Güvenlik Yığınında XDR’nin Rolünü Tanımlama
Steve Garrison, Başkan Yardımcısı, Stellar Cyber
XDR ve Open XR, siber güvenlik araçları pazarındaki en son moda sözcüklerden ikisidir, ancak XDR’nin birçok tanımı ve bunu sağlamaya yönelik çeşitli yaklaşımlar vardır. Biraz havayı temizleyelim.
Genel olarak siber güvenlik ürünleri, ağı ve varlıklarını yetkisiz erişim, değişiklik, imha ve kötüye kullanımdan korumak için önleyici fiziksel ve yazılımsal önlemler kullanır. Bu ürünler genellikle ağdaki belirli varlıkları korur:
- Güvenlik duvarları: trafiğe izin vererek veya reddederek yetkisiz kullanıcıların ağa erişmesini önleyin.
- Anti-Virüs/Kötü Amaçlı Yazılım yazılımı: ağ uç noktalarını ve sunucuları, dosyaları bozabilecek, hassas verileri dışa aktarabilecek veya diğer kötü amaçlı faaliyetler gerçekleştirebilecek yazılımlara zarar vermekten korur.
- Uygulama Güvenliği: sistemler, uygulama yazılımındaki güvenlik açığı noktalarını arar ve engeller.
- Ağ Erişim Kontrolü: sistemler, yetkili kullanıcılar ve cihazlar için erişim izinlerini yöneterek yetkisiz kullanıcıların erişim elde etmesini önler.
- Kullanıcı Davranışı Analitiği: çözümler, kullanıcı etkinliğini, temel normal davranışı izler ve normal etkinlikten sapan etkinlikler konusunda uyarı verir.
- Ağ Trafiği Analizi: Ağ Algılama ve Yanıt (NTA/NDR) ürünleri ağ trafiğini analiz eder, saldırıları gösterebilecek anormal kalıpları arar ve sonuçlara göre hareket eder. Ağ trafiği yalan söylemez ve tehdit tespiti için stratejik veriler içerir.
- Bulut Güvenliği: çözümler, buluttaki kaynakları korur.
- İzinsiz Giriş Önleme Sistemleri (IPS): güvenlik duvarını aşan dış kullanıcılardan veya işlemlerden gelen saldırıları izleyin ve engelleyin.
- Güvenlik Bilgileri ve Olay Yönetimi (SIEM): SIEM ürünleri, ağdaki çeşitli cihaz günlüklerinden veri toplar ve anormallikleri izleyebilir. Trafik tabanlı NTA/NDR ürünleri, günlükleri analiz ederek ve harekete geçerek SIEM’leri tamamlar. Aslında, NTA/NDR, görünürlüğü günlüklerin ötesine taşımak için kritik öneme sahiptir.
Gördüğünüz gibi, bir ağda korunacak çok şey var ve onu korumaya yönelik birçok yaklaşım var. Ancak yönetilmesi gereken bir düzine veya daha fazla nokta çözümüne (her birinin kendi arayüz konsoluna sahip) sahip olması yerine, yalnızca bir tanesine sahip olmak daha kolay, daha hızlı ve daha verimli olmaz mıydı? XDR / Open XDR’nin devreye girdiği yer burasıdır.
XDR’nin tanımları
XDR’nin ilk tanımları – eXtended veya Everything Detection and Response – onu, tüm güvenlik öldürme zincirinde algılama ve yanıtı birleştiren tek bir platform olarak tasavvur ediyordu. Buradaki fikir, ağı izlemek ve korumak için bir düzine veya daha fazla ayrı güvenlik konsolunu yönetmek yerine, XDR’nin bu araçlardan gelen telemetriyi birleştirmesi ve tek bir gösterge panosunda sunmasıdır. Daha gelişmiş ürünler yalnızca verileri birleştirmekle kalmaz, aynı zamanda bunları nasıl etkisiz hale getirileceğine ilişkin önerilerle birlikte öncelikli bir tehdit listesi sunmak için otomatik olarak ilişkilendirir ve analiz eder.
