Sangfor Technologies, son Gartner Raporlarından “Emerging Tech: Top Use Cases for Network Detection and Response¹” ve “Emerging Tech: Security — Adoption Growth Insights for Network Detection and Response²” içinde Ağ Tabanlı Algılama ve Tepki (NDR) için Örnek Tedarikçi olarak adlandırıldı. Bu, Gartner® Network Detection and Response Pazar Rehberi³’nde NDR için Temsilci Üretici olarak tanınmamızın ardından gerçekleşti. Sangfor müşterileri, NDR ürünümüzün adını Cyber Command olarak daha iyi bileceklerdir.
Gartner Emerging Tech raporları, teknoloji alıcılarından daha çok, teknoloji satıcıları ve ürün liderleri için tasarlanmıştır. Ancak, NDR’ye yatırım yapmak isteyen veya zaten yapmış olan kuruluşların da bu raporlardan değerli bilgiler edinebileceklerine inanıyoruz.
Ağ Tabanlı Algılama ve Tepki Nedir?
Ağ Tabanlı Algılama ve Tepki (Network Detection and Response – NDR), organizasyonların ağa sızan tehditleri tespit etmelerine ve buna yanıt vermelerine olanak tanıyan bir siber güvenlik çözümüdür.
NDR, kuzey-güney ve doğu-batı trafik dahil olmak üzere ağ trafiğini gerçek zamanlı olarak izler. Gelişmiş yapay zeka analizi kullanarak bu trafiği analiz eder ve bir modelleme oluşturur. Böylelikle, gelişmiş yapay zeka analizleri ile oluşturduğu bu modellemenin dışına çıkıldığında diğer güvenlik kontrollerinden geçmiş, öğrenilmiş normal ağ davranışlarından sapma göstermiş etkinlikleri tespit eder. Bu sapma veya anomali içeren ağ davranışları diğer güvenlik çözümlerinin yakalayamadığı karmaşık saldırı tekniklerini tespit edebilir.
Geleneksel tehdit algılama araçlarının ve diğer NDR çözümlerinin aksine, NDR çözümümüz tehditleri sadece tespit etmekle kalmayıp, EDR ve güvenlik duvarı gibi güvenlik ürünleriyle entegre olup gerçek zamanlı yanıt verir ve oluşabilecek potansiyel zararları engeller.
NDR Kullanım Örnekleri
Gelişmekte Olan Teknoloji: Ağ Tabanlı Algılama ve Yanıt(NDR) için En Popüler Kullanım Durumları, NDR’nin üç kullanım durumunu tanımlar. Bunlar: Tespit, Olay Müdahalesi (IR) ve Yanıtlama. Bu kullanım durumlarını aşağıdaki gibi tanımlıyoruz.
Tespit: Ağdaki güvenlik açıkları ve hatalı yapılandırmalar gibi saldırıların, tehditlerin ve risklerin otomatik ve/veya manuel olarak tanımlanması.
Olay Müdahalesi(IR): Tespit edilen saldırılara ve tehditlere yanıt olarak gerçekleştirilen, öncelik belirleme, ek verilerin ve adli incelemelerin izlenmesi, kapsamın ve genel riskin değerlendirilmesi ve iyileştirme geliştirme dahil olmak üzere gerçekleştirilen otomatik ve/veya manuel faaliyetler.
Yanıtlama: Geçerli saldırıları ve tehditleri kontrol altına almak, ortadan kaldırmak ve bunlardan kurtulmak için gerçekleştirilen otomatik ve/veya manuel faaliyetler.
Hedef kitlemizin her bir kullanım durumunun mevcut ve gelecekteki dinamikleri hakkında daha fazla bilgi edinmesine yardımcı olmak için rapordan bazı önemli noktalar seçtik. Ayrıca NDR çözümümüz olan Sangfor Cyber Command’ı bu noktalara göre değerlendirerek izleyicilerimizin ürünün mevcut gereksinimlerle nasıl başa çıktığını anlamalarına yardımcı olduk.
