Managed Detection and Response (MDR) nedir?
Yönetilen tespit ve müdahale veya Managed Detection and Response kelimelerinin baş harfleriyle kısaca MDR, kuruluşlara 7/24 tehdit koruması sağlamak için güvenlik uzmanlarını, tehdit istihbaratını ve gelişmiş araçları bir araya getiren tam yönetimli bir siber güvenlik çözümüdür.
Siber güvenliğin dünya çapında kişi ve kurumlar için oluşturduğu tehdidin ne kadar büyük olduğu biliniyor, ancak bazı kurumların güçlü savunma ve müdahale mekanizmalarını sürdürmek konusunda ne kadar zorlandıkları belki de çok daha az biliniyor.
Kaspersky araştırmasına göre, InfoSec profesyonellerinin %41'i kurumlarının siber güvenlik ekiplerinin "kısmen" veya "önemli ölçüde yetersiz" olduğunu söylüyor. Bu da güvenlik uzmanlarına büyük talep olduğu ve kurumların doğru becerilere sahip yeterli sayıda personeli cezbetmekte ve ellerinde tutmakta zorlandığı anlamına geliyor. Bu durum her tür işletmeyi etkiliyor: Dünya Ekonomik Forumu, beceri eksikliklerinin kamu kuruluşlarının %52'si için en büyük siber dayanıklılık sorunu olduğunu tespit etti. Aynı zamanda, küçük kuruluşların yarısından daha azı bir siber saldırıya yanıt verme ve bu saldırıdan kurtulma becerilerine sahip olduklarını söylüyor.
Bu nedenle, birçok işletme verileri, sistemleri, uygulamaları ve kullanıcıları güvende tutmak için ihtiyaç duydukları çözümlere ve uzmanlığa erişmek için yönetilen hizmetlere yöneliyor. Bunu başarmanın en etkili yollarından biri Managed Detection and Response (MDR)dir, ancak kuruluşlar MDR güvenliğinin işletmeleri için ne kadar önemli olduğunu ancak şimdilerde yavaş yavaş fark etmekte. Gartner araştırması, 2023 yılında kurumların sadece %30'unun MDR sağlayıcılarının uzaktan tehdit engelleme ve kontrol altına alma özelliklerini aktif olarak kullandığını ortaya çıkardı; ancak bu oranın 2025 yılına kadar %50'ye yükselmesi bekleniyor. Kaspersky MDR (Managed Detection and Response) 2023 gibi çok yakın bir zaman diliminde 430'dan fazla güvenlik olayını işledi ve kritik olayların çoğu devlet kurumları, sanayi ve finans kuruluşlarında tespit edildi. Siber tehdit ortamı sürekli gelişiyor ve birçok kuruluş için buna ayak uydurmak zor.
Yönetilen tespit ve müdahale nasıl çalışır?
Peki, MDR pratikte nasıl çalışıyor? Bu, yönetilen bir hizmet olarak sağlanan ve tehditlerin tanımlanmasını ve düzeltilmesini hızlandırmak ve işletmeler üzerindeki etkilerinin ölçeğini en aza indirmek için tasarlanmış bir siber güvenlik biçimidir. İnsan güvenliği becerileri ve ileri teknoloji MDR bünyesinde bir araya getirilerek önemli ölçüde maliyet ve kaynak verimliliği sağlanabilir.
İyi MDR hizmetleri tipik olarak beş ana işlevden oluşacaktır:
Etkinlik önceliklendirme
Güvenlik olaylarının uzman personel tarafından incelenmesi ve olayların önceden belirlenmiş otomatik kurallara göre değerlendirilmesinin birleşimi, hangi olayların diğerlerinden daha önemli ya da riskli olduğunu belirler. Hatalı pozitifler ve sorun olma ihtimali düşük olanlar önceliklendirilmezken, en büyük sorunlar diğer MDR hizmetleri tarafından ele alınmak ve daha ayrıntılı olarak değerlendirilmek üzere sıranın başına yerleştirilir.
