MDR (Yönetilen Tespit ve Müdahale)
En basit bir şekilde MDR (Managed Detection and Response) kavramının tanımı, bir ağdaki kötü amaçlı yazılım, potansiyel saldırgan aktiviteleri ve izinsiz girişleri hızlı bir şekilde algılama yeteneği ile, ilgili olaya çözüm üretilmesine katkı sunar. MDR hizmetleri, kurulan ağ içindeki görünürlüğü artırdığı için kurum içindeki siber güvenliğe doğrudan katkı sağlar. Bu özelliklerin yanında makine öğrenimini esas alan bir siber güvenlik hizmetidir.
En temel yararlarından bahsetmek gerekirse, kurum içinde ek olarak bir personel ihtiyacına gerek duymadan olası tehditlerin etkisini hızlı bir şekilde belirlemeye ve sınırlandırmaya yardımcı olur.
MDR Nasıl Çalışır?
MDR genel olarak aşağıdaki başlıklar dahil olmak üzere temel ağ ve uç nokta güvenliği konusunda planlama ve uygulamasını sağlar:
1-) Deploy (Dağıtmak): Tehditlere karşı en kısa sürede ve kapsamlı olarak indirgeme konusunda kurumun tüm uç nokta ağını kapsamaktır.
2-) Detect (Tespit Etmek): EDR aracını ve tehdit istihbarat verilerini kullanarak kurum ağ ve uç noktalarının sürekli izlenmesini sağlar ve gelebilecek tehditleri tespit etme imkanı sunar.
3-) Triage (Öncelik): Oluşan bir olayın en olası etkilerine göre algılanan tehditlerin önceliklendirmesini ve doğrulamasını sağlar.
4-) Respond and Remediate (Yanıt ve Çözüm): Güvenlik ekibinin tavsiye edilen aksiyonların alınması, karşılaşılabilecek önemli tehditlerin ortadan kaldırılması ve sistemi eski duruma döndürme konusunda otomatik yanıtların ayarlanması için bilgilendirilmesidir.
5-) Report (Rapor): Her olay için (tehdidin durumu, tespiti ve çözümü) detaylı bir rapor sunmaktadır.
Avantajları Nelerdir?
– 7/24 İzleme: MDR servislerinde, istemci ağlar için 24 saat izleme ve koruma özelliği sağlar. Bu özellik sayesinde 7/24 gelebilecek bir siber atak durumuna karşı hızlı aksiyon alınması sağlanır.
– Proaktif Yaklaşım: MDR servisleri, saldırgan tarafından kullanılmadan önce güvenlik açıklarını tespit edip kapatarak siber güvenlik açısından riski oluşturacak olayların gelişme olasılığını minimum düzeye indirger.
– Görünürlük: MDR servisleri, istemci ağları üzerinde geniş ve derin bir görünürlük (monitoring) sunar. Bu özelliğin etkisi olarak olay müdahale süreçlerinde spesifik tehditlere karşı tehdit istihbaratı tarafında geliştirmeleri ve kullanım imkanını sağlar.
– Güvenlik Açığı Yönetimi: MDR servisleri, güvenlik açığı bulunan sistemlerin tespitini, bu sistemler üzerinde yama ve güncellemelerin yapılmasına yardımcı olur.
– Uyumluluk: MDR servisleri, mevzuat, yasa ve yönetmeliklerin gereksinimlerini karşılayabilecek şekilde yapılandırılmıştır. Ayrıca günün sonunda analiste bir sonuç ve rapor sunar.
Neden MDR Servisine İhtiyaç Duyulur?
Temel olarak birkaç başlık altında açıklanabilir:
1-) Gelişmiş Tehdit (APT) Tespiti: Bilinmeyen tehditleri kurum veritabanını ve ağı ele geçirmeden önce tehdidi avlamak için gelişmiş davranışsal ve yüksek teknoloji uç nokta analitiğini ve alınan istatistikleri kullanan, anlık reaksiyon veren bir işleve sahiptir. Temelinde antivirüs ve güvenlik duvarı yazılımlarından kaçabilen tehditleri, yapay zeka kullanarak otomatik olarak algılama yeteneğine sahiptir.
2-) Kapsamlı Tehdit Araştırması ve Doğrulaması: MDR servisleri, tehditleri aramaktan ziyade kapsamlı araştırma ve doğrulama da yapabilir. Bunun altında yatan sebeplerden birisi de gelen uyarının gerçek olup olmadığı kapsamlı bir şekilde ele alarak zaman ve insan gücünü boşa harcayacak yanlış alarmların oluşmasının (False Positive durumlar) önüne geçilmesini sağlamaktır.
3-) Entegre Olay Müdahalesi: Herhangi bir ihlal durumunda MDR servisleri tarafından tehdidin kuruma zarar vermeden önce en hızlı şekilde önünün kesilerek güvenlik personelleri tarafından izlenmesini ve yönetilmesini sağlar. Yani yetkili kişilere, oluşan tehditleri kapatma konusunda destek sağlamaktadır.
MDR ve MSSP Farkı Nelerdir?
MSSP (Yönetilen Güvenlik Hizmetleri Sağlayıcısı), MDR ile benzerlikleri olmasına rağmen teknolojik ve ilişki bakımından farklılıklar göstermektedir.
– MSSP hizmetleri proaktiftir, tehditlere odaklanır yani güvenlik açıklarına odaklanacak şekilde tasarlanmıştır. MDR servisleri ise bir güvenlik uyarısını izlemekten ziyade algılama, yanıt verme ve tehdit avına odaklanabilme özelliklerine sahip olan bir yapıda tasarlanmıştır.
– Her ikisi de güvenlik duvarını yönetir fakat MDR servisleri, tehdit analizi, araştırması ve adli analiz gibi durumlarda MSSP nin bir adım önüne geçmektedir.
– MDR servisleri 7/24 tehdit algılama ve müdahale imkanı sunarken MSSP türlerinin bazıları için bu durum geçerlidir.
EDR ve MDR Farkı Nelerdir?
– EDR, belirli bir uç noktayı üzerine odaklanır ve koruma sağlar. MDR ise kuruluşun tüm BT
ortamında güvenlik izleme ve yönetimini sağlar.
– Odaklandıkları sorunlar açısından ele alınırsa EDR, kurumlar üzerindeki uç noktalar için ihtiyaç duyulan, sistemler üzerindeki güvenlik görünürlüğünü ve yönetimini sağlar. MDR ise kurumun karşılaştığı güvenlik yönetimindeki beceri eksikliklerine çözümler sunar.
Faydalanılan Kaynaklar:
https://www.cybereason.com/fundamentals/what-is-mdr
https://www.stealthlabs.com/blog/managed-detection-and-response-mdr-overview-and-importance/
https://www.trellix.com/en-us/security-awareness/endpoint/what-is-managed-detection-response.html