Kullanım Durumu | Sangfor’un Seçtiği Anahtar Noktalar | Sangfor Cyber Command Nasıl Başa Çıkar? |
Tespit Etme | “NDR pazarında rekabet edebilmek için ürün liderleri, NDR tekliflerinin güçlü yapay zeka tabanlı algılamaya sahip olduğundan emin olmalıdır.”¹
“AI, NDR’yi diğer ağ güvenlik ürünlerinden ayıran temel bir teknoloji evrimidir. Yalnızca “bilinen” saldırıları tanımlayan bir algılama yeteneği yerine, AI, NDR’nin geçmiş verilerin korelasyonu yoluyla “bilinmeyen” saldırıları bulmasını veya anormal (muhtemelen kötü niyetli) etkinliği tanımasını sağlar. “¹
“NDR algılama, bir ağ perspektifinden başlar ve ayrıca imzasız yöntemler ve makine öğrenimi (ML) ve diğer yapay zeka biçimleri gibi gelişmiş analitik dahil olmak üzere davranışsal algılama yeteneklerini de içermelidir.”¹ | Cyber Command’ın benzersiz AI tespiti, aşağıdakiler dahil olmak üzere birçok gelişmiş teknik ve teknolojiden yararlanır:
Ağ Trafiği Analizi (NTA): Cyber Command, ağ trafiğini gerçek zamanlı olarak ilişkilendirmek ve analiz etmek için gelişmiş makine öğrenimi algoritmalarından ve yapay zeka amaca yönelik modellemeden yararlanır. Cyber Command, çok büyük miktardaki verilerden sürekli olarak öğrenerek, yanal hareket ve veri hırsızlığı gibi kötü niyetli etkinliğin yüksek oranda göstergesi olan trafik modellerindeki anormallikleri doğru bir şekilde tanımlar. Yapay zeka özellikli kötü amaçlı yazılımlar, imzalar kullanılarak tespit edilemeyen gelişmiş teknikler kullanarak bu saldırıları giderek daha fazla gerçekleştiriyor. Kullanıcı ve Varlık Davranış Analitiği (UEBA): Cyber Command, AI davranış analitiğini entegre eder ve kullanıcıların ve uygulamaların normal davranışındaki sapmaları tespit etmek için ağ trafiği analizini genişletir. Bu yaklaşım, güvenliği ihlal edilmiş geçerli hesaplar ve meşru programların yanı sıra içeriden gelen tehditlerden yararlanan gizli saldırıların tespitini geliştirir. Neural-X Tehdit İstihbaratı: Cyber Command, yapay zeka destekli bulut tabanlı tehdit istihbaratı ve analitik platformumuz Sangfor Neural-X ile entegre olur. Neural-X, Cyber Command’ı, özel ve 3. taraf kaynaklardan gelen kötü amaçlı modellere ve davranışlara ilişkin gerçek zamanlı tehdit istihbaratıyla sürekli olarak zenginleştirir ve yeni ortaya çıkan tehditlere karşı etkili kalmasını sağlar. |
“Alıcı iş yükleri giderek genel bulut ortamlarına taşınıyor ve şirket içi algılama(tespit) ihtiyacını azaltıyor……Bu ortamlarda algılama(tespit) yapmak için NDR ürün liderlerinin alternatif, potansiyel olarak ağ tabanlı olmayan veri kaynaklarını keşfetmesi gerekiyor.”¹ | Cyber Command, ağ paketleri ve NetFlow kayıtları ile harici tehdit istihbaratı dahil olmak üzere ağ genelindeki birden çok kaynaktan gelen verileri toplar ve ilişkilendirir. Ayrıca uç nokta koruma verilerini, DNS günlüklerini ve bulut altyapısına dağıtılan diğer verileri alarak bulut ortamlarında tehdit algılamayı destekler.