Tehdit arama
Otomasyon, potansiyel tehditleri tespit etmek için son derece güçlü bir araçtır, ancak her şeyi kapsayan bir çözüm olarak güvenmek doğru olmaz. Son derece deneyimli "tehdit avcıları", anormal faaliyetleri ve siber suçluların potansiyel bir veri ihlali veya saldırı düzenlerken sergiledikleri davranış türlerini tespit etme konusunda oldukça bilgilidir. İnsanlar ve dijital çabalar arasında, tehditler çok daha hızlı bir şekilde işaretlenebilir ve bu da daha hızlı düzeltme yapılmasını sağlar.
Tehdit araştırma
Tehditleri belirledikten sonra, bir sonraki aşama bunları derinlemesine araştırmak ve konunun özüne inmektir. Yönetilen araştırma hizmetleri bir olayın ne olduğunu, ne zaman olduğunu ve nerede olduğunu ortaya çıkarır ve etkilenen veya etkilenebilecek sistemleri, verileri, uygulamaları ve kullanıcıları belirler. Tüm bu bağlam, tehdidi durdurmanın en etkili ve uygun yollarını bildirmek için hayati önem taşır.
Yanıt yardımı
MDR güvenliği için bir ortakla çalışmak, kuruluşların çözümlerin yanı sıra tavsiyelere de erişmesini sağlar. Uzmanlar, sorunun üstesinden gelmenin en iyi yolu hakkında tavsiyede bulunmak için kendi deneyimlerinden ve tehdit araştırması ve soruşturması yoluyla toplanan bilgilerden yararlanabilirler. Bu, gerçekleşmek üzere olan bir tehdidin bertaraf edilmesi ya da halihazırda gerçekleşmiş bir saldırıya nasıl karşılık verileceği ve bu saldırıdan nasıl kurtulunacağı olabilir.
Yönetilen iyileştirme
İyileştirme süreçleri, gerektiğinde, bir tehdidin tüm izlerini ortadan kaldırmayı ve sistemleri, uygulamaları ve verileri saldırı gerçekleşmeden önceki durumlarına döndürmeyi amaçlar. Bu, kötü amaçlı yazılım kaldırma, kayıt defteri temizleme, yetkisiz erişimi reddetme, sistem geri yükleme ve diğer önlemler gibi çeşitli işlemleri içerebilir. Hangi önlemlerin kullanılacağı tehdit veya saldırının niteliğine göre değişir ve MDR güvenlik uzmanlarına danışılarak seçilir.
MDR'nin geleneksel antivirüs yazılımlarından farkı nedir?
MDR hizmetleri ile geleneksel antivirüs tabanlı güvenlik arasındaki en büyük fark MDR'nin proaktif, antivirüsün ise reaktif olmasıdır.
Genel olarak, antivirüs sistemleri imzaları tespit etmeye dayanır; farklı kötü amaçlı yazılım türlerinin kendi parmak izleri vardır ve sistemler bunları arar. Bununla birlikte, giderek daha fazla siber suçlu, diğerlerine benzemeyen ve bu nedenle bu parmak izleri aracılığıyla tespit edilemeyen benzersiz kötü amaçlı yazılım varyantları geliştiriyor. Ve her halükarda, antivirüs bu varyantları ortaya çıkana kadar tespit edemez, bu durumda da herhangi bir etkiyi önlemek için coğu zaman çok geç olabilir.
Öte yandan, yönetilen tespit ve müdahale araçları, haftanın yedi günü, günün 24 saati sistemlerdeki kötü amaçlı yazılım bulaşmalarını proaktif olarak aramak ve etkilerini azaltmak için kendi yollarını izler.
MDR ve EDR arasındaki fark nedir?
EDR (Endpoint Detection and Response) Uç Nokta Tespit ve Müdahale anlamına gelir ve MDR'nin önceliklendirme aşamasında kullanılan otomatik kurallarla çalışır. Bir EDR dağıtımı, tüm uç noktalardaki olayları ve davranış kalıplarını kaydeder ve bunlar daha
sonra güvenlik ekipleri tarafından oluşturulan otomatik kurallara göre değerlendirilir. Tespit edilen şüpheli kalıplar veya faaliyetler daha sonra güvenlik ekibinin daha fazla araştırma yapması için işaretlenir.
