ATT&CK® Değerlendirmeleri: XDR'a ulaşmak için görünürlüğü geliştirmek

Sonraki hikaye
Rene Holt

ESET için XDR ne anlama geliyor ve MITRE Engenuity'nin ATT&CK® Değerlendirmelerine bakış açısı kazandırıyor mu?  

MITRE Engenuity'nin ATT&CK® Değerlendirmelerinin ana hedeflerinden biri, kuruluşların uç nokta tespit ve müdahale (EDR) çözümlerinin bir ağda gizlenen gerçek zamanlı karmaşık tehditleri araştırmak için sunduğu görünürlük düzeyini daha iyi anlamalarına yardımcı olmaktır.  Görünürlük, bir kuruluşun kullanmayı düşündüğü EDR çözümünün değerlendirilmesinde önemli bir metriktir. 

ESET'IN 2022 ATT&CK DEĞERLENDİRME SONUÇLARI 

Açıkçası, görünürlük tek metrik değildir. ATT&CK Değerlendirmelerinde dikkate alınan ek ölçümler, büyük ölçüde belirli düşman tekniklerinin algılanmasını sağlayan bağlamı temel alanlardır. Bunlar, olgunluk seviyesine, uyması gereken farklı düzenlemelere ve diğer sektörlere, şirketlere ve özel ihtiyaçlara bağlı olarak her kuruluş için farklı bir öneme sahiptir. Performans ve kaynak gereksinimleri, algı yorgunluğu, diğer güvenlik yazılımlarıyla bütünleşme ve kullanım kolaylığı gibi değerlendirmelerde her zaman dikkate alınan olan ölçümler de vardır.  

Bu zengin ölçüm paleti kısmen EDR'ın güvenlikçiler için bir araç olarak başarısını yansıtır.  Özel güvenlik ekiplerine sahip olmayan kuruluşlar bile bu tür savunma araçlarına ilgi gösterir. Pazar EDR'ı daha da iyi olmaya zorluyor.  Güvenlikçiler tehditleri avlamak için bu sıralar bir EDR çözümü ile ağlarını savunmak için tamamlayıcı faaliyetler olarak büyük veri kümelerini elemek için bir güvenlik bilgisi ve olay yönetimi (SIEM) çözümü arasında hokkabazlık yapıyor. Bir araçta eksik olanın diğeri tarafından telafi edilebilmesi amaçlanıyor.  

Bazıları, EDR ile bir güvenlik analitiği platformu arasında bir sentez elde edilebilirse, güvenlik savunucularının ellerinde işte bu diyebilecekleri aracın olacağını düşünüyor. Ancak Forrester analistleri  durumu farklı görüyorlar. EDR'ın analiz ve yanıt için uç noktaların ötesinden elde edilen veri akışlarını öğrenerek genişletilmiş tespit ve müdahaleye (XDR) evirilmesi gerekir. Yeni yeni ortaya çıkan XDR çözümleri, güvenlik analizi platformlarıyla başa baş bir rekabete girebilir. 

Öte yandan güvenlik analitiği platformlarının rekabetçi kalarak, daha yüksek kaliteli uyarılar ve tehdit müdahale yetenekleri gibi EDR özellikleriyle donatılması ve kaynakları daha verimli kullanması gerekir. Genel güvenliğin daha iyi olduğunu gösteren gelişmiş çözümün, savunucular için giderek daha fazla tercih edilen araç olması muhtemeldir.  İddiamız, zengin bağlamlı ve yüksek kalitede tespitler için tasarlanmış EDR çözümleri üzerine inşa edilen XDR'ın genel görünürlük açısından kısmen sınırlı olsa bile bu yarışı kazanacağı yönünde.  

XDR ESET için ne anlama geliyor? 

ESET, Forrester'ın XDR'ı, network cihazlarından, e-posta sunucularından, bulut tabanlı hizmetlerden ve diğer kaynaklardan da veri toplamak için uç noktaların ötesine geçen ve güvenlikçilerin keşfetmesine ve yanıt vermesine izin veren yeni nesil EDR olarak kabul eder.  Bu artan veri toplama ve yanıt yeteneği düzeyine ulaşmak için XDR iki entegrasyon stratejisi kullanabilir: Hibrit ve yerel. 

Hibrit bir strateji, üçüncü taraf araçlarla entegrasyonlara odaklanır. Yerel strateji, aynı üreticinin araçlarıyla bütünleşmeye odaklanır.  Şu anda, hiçbir üretici eksiksiz bir XDR çözümü sunmadığı için bu başarmamız gereken bir ideal olarak karşımızda.  

ESET, ESET Inspect'i (eski adıyla ESET Enterprise Inspector) sürekli olarak geliştirerek hem ESET'in güvenlik araçları ekosistemi hem de üçüncü taraf araçlarla entegrasyonlar eklemeye devam ederek tam bir XDR çözümü oluşturmaya kararlıdır.  Daha önce, ESET Enterprise Inspector olarak bilinen, ESET'in EDR çözümü kurumsal güvenlik ekipleri için konumlandırılmıştı. Şimdi, ESET Inspect hem büyük kurumsal hem de daha küçük güvenlik ekipleri için sunduğumuz ESET PROTECT platformunun XDR etkinleştirici bileşenine dönüştü. 