Cyber Command, çok çeşitli kaynaklardan gelen verileri ilişkilendirerek, gerçek güvenlik tehditlerini gösteren yüksek doğruluklu uyarılar üretir. | |
Olay Müdahalesi | “Saldırı yanıtlama (=IR), uyarıları, yapıları ve diğer adli tıp bulgularını bir araya getirmeyi ve onları ilgi çekici bir hikaye anlatacak şekilde düzenlemeyi gerektirir. Bu ayrıntıları, MITRE ATT&CK gibi endüstri tarafından tanınan çerçevelerde düzenlemek, görmek için iyi bir başlangıç noktasıdır. NDR pazarında çekiş gücü.”¹ | Cyber Command’ın benzersiz Golden Eye özelliği, güvenlik ekiplerine APT saldırı zincirinin son derece sezgisel bir grafik temsilini sağlar ve yalnızca IP adreslerini, etki alanlarını, bağlantı noktalarını veya URL’leri girerek siber saldırıların her aşamasını gösterir. Güvenlik ekiplerine, saldırının kaynağının ve saldırı yolunun izlenmesi de dahil olmak üzere, saldırıların derinlemesine görünürlüğünü sağlar ve en uygun ve etkili eylemi gerçekleştirebilmeleri için saldırıların etkisini ve ciddiyetini değerlendirmelerine yardımcı olur. Kullanıcılar, ayrıntılı içgörüler ve düzeltme önerileri için her adımın detayına inebilir.
Cyber Command ayrıca, her tekniğin beş tespit motoru tarafından tam olarak eşlendiği, tüm düşman teknikleri yelpazesini kapsayan tam MITRE ATT&CK eşlemesi sağlar. Bu haritalama, güvenlik ekiplerinin tehdit aktörleri tarafından ağa sızmak ve ağ üzerinden yayılmak için yararlanılan teknikler hakkında kapsamlı bir anlayış kazanmasını sağlar. |
“Orta ölçekli kuruluşlar arasında NDR’ye olan ilginin artmasından yararlanmak için, orta ölçekli kuruluşların daha az kaynağa sahip olması ve daha fazla otomasyona ihtiyaç duyması nedeniyle ürün ayarlamaları yapılması gerekecek. Örneğin, bugün NDR’de kullanılan çoğu yapay zeka (AI) hala algılamaya odaklanıyor. Bu hala önemlidir, ancak yapay zeka geliştirmeyi operasyonel iş akışlarına yönlendirmek, otomasyonda ve genel kullanım kolaylığında büyük iyileştirmeler sağlamalıdır. Ürün liderleri, yapay zekayı operasyonel yönlerde kullanmak için aşağıdakiler dahil fırsatlar aramalıdır:
1. Uyarıların önceliklendirilmesi 2. Önerilen sonraki adımlar 3. Adli tıp için otomatik kaynak sağlama”² | Cyber Command, makine öğreniminin ve amaca yönelik oluşturulmuş yapay zeka modellerinin gücünden yararlanarak olay müdahale sürecini düzene sokar ve güvenlik ekiplerinin hızlı ve etkili bir şekilde harekete geçmesini sağlar.
Uyarıların önceliklendirilmesi: Cyber Command, güvenlik ekiplerinin en kritik olaylara odaklanmasını sağlamak için tehdit türü, önem derecesi, kriterler ve tespit edilen aralık gibi faktörlere dayalı olarak uyarıları akıllıca önceliklendirerek uyarı yorgunluğunu önemli ölçüde azaltır. Önerilen sonraki adımlar: Cyber Command, kullanıcılara algılanan her güvenlik olayı için önerilen sonraki adımları sağlar. Güvenlik olaylarının MITRE ATT&CK çerçevesine eşlenmesi de değerli bağlam ve içgörüler sağlar. Bundan yararlanan Cyber Command, güvenlik ekiplerinin belirli tehditlere karşı en iyi uygulamaları temel alarak atması gereken uygun sonraki adımları önerir. Otomatik olarak adli tıp tedarik etme: AI, Cyber Command’ın bir güvenlik olayı durumunda adli verileri toplama ve analiz etme becerisinde çok önemli bir rol oynar. Cyber Command, ağ trafiği kalıplarını, kullanıcı davranışını ve diğer ilgili verileri analiz ederek, çok çeşitli uzlaşma göstergelerini (IOC’ler) ve uzlaşma davranış göstergelerini (BIOC’ler) otomatik olarak araştırır ve doğrular. | |
Yanıtlama | “Yanıt verme yetenekleri sunan NDR’ye ilişkin geçmişteki Gartner analizinde, pazarın hareket ettiği baskın bir kanal yoktu. Geçen yıl boyunca, son kullanıcı sorgulaması, en yaygın kontrol yanıt noktası olarak uç nokta ürünleri veya EDR ile NDR entegrasyonuna işaret ediyor.” ¹ | Cyber Command, Endpoint Secure (EDR), NGAF (NGFW) ve Neural-X dahil olmak üzere diğer Sangfor ürünleri ve hizmetleriyle sorunsuz bir şekilde entegre olur. Dahili SOAR modülünü kullanan Cyber Command, diğer bileşenlere etkili yanıt eylemleri verir. Örneğin Endpoint Secure, güvenliği ihlal edilmiş ana bilgisayarları izole etmek ve tüm uç noktaları aynı kötü amaçlı yazılıma karşı taramak için NDR platformundan gelen talimatları yürütebilir.