Bu nedenle birçok kuruluş için
EDR, yetenekli BT güvenlik uzmanları ve köklü süreç ve metodolojilerle birlikte çalışan MDR'nin bir bileşenidir.
Yönetilen tespit ve müdahale XDR ile aynı mıdır?
Pek sayılmaz. Bunu ifade etmenin en basit yolu, Genişletilmiş Tespit ve Müdahale anlamına gelen XDR'nin MDR ilkelerini bir üst seviyeye taşıdığıdır. XDR, çeşitli kaynaklardan toplanan büyük miktarda veriyi bütünleştirerek tehdit avcılığı ve araştırmasını daha da bilinçli ve proaktif hale getirir. Ayrıca, tüm işletme genelinde tehdit ortamının tam görünürlüğünü elde etmek için veri kaybı önleme ve Kimlik ve Erişim Yönetimi (IAM) gibi daha gelişmiş araçlardan yararlanır.
MDR'nin temel faydaları nelerdir?
Yönetilen tespit ve müdahale hizmetleri, bir kurumun güvenlik yaklaşımını birçok farklı şekilde dönüştürebilir ve güvenlik operasyonlarının neredeyse her alanında performansı keskinleştirebilir. MDR güvenliğinin faydaları arasında başta şunları sayılabilir
Daha kısa tespit süresi
Bazı kuruluşların bir güvenlik olayını tespit etmesi birkaç ay sürebiliyor ve bu süre zarfında sistemler, uygulamalar ve veriler üzerinde, bazen işletmenin haberi bile olmadan, tarifsiz bir tahribat meydana gelmiş olabiliyor. MDR sayesinde bu süre sadece günlere hatta saatlere değil dakikalara indirgenebilir ve böylece bir saldırının potansiyel etki alanı büyük ölçüde azaltılabilir.
Geliştirilmiş güvenlik pozisyonu
MDR hizmetleri, bir saldırı durumunda bir işletmeyi daha güçlü ve daha dirençli hale getirebilir, çünkü bir ihlalin büyük bir etkiye sahip olma ihtimali çok daha düşük olacaktır. Ayrıca, işletmenin genel güvenlik yapılandırmasının daha iyi optimize edilmesini ve iş ihtiyaçları ve saldırı profilleri geliştikçe bile öyle kalmasını sağlamaya yardımcı olur.
Sürekli tehdit tespiti
Yönetilen tespit ve müdahale araçlarının günde 24 saat, haftada yedi gün, yılda 365 gün tehditleri arama yeteneği, tehditlerin ve kötü amaçlı yazılımların gelecekte etkinleştirilmeye hazır şekilde sistemlerde "gizlenememesini" sağlar. Veri kalıpları ve davranışları sürekli olarak analiz edilebilir, böylece anormal faaliyetler kötü niyetli bir şey ortaya çıkmadan önce bile işaretlenebilir.
Daha hızlı tehdit müdahalesi ve düzeltme
Yukarıdaki üç nokta da tehditlere müdahale ve düzeltme işlemlerinin normalde mümkün olandan çok daha hızlı yapılmasına katkıda bulunur. Bir sorunun daha önce fark edilmesi, MDR kapsamında tehdit müdahalesinin daha hızlı oluşturulmasını sağlar; bu da doğru düzeltme çalışmalarının etkilenen alana çok daha zamanında uygulanabileceği anlamına gelir.
Daha az güvenlik personeli yükü
Zaten güvenlik personeli sıkıntısı varken, onları birkaç farklı güvenlik teknolojisiyle uğraştırmak, değerli zamanları üzerinde daha da fazla baskı ve stres yaratabilir. Bu durum, olayların gözden kaçmasına ve ellerindeki araçları doğru şekilde kullanamamalarına yol açabilir, çünkü bunu yapacak zamanları yoktur. Bu yükün büyük bir kısmını yönetilen hizmetlere ve yetenekli üçüncü taraf uzmanlara devretmek bu baskıyı hafifletebilir ve kurum içi ekibin etkinliğini günden güne en üst düzeye çıkarabilir.
