devices) izlemek ,gerçekleşen işlemleri analiz
etmek , saldırı veya tehdit unsuru olan işlemlere müdahale etmek için kullanılan bir güvenlik
teknolojisidir . Endpoint'ler, örneğin masaüstü bilgisayarlar, dizüstü bilgisayarlar, mobil cihazlar ve
sunucular gibi ağda bulunan herhangi bir cihazdır . EDR , bu cihazlardan sürekli olarak veri toplar , bu
verileri gerçek zamanlı olarak analiz eder ve belirlediği tehditlere otomatik olarak yanıt verebilir .

EDR yazılımı sadece sunucuda çalıştığı zaman ağ trafiğini dinleyebilir ve analiz edebilir . Böyle bir
durumda EDR yazılımı endpoint cihazlarının IP , MAC , hostname , işletim sistemi bilgileri ve ağ
üzerindeki paket bilgilerini alabilir . Ancak , EDR yazılımından tam anlamı ile yararlanabilmek için uç
cihazlara kurulması gerekir .

EDR sistemleri, endpoint cihazları üzerinde güvenliği sağlamamıza yardımcı olurlar. EDR sistemleri
tek başlarına çalışabilirler ama güvenlik düzeyini sağlamlaştırmak için farklı güvenlik ürünleri ile
beraber çalışması gerekir. Örneğin, bir kötü amaçlı yazılımın tespiti için, bir antivirüs programı veya
bir IDS/IPS gibi diğer güvenlik yazılımlarından yararlanabilirler.

EDR yazılımları genel olarak ücretli olduğu gibi ücretsiz ve açık kaynak olan EDR yazılımlarıda var .
Bunlardan biri Comodo tarafından geliştirilmiş OpenEDR yazılımıdır.

Antivirüs yerine neden EDR kullanmalıyız ?

Antivirüs yazılımları, malware imzaları ile bilgisayar sistemleri üzerinde malware tespiti gerçekleştirir ,
bunları temizler veya izole eder .

EDR yazılımları, Antivirüs yazılımlarındaki özelliklere ek olarak davranışsal tespitler de yaparak
tehditleri durdurabilir . İşte bu yönüyle siber güvenlik için proaktif bir özelliğe sahiptir . Ek olarak tüm
bilgilerin tek bir noktaya iletilip yönetilmesini sağlar .

Anormal davranışlar olarak şunları örnek verebiliriz :

• Çok fazla hatalı giriş.
• Bilindik veya bilinmedik yazılımların izinsiz kurulumları.
• Cihaz ayarlarında izinsiz değişiklik.
• Phising ve malware sunucularıyla veri akışı.
• Anormal DNS sorguları.

EDR (Endpoint Detection Response) Nasıl Çalışır ?

EDR yazılımlarının hem uç noktalara hem sunuculara kurulduğundan bahsetmiştik . Şimdi sürecin
nasıl ilerlediğini 5 parçaya bölerek açıklayalım :

1. Endpoint’lere Kurulum

EDR , ağdaki son noktalarda güvenliği sağlamak için tasarlanmıştır . Endpoint’lere yüklenen EDR
yazılım cihazların faaliyetlerini sürekli olarak izler ve tehdit tespiti için verileri toplar .

2. Veri Toplama

Endpoint’lerde toplanan veriler , Cloud ortamındaki bir sunucuya veya kuruluş içinde bulunan bir
sunucuya gönderilir . Bu işlemin gerçekleşmesi için EDR yazılımı aynı zamanda sunucuyada kurulur .
Sunucuya kurulan EDR yazılımları Endpoint’lerden gelen verileri alır ve verileri analiz etmek için
depolar . Bu veriler arasında , cihazların kimlik bilgileri , dosya değişiklikleri , ağ üzerindeki veri akışı ,
sistem tarafında gerçekleşen etkinlik bilgileri ve en önemlisi kullanıcıların davranışları yer alabilir .

3. Veri Analizi

EDR yazılımları önceden tanımlı kurallar , yapay zeka ve makine öğrenmesi aracılığı ile analizleri
gerçekleştirir . Davranışsal analizler için yapay zekanın rolü büyüktür . Makine öğrenimi sayesinde
toplanan veriler analiz edilir ve önceki veriler ile karşılaştırmalar yaparak bir çözüm önerir .

4. Tehditlerin Tespiti

Veriler üzerinde yapılan karşılaştırmalar ve analizler sonucunda EDR yazılımı tehditleri tespit eder .
Bu tehditler malware , kimlik hırsızlığı , veri sızıntısı veya diğer saldırı çeşitleri olabilir .

5. Müdahale

Tehditlerin tespit edilmesinden sonra SOAR sistemlerinde olduğu gibi önceden tanımlı tetikleyicilere
uyan işlemleri gerçekleştirir , güvenlik ekiplerine uyarılar gönderebilir , zararlı yazılımları antivirüs.
programlarında olduğu gibi karantina altına alabilir veya silebilir .

Tüm bu işlemler döngü halinde devam eder ve tekrardan kullanılmak üzere depolanır .

Bu bilgiler ışığında şu şekilde bir yorum yapabiliriz : Antivirüs yazılımlarından farkı yokmuş gibi
görünen EDR ürünleri , davranışsal analizler ve yapay zeka ile proaktif bir savunma sergilememize
yardımcı olur . Ancak şunu unutmayalım , hiçbir sistemin güvenli olmadığı gibi hiçbir yazılım da bizi
tam olarak koruyamaz . Bu yüzden siber güvenlik dediğimiz şey , sürekli bir çabadır ve bu çabada
önemli olan aktif savunmadan çok proaktif savunmadır.