ESET PROTECT platformuna bakmadan önce ESET Inspect'i biraz daha yakından ele alalım. 

ESET İncelemesi: XDR yolunda önemli bir adım 

ESET Inspect, yalnızca bir isim değişikliği olmaktan ziyade, daha fazla görünürlük ve düzeltme özelliklerine sahip yeni bir sürümdür.  ESET Inspect,  önceki sürümdeki kural kümesindeki MITRE ATT&CK bilgi tabanına atıfta bulunma, güvenlik düzenleme, otomasyon ve yanıt (SOAR), SIEM, ticketing ve diğer ve hassas yanıt ve düzeltme seçenekleri için Windows makinelerinde uzak  bir PowerShell oturumu çalıştırma yeteneği gibi özellikleri zaten barındırıyor. 

Ürünün en son sürümünde artık birkaç büyük Linux dağıtımı da desteklenmektedir. Bu, Windows ve macOS için zaten mevcut olan desteğe katkıda bulunur ve eksiksiz bir XDR çözümüne giden yolda önemli bir kilometre taşını oluşturur.  Linux makineleri için ESET Inspect, Linux için ESET Endpoint Antivirus ve Linux için ESET Server Security (sürüm 9.0 sürümlerinden) ile aşağıdaki dağıtımları desteklemektedir: 

ESET Inspect tarafından desteklenen Linux dağıtımları

Red Hat Enterprise Linux

Ubuntu LTS 18.04

Debian 10

SUSE Linux Enterprise 15

Amazon Linux 2

CentOS 7.6+

Ubuntu LTS 20.04

Debian 11

Oracle Linux 8

 

ESET Inspect ayrıca şu anda neredeyse 1.000 kuraldan oluşan geniş bir kural kümesine sahiptir. Kurallar, güvenlik mühendisleri tarafından araştırılacak kötü amaçlı olabilecek davranışlar için uç noktalarda, güvenlik duvarında ve ağ verilerinde, kullanıcı hesabı eylemlerinde ve diğer verilerde gerçekleşen olayları çözümlemek için kullanılır. 

ESET araştırmacıları, örneğin bir bilgisayarı yalıtmak veya bir yürütülebilir dosyayı engellemek için otomatik yanıtlarla çeşitli kurallar geliştirmişlerdir. Belirli kurallarda otomatik kullanım, "Tespit Kuralları" bölümündeki "Etkin Kural Eylemleri" kolonunda bulunur:

 

ESET Inspect'in kural kümesinin sürekli büyümesi ve ESET'in diğer güvenlik ürünleriyle entegrasyonu, yerelde bütünleşik bir XDR çözümü oluşturmanın iyi bir örneğidir. ESET için bu bütünleştirmenin temeli, BT yöneticilerinin ESET güvenlik ürünlerini dağıtması ve yapılandırması için bir yönetim konsolu olan ESET PROTECT'te yatmaktadır. ESET PROTECT platformu, işletmelere ölçeklenebilir bir önleme, tespit ve müdahale yeteneği sağlamak için uç nokta güvenliği, sunucu güvenliği, şifreleme, bulut tabanlı ve tespit ve müdahale çözümlerini konsolla birlikte bütünleştirir.  

Bu nedenle, ESET Inspect'i ESET PROTECT'e daha yakın konumlandırmak, ESET’in güvenlik ekosistemini kullanan güvenlik savunucuları için daha bütünleşmiş bir deneyim yaratmaya yardımcı olur.  Yukarıda belirtildiği gibi, bir XDR çözümünün temel hedeflerinden biri, tehdit verilerini uç noktaların ötesine ulaştırmaktır. Yani ESET Inspect'in kapsamını ESET PROTECT ile zaten entegre edilmiş olan daha fazla platforma ve veri kaynağına genişletmeye devam etmek, amaçlarımızdan en önemlisi.  

ESET PROTECT Enterprise'dan XDR'a doğru 

ESET, kapsamlı bir güvenlik sağlamak için ESET Inspect'i uç nokta ve sunucu koruması, bulut tabanlı tehdit tespit ve şifreleme ile birlikte paketleyerek ESET PROTECT Enterprise platformunda bir  XDR çözümü  oluşturuyor. 

XDR çok fazla veri gerektirir, ancak bu veriler, yeterince iyi işlenmezse performansı sert bir şekilde düşer daha fazla veri tabanı depolama kapasitesine ihtiyaç doğar.  Şirket içi veri tabanı çözümlerine daha fazla donanım yatırımı yapmak, çok esneklik olmasa bile her zaman mümkündür.  Bu nedenle, ESET PROTECT ve ESET Inspect için veri tabanı ihtiyaçları hakkında ileriyi düşünmek çok önemlidir. 

Fakat eğer bulut üzerinde kullanılırsa bu veri depolama talebini karşılamak için ölçeklendirme, yeni donanım satın almaya gerek olmadığı için çok daha esnek olacaktır. Daha fazla depolama alanı ve muhtemelen daha güçlü makineler satın almak yerine, hızlı bir şekilde değişiklik yapılabilir. Bulut tarafından sunulan esneklik ve ölçeklenebilirlik tam da Forrester'ın belirttiği bir XDR çözümünün gerektirdiği niteliklerdir. 

Önceden, ESET PROTECT ve ESET Inspect yalnızca şirket içi dağıtım için mevcuttu, bu da önemli donanım yatırımı, sunucu bakım maliyetleri ve yerinde personel gerektirebiliyordu. Şirket içi dağıtım, özellikle verilerini yakında kendi eliyle tutmaktan yana olan kuruluşlar için bir seçenek olmaya devam etse de bu çözümlerin her ikisi de bulutta da kullanılabilir durumdalar. 

Yönetilen tespit ve müdahale

Bazı durumlarda, özellikle daha küçük kuruluşlar veya temel odağı güvenlik dışında olanlar için, bir XDR çözümünden fayda sağlamanın maliyeti ağır olabilir. Benzer şekilde, ESET PROTECT Enterprise'ı yönetmek, tam zamanlı güvenlik personeli veya yönetilen bir tespit ve müdahale (MDR) sağlayıcısı ile çalışmayı gerektirir. 

Bir süredir, karmaşık ürünlerin üreticileri ve geliştiricileri, bir hizmet teklifiyle ürünlerinin değerini artırma gereğini fark ettiler. Bunun nedeni, zaman zaman müşterilerin ürünü iyi kullanacak uzmanlığa sahip olmadıklarında, genellikle yanlış yapılandırdıklarında veya tüm özelliklerini kullanmadıklarında satın aldıkları ürünün değerini görmekte zorlanmalarıdır. Daha da önemlisi, hizmet sunmak, üreticilerin müşterileri ile kurmak istediği ilişki türünü geliştirir. ESET için bu, müşterileri ile güvenlik ortaklığı yapmak anlamına gelir. 

ESET'in yenilenmiş MDR hizmeti, güvenlik ekiplerinin ESET'in ürünlerini ağları için mümkün olan en iyi yapılandırma ve optimizasyonlarla ayarlamalarına yardımcı olur.  Hizmet ayrıca, zaman içinde oluşabilecek kötü güvenlik uygulamalarını veya yanlış yapılandırmaları gidermek için düzenli sistem durumu denetimleri de içerir.  Kritik öneme sahip kuruluşlar ESET Inspect ile isteğe bağlı veya proaktif tehdit avı için ESET güvenlik mühendislerinin yardımını talep edebilir. 

İlgilenen kuruluşlar (belirli ülkelerde) ESET'in MDR hizmeti web sayfasından ulaşarak seçeneklerini inceleyebilirler. 

Sonuç 

Bu yazı bir tespit ve müdahale çözümü düşünüldüğünde görünürlüğü ve kuruluşların bakması gereken diğer tüm ölçümleri göz önüne sererek başladı.  ESET Inspect'in tehdit avcılarına sağlayabildiği görünürlük derinliğinin anlayabilmek için blog yazımızı okuyun: Sandworm’u ve Wizard Spider’ı avlamak: ESET, ATT&CK® Değerlendirmesinde ne kadar başarılı?

Tüm bu ölçümleri dengeleyen bir tespit ve müdahale çözümü tasarlamak hiç de kolay bir iş değil.  Burada tarif etmek istediğimiz, XDR yolculuğunun EDR çözümleri için yerel ve hibrit entegrasyonlar geliştirme ve bulut dağıtımları aracılığıyla veri toplamayı ölçeklendirip, bağlamla yüksek kaliteli ve zengin tespitler yaparken ve yüksek sistem performansını korumaya çalışırken karşılaşabileceğimiz sorunların karmaşıklığıdır. 

Bu karmaşıklığın üstesinden gelmeye hazır, olgun kuruluşlar tabi ki var ama sadece bir, iki IT yöneticisine sahip çoğu kuruluş için gerçekten zor bir iş. Bu insanlar diğer birçok sorumluluklarıyla birlikte güvenliği yarı zamanlı olarak yönetiyorlar. Karmaşık tehdit gruplarına odaklanan ATT&CK Değerlendirmeleri veya XDR biraz niş olarak görünebilir. 

Bununla birlikte, XDR'ın hem değerlendirmeleri hem de takibi, temel yapılandırmalardan ve ilkelerden gelişmiş ince ayar ve optimizasyona kadar en yaygın tehditlere karşı bile korunması gereken güvenlik uygulamalarına hitap eder. Ayrıca, XDR'ın buluta olan talebi, özel güvenlik ekipleri olmayan kuruluşlar için bile güvenliğin artırılmasına olanak sağlar.  Bu tür kuruluşlar, bu tartışmaya dahil olurken güvenlik uygulamalarının endüstri standartlarının altında kaldığını keşfedebilirler.  En azından bu şekilde güvenlik trendlerini yakalamaya çalışırlar. ATT&CK Değerlendirmeleri ve XDR takibi, daha az olgun kuruluşlara bile öngörü sağlayarak bu işe el atmalarını sağlayabilir.