Uyarı yorgunluğu riskini en aza indirir
Güvenlik teknolojilerinin kullanılması, güvenlik ekibinin haberdar olduğu ve ilgilenmesi gereken uyarı ve olayların sayısını büyük ölçüde artırır. Bu durum, sıradan, tekrarlayan ve insan hatasına yatkın olmasının yanı sıra, güvenlik personelinin hangi sorunların en acil olduğunu ve diğerlerinden önce çözülmesi gerektiğini belirlemesini de zorlaştırır. MDR hizmetlerindeki önceliklendirme süreçleri, en acil sorunları analiz edip işaretleyerek ve güvenlik ekibi adına olay önceliklendirmesiyle ilgilenerek bu sorunu çözer.
Yönetilen tespit ve müdahale hizmetlerinde nelere dikkat etmelisiniz?
MDR hizmetleri için pazar güçlüdür: Gartner'ın araştırması, MDR pazarının %48 oranında büyüdüğünü ve 2025 yılına kadar 2,2 milyar dolara ulaşacağını gösteriyor. Bu da birçok farklı yönetilen tespit ve müdahale aracı sağlayıcısının mevcut olduğu anlamına gelir ki bu da özel ihtiyaçlarınız ve gereksinimleriniz için doğru olanı belirlemenizi zorlaştırabilir. Seçim sürecinde bu dört özelliğe dikkat etmenizi öneririz:
Ek MDR becerileri
Güvenlik ekibiniz içinde zaten önemli bir beceri tabanına sahip olmanız muhtemeldir, ancak küresel beceri açığının da gösterdiği gibi, güçlendirmeniz gereken bazı alanlar da olabilir. Tedarikçi değerlendirme sürecinizin başında bu boşlukları belirlemeli ve ekibinizi güçlendirip tamamlayabilmeleri için bu beceri ve olgunluklarda uzmanlaşmış bir tedarikçi aramalısınız.
MDR güvenlik bilgi ve becerileri
İyi yönetilen tespit ve müdahale hizmetleri, var olan güvenlik ortamı hakkında güncel bilgilere sahip olacaktır. Ortaya çıkan en son tehditlerden haberdar olacaklar ve ilgili jeopolitik ve kültürel koşullar da dahil olmak üzere siber suçları harekete geçiren birçok altta yatan faktörü anlayacaklardır. Bu bilgi - güvenlik becerileri ve yetenekleriyle birlikte - çoğu kurum içi güvenlik ekibine değer katacaktır.
MDR hizmet sunumu ve işbirliği
Muhtemel bir MDR güvenlik hizmetinin sağlayabileceği uzmanlık ve becerilerden memnun olabilirsiniz, ancak yine de var olan ekibiniz, teknolojileriniz ve daha geniş organizasyonunuzla uyumlu olmaları gerekir. Bilgi ve içgörülerin her iki taraf arasında kolayca akabilmesi için açık iletişim konusunda güçlü bir kararlılık gösterebilmeleri gerekir. Bu, kurum içi güvenlik ekibinin yeni yaklaşıma çok daha hızlı bir şekilde ayak uydurmasına yardımcı olacaktır. Ayrıca, güvenlik ekibinin normal çalışma saatleri dışında da sistemleri güvende tutmaya yardımcı olabilecek 7/24 koruma taahhüdünü sergileyebilmelidirler.
Kapsamlı çözümler
Sonuç olarak, tüm temel unsurları kapsayan bir MDR güvenliği arıyor olmalısınız. Kaspersky Managed Detection and Response gibi bir çözüm, gelişmiş koruma teknolojileri, proaktif tehdit avcılığı, otomatik ve yönlendirmeli yanıt ve dünya çapında tanınan, rahatlıkla yararlanabileceğiniz bir uzmanlık sunar. Bu, yalnızca siber tehdit riskinin en aza indirilmesini değil, aynı zamanda MDR'ye yaptığınız BT güvenlik yatırımının da en üst düzeye çıkarılmasını sağlayabilir.
Kaspersky Managed Detection and Response ve Kaspersky Incident Response, Quadrant Knowledge Solutions tarafından 2023'ün teknoloji liderleri arasında gösterildi ve bu çözümlerin kurumları siber suçlulardan korumada yüksek düzeyde etkili olduğu onaylandı.
İlgili Makaleler:
