Yönetilen Algılama ve Yanıt (MDR) hizmetinden ne beklemelisiniz?

Bir MDR çözümünden ve yanında verilen hizmetten beklemeniz gereken beş önemli özellik bulunur. Şirketiniz için MDR’a (Yönetilen Algılama ve Yanıt) ihtiyaç duyuyorsanız bu hizmeti yetkin bir iş ortağından almanız oldukça önemlidir. Peki bu iş ortağının yetkin olup olmadığına nasıl karar verebilirsiniz?

COVID-19 pandemisi sırasında ve sonrasında dijital dönüşüm yatırımlarındaki artışın bir sonucu olarak birçok trend ve gelişme hız kazandı. Bu süreçte tehdit ortamı da son derece hızlı bir şekilde gelişiyor ve kurumsal siber saldırı alanları genişliyor. 

Ancak saldırı alanı genişledikçe, beceriler, yetenekler ve kaynaklar temelinde saldırganlar ve savunucular arasındaki mesafe de açılıyor. Neyse ki, kurumsal güvenlik ekiplerinin kontrolü (yeniden) ele geçirmek için yapabileceği şeyler var. Örneğin; proaktif yaklaşım, önlem, algılama ve yanıtın önemsenmesi ve dışarıdan (uzman sektör ortaklarından) hizmet almak olabilir.

Yönetilen algılama ve yanıt (MDR) tüm bunları birleştiriyor. Ancak tüm şirketler, çözümler ve ihtiyaçlar aynı değildir. Bu nedenle MDR’ın ne olduğu, kuruluşunuzun neden MDR’a ihtiyaç duyabileceği ve bu hizmeti alırken dikkat etmesi gereken beş temel özelliğe bir göz atalım.

Neden MDR?

Pandemi döneminde yatırımların artmasıyla birlikte aşağıdakiler gibi eğilimler gözlendi:

• Kuruluşları saldırıya açık hale getiren yanlış yapılandırmalara yol açan bulut sisteminin hızla benimsenmesi ile şirket içi çözümleri arka plana atmak.
• Gelişmekte olan hibrit iş yeri modeli ile evde kontrol edilemeyen cihazlara ve bunları kullanan dikkatsiz, potansiyel riskler taşıyan çalışanlara sahip olmak.
• Yönetilen hizmet sağlayıcıların (MSP) işin içine girmesi ile birlikte Kaseya olayının bize gösterdiği gibi tedarik zinciri karmaşıklığında artış.
• Karmaşık çok aşamalı fidye yazılımı saldırılarını başlatabilen hizmet olarak fidye yazılımının (RaaS)yaygınlaşması.
• İhlalin belirgin işaretlerini tespit etmeyi zorlaştıran yanal hareket için yasal araçların kullanımı.
• Saldırganların yasal kimlik bilgileri kullanarak savunmaları aşmasını kolaylaştıran ihlal edilmiş verilerle dolu bir yeraltı siber suç dünyası.
• İlk Erişim Aracıları (IAB’ler) gibi bireysel oyuncuların tedarik zincirinde açıkça rol aldıkları siber suç ekonomisi.
• Tehdit aktörlerine hedeflerine ulaşmaları için daha fazla fırsat veren CVE’lerin yayınlanmasındaki artış.

Tüm bu eğilimler ve daha fazlası ihlallerin yaygınlaşma ihtimalini artırıyor. 2021 yılında ABD’de kamuya açıklanan veri ihlallerinin tüm zamanların en yüksek seviyesine ulaştığı görüldü. Bu durum, ihlal olaylarının algılanmasını zorlaştırıyor ve kontrol altına alınmasının maliyetini artırıyor. 

Bir veri ihlalini algılamak ve kontrol altına almak için ortalama süre şu anda 277 gün ve güvenliği ihlal edilmiş 2.200 ila 102.000 arası kayıt için ortalama maliyet 4,