Peki, pazar özellikle XDR’yi nasıl tanımlıyor? Bu kime sorduğunuza bağlı. Omdia’nın XDR kısaltmasını icat eden baş analistlerinden Rik Turner’a göre, XDR “bütünleşik tehdit algılama ve yanıt yetenekleri sunan tek, bağımsız bir çözümdür”. Omdia’nın “kapsamlı” bir XDR çözümü olarak sınıflandırılma kriterlerini karşılamak için bir ürünün uç noktalar, ağlar ve bulut bilişim ortamlarında tehdit algılama ve yanıt işlevselliği sunması gerekir.
Gartner’ın tanımı, uyarı ve olay korelasyonu, yerleşik otomasyon, birden çok telemetri akışı, birden çok algılama biçimi (yerleşik algılama) ve birden çok yanıt yöntemi gibi özelliklere işaret etmesi bakımından benzerdir. Ancak Gartner, XDR’nin birden fazla tescilli, satıcıya özel güvenlik ürününü konsolide ederek elde edilmesini gerektirir.
Forrester’ın XDR tanımı, platformun bir EDR etrafında sabitlenmesini gerektirir. Yerel XDR’yi, bir satıcının kendi güvenlik araçlarıyla bütünleşen EDR olarak tanımlar; Üçüncü taraf güvenlik araçlarıyla entegre EDR olarak Hybrid XDR; yerleşik EDR’si olmayan, ancak üçüncü taraf entegrasyonlarıyla yerleşik NAV ve SOAR’a sahip bir platform olarak bir SAP (Güvenlik Analitiği Platformu); ve SSA (Bağımsız Güvenlik Analitiği), telemetri kaynakları ve yanıtları için yalnızca üçüncü taraf araçlarına dayanan platformlar olarak.
XDR’yi aç
Open XDR, başlangıçta Stellar Cyber tarafından, tüm güvenlik ürünlerinin/bileşenlerinin aynı satıcıdan olması gerekmemesi dışında, Gartner’ın bahsettiği aynı özelliklerle oluşturuldu. Bunun yerine platform açık ve üçüncü taraf güvenlik araçlarıyla bütünleşiyor. Bazı bileşenler yerleşiktir ve diğerleri derin üçüncü taraf entegrasyonları yoluyla eklenir.
Open XDR takma adı daha sonra, telemetri kaynakları ve yanıt için tamamen geniş bir üçüncü taraf araçları ekosistemine güvenen, ancak herhangi bir yerleşik bileşen sunmayan satıcılar tarafından seçildi.
Open XDR Nasıl Yardımcı Olur?
Open XDR, kurumsal siber güvenlik altyapılarında, şirketlerin güvenlik araçlarına zaten büyük yatırımlar yapmış olduğu ve XDR’yi benimsemek için bu yatırımlardan vazgeçmek istemedikleri temel bir gerçekliğe hitap ediyor. Bunun yerine Open XDR, şirketlerin verilerini diğer araçlardan ve sensörlerden gelen verilerle otomatik olarak ilişkilendirerek daha değerli hale getirirken bu mevcut yatırımlardan yararlanmalarına olanak tanır.
Ek olarak, daha gelişmiş Open XDR platformları, analistlerin “uyarı yorgunluğunu” azaltmak için yapay zeka ve makine öğreniminden yararlanır. Bir düzine veya daha fazla araçtan binlerce uyarıyı yönetmek yerine, XDR, ilgili uyarıları daha üst düzey olaylarda birleştirir ve herhangi bir ortamda normal davranış olarak “öğrendiği” şeylere dayalı olarak birçok uyarıyı otomatik olarak reddeder.
Her tür organizasyonu etkileyen siber güvenlik saldırılarının artan dalgası, küresel siber güvenlik analistleri eksikliği ve yüksek analist ciro oranları ve tükenmişlik ile birleştiğinde, korumayı ve analist üretkenliğini iyileştiren herhangi bir çözüm gerçekten memnuniyetle karşılanmaktadır. XDR’nin gerçek vaadi budur.
Steve’e çevrimiçi olarak [email protected] adresinden ve şirketimizin web sitesinden ulaşılabilir. http://stellarcyber.ai.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.