ENDPOINT XAVFSIZLIGI KELAJAGIDA EDR VA MDR?

Ushbu maqolada men axborot xavfsizligini oshirish va ma'lumotlar buzilishini kamaytirishga asoslangan ikkita asosiy mavzu haqida gapiraman. So'nggi paytlarda yangi va farqli kiberhujumlarning paydo bo'lishi bilan ko'plab muassasalar hujumga uchraganini va turli xil xavfsizlik dasturlarini qo'llashiga qaramay tahdidlar batamom bartaraf etilmayotgani kuzatilyapti. Tafsilotlarga kirishdan oldin, sizning muassasangizda quyidagi elementlar mavjudmi? Agar sizda yo'q bo'lsa, ushbu maqolani diqqat bilan o'qib chiqishingizni tavsiya qilaman.

  • Sizda SOC yoki SOME birligi bormi?
  • Sizda xavfsizlik sohasida mutaxassis bo'lgan xodimlar bormi?
  • Xavfsizlik bo'yicha dasturiy ta'minotingiz NSS Lab kabi texnik foydalanish uchun muassasalar tomonidan tekshirilganmi va kerakli sertifikatlarni olganmi? Ularning ishlashini tekshirdingizmi?
  • Xavfsizlik buzilishi yoki boshqa zaiflikni aniqlaganingizda, vaziyatning asosiy sababiga osongina erisha olasizmi yoki unga erishish uchun sizga bir necha soat yoki hatto kun kerakmi?
  • Zaiflik yoki buzilish sodir bo'lgan, tarmog'ingizdan ajratilgan oxirgi nuqtani (Yakuniy foydalanuvchi) tekshirish imkoniyati bormi?
  • Voqealarni tekshirish tafsilotlari bormi?

Biz yuqorida aytib o'tgan mavzularni yanada kengaytirish mumkin, lekin asosiy mavzuimizdagi elementlarni to'liq tushunish uchun avvalo o'zingizga shu savollarni berib, javoblarni o'z ichingizda muhokama qilishingiz foydali bo'ladi.

**EDR (Endpoint Detection and Response) nima?

Biz yangi paydo bo'lgan turli xil hujum turlari va an'anaviy antivirus tizimlarining yetarli emasligi tufayli vaqti-vaqti bilan tizimlar va quyi foydalanuvchilarga ta'sir qilishini kuzatamiz. Ko'pgina antivirus dasturlarini chetlab o'tish mumkin, ayniqsa powershell ekspluatatsiyasidan intensiv foydalanish orqali. Shunga o'xshash ko'pgina misollar keltirishimiz va o'rnak sifatida ko'rsatishimiz mumkin. EDR bilan nima qilishimiz mumkinligini sanab o'tishdan oldin, ushbu tizim bizga qaysi savollarga javob berishini aytib o'tish foydali bo'ladi;

  • Qanday turdagi hujum sodir bo'ladi? (Local-Remote-Malware-Ransomware-ZeroDay)
  • Bu sodir bo'lishining sababi nima? (Yo'qolgan yangilanishlar, noto'g'ri yoki yetishmayotgan konfiguratsiyalar, BoTNet, eski versiya ilovalaridan foydalanish va h.k.)
  • Hujum usuli qanday? (Veb-asoslangan, elektron pochta, USB, tarmoqqa asoslangan va boshqalar)
  • Hujum qachon sodir bo'lgan?
  • Hujumdan jabr ko'radigan kim/kimlar?

Umuman olganda, EDR tizimi bizga beradigan afzalliklarni quyidagicha belgilashimiz mumkin:

  • Exploit-based hujumlarni aniqlash va tahlil qilish,
  • Har bir faoliyatni kuzatib boradi va qayd etadi,
  • Muayyan davrlarda Endpointda lateral harakatlar qilish orqali o'zini yashirishga va mavjud qurilmadan foydalanishga harakat qiladigan zararli dasturni aniqlash,
  • Behavior Monitoring va Machine Learning texnologiyalaridan foydalangan holda, hodisani aniqlash vaqti va joylashuvini va tarmoqqa beriladigan zararni oldini oladi va aniqlaydi,
  • Powershell hujumlari (Masalan, Excel fayliga o'xshasa-da, aslida fonda .exe fayli sifatida sozlangan va foydalanuvchi mashinasini backdoor yoki botnet kabi hujumlarga duchor qilishi mumkin).
  • Noma'lum fayllar yoki ilovalarni aniqlash va ularni virtual muhitda sinab ko'rish va tarmoqdagi boshqa quyi nuqta foydalanuvchilarini ushbu muammo haqida xabardor qilish,
  • Yakuniy nuqtalarda sodir bo'layotgan harakatlarni kuzatish va ularning tahlilini bir zumda kuzatish,
  • Turli xil mahsulot guruhlari (UTM Firewall, APT mahsulotlari va boshqalar) bilan integratsiyalashgan holda xavfsizlik vaziyatingizni keyingi bosqichga olib chiqish imkonini beradi.
  • Siz quyi foydalanuvchida sozlagan endpoint sensori yordamida jihoz ro'yxatga olish qaydi sizga tarmoq trafigi, jarayonlar, SMB va boshqa turli xil protokollar orqali sodir bo'ladigan trafik haqida ma'lumot olish va tahlil qilish imkonini beradi,
  • Registry qaydi yozuvlarini, ayniqsa Windows kompyuterlaringizda kuzatib boradi va fonda anomaliyalarni aniqlaydi.
  • Jarayonlar va xizmatlar batafsil kuzatib boriladi,
  • XOQ va YARA dan foydalanishni qo'llab-quvvatlaydi,
  • IP, URL, domen, DNS va SHA xesh, fayl nomi va fayl yoʻli kabi qidiruvlarni amalga oshirish imkonini beradi.
  • Ayniqsa, oson boshqarilishi bilan sizga voqea vaqti va uning barcha sabablariga oson kirish imkoniyatini beradi, shu bilan birga ehtiyot choralarini ko'radi va natijalarni sizga taqdim etadi. Bu siz ko'ra olmaydigan tafsilotlarga sizning ko'zingiz sifatida ishlaydigan tizim.

Men EDR tafsilotlari va umuman olganda sizga qanday masalalarda yordam berishi haqida gapirdim. Yana bir tarafda, MDR (Managed Detection and Response) nima va undan nima uchun foydalanish kerak?

MDR - bu tahdidni anglash, aniqlash, aralashuv va tiklash jarayonlari belgilaydigan va boshqaradigan xizmat. Biz MDRni qaror qabul qilish va jarayonga aralashuvni osonlashtirishga qaratilgan xizmat sifatida tushuntirishimiz mumkin, ayniqsa muassasalarda kiberxavfsizlik bo'yicha mutaxassislar bo'lmasa. U tahdidlar yuzaga kelgan so'nggi nuqtalarda ma'lumotlarni himoya qilish va aralashuvni markazlashtiradigan tuzilishga ega. Bu, ayniqsa DLP, SIEM va Incident Forensics ilovalariga qo'shilishi mumkin bo'lgan ilg'or xavfsizlik yechimidir. MDR, shuningdek, xavfsizlik hodisalarini talqin qilish va muassasalar yoki tashkilotlarda qabul qilinishi mumkin bo'lgan chora-tadbirlarni shakllantirish imkonini beradi. Xavfsizlik mutaxassislarining eng muhim ehtiyojlaridan biri, muassasa yoki tashkilot kelajakda duch kelishi mumkin bo'lgan hujumlarga qarshi ko'rishi mumkin bo'lgan ehtiyot choralarini aniqlashdir. MDR bilan ushbu nuqtada mavjud bo'lgan tizimli imkoniyatlar bilan faol ravishda echimlarni olish mumkin.

Umumiy ma'noda qaraydigan bo'lsak, EDR va MDR birlashtirilgan va bir-biriga o'xshash ikkita xavfsizlik xizmatidir. Tadqiqotlarga ko'ra, 2021 yilgacha ushbu bo'limga muassasalar tomonidan kiritilgan sarmoyalar tez sur'atlar bilan o'sishi kuzatilmoqda. Texnologiyaning kundan-kunga rivojlanishi va kompaniyalarda kiberxavfsizlik kontseptsiyalari faol ravishda tuzilishi bilan EDR va MDR yechimlaridan foydalanish muqarrar vaziyat sifatida kuzatilmoqda. Turkiyada KVKK sizning muvofiqlik jarayonlaringizni sezilarli darajada qo'llab-quvvatlaydi.

So'nggi paytlarda biz Trend Micro va Symantec kabi sanoatning yetakchi xavfsizlik yechimlari ishlab chiqaruvchilari o'zlarining professional xizmat ko'rsatish imkoniyatlarini kengaytirganini va ularning diqqat markazida endpoint xavfsizligida EDR va MDR tizimlarini o'z ichiga olganini kuzatdik. Ayniqsa, APT integratsiyasi bilan biz L2-L7 trafigini va virtual muhitdagi (Sandboxing texnologiyasi) elektron pochta trafigini tez-tez ishlatib turadigan tarmoq faoliyatingizni tahlil qilamiz va yakuniy chora-tadbirlarni amalga oshirish tafsilotlarini amalda kuzatamiz va tashkil qilamiz. Tafsilotlar uchun biz bilan bog'lanishingiz mumkin.