Cyber Command ayrıca Palo Alto, Sophos, Fortinet, Check Point, Cisco, Bitdefender, Symantec, Trend Micro, Splunk, IBM QRadar ve daha fazlası dahil olmak üzere bir dizi sağlayıcının üçüncü taraf güvenlik duvarı, uç nokta koruması ve SIEM ürünleriyle entegre olur. |
“Yanlış pozitifler ve yanlış pozitiflerden korkmak, kuruluşların yanıt vermemesinin en büyük nedenleri olmaya devam ediyor…
…İnançların ardındaki daha fazla güven, NDR ürünlerinin değerini artırmak için önemli olan yanıt kullanma konusundaki isteksizliği ortadan kaldırmalıdır.”¹ | Cyber Command, yerleşik SOAR modülü aracılığıyla otomatik bir yanıt çözümü sunar. Bu modül, bir dizi yaygın güvenlik tehdidi ve saldırı senaryosunu ele alan önceden tanımlanmış oyun kitaplarından oluşur. Ek olarak, güvenlik yöneticileri, ortamlarına ve iş operasyonlarına özgü tehditler için yanıt oyun kitaplarını uyarlayabilir. Bu özellik, otomatik yanıtın yalnızca önceden yapılandırılmış koşullar ve yüksek güvenilirlikteki tehditler için yürütülmesini garanti ederek yanlış pozitiflere yanıt verme riskini en aza indirir. |
Sangfor Cyber Command
Sangfor Cyber Command, kuruluşların ağlarında bulunan gelişmiş ve bilinmeyen güvenlik tehditlerini doğru bir şekilde tespit etmesine ve bunlara etkili bir şekilde yanıt vermesine yardımcı olan, sınıfının en iyi NDR çözümüdür.
Cyber Command çözümü, kamu, sağlık, üretim ve diğerleri dahil olmak üzere çeşitli sektörlerde test edilmiş ve kanıtlanmıştır. Olağanüstü algılama yetenekleri, fidye yazılımı, kripto madenciliği, APT’ler, BT etkinlikleri gibi birçok gizli tehdidin ortaya çıkarılmasına yardımcı oldu. Cyber Command’ın etkinliği ve ağları güvence altına alma yeteneği, kullanıcılar tarafından tekrar tekrar beğenildi.
Sangfor Cyber Command ile kuruluşlar, siber savunmalarında pasif seyirciden aktif katılımcıya dönüşerek hem bugünün hem de yarının giderek daha karmaşık hale gelen tehditlerinin bir adım önünde olacaklardır. Şimdi Cyber Command’ın gücünü ilk elden ücretsiz deneyimleyebilirsiniz: https://active.sangfor.com/cyber-command-free-trial-pov
Kaynaklar:
- Gartner Inc., Emerging Tech: Top Use Cases for Network Detection and Response, Nat Smith et al., April 5, 2023
2. Gartner Inc., Emerging Tech: Security — Adoption Growth Insights for Network Detection and Response, Nat Smith et al., April 4, 2023
3. Gartner Inc., Market Guide for Network Detection and Response, Cybersecurity Research Team, December 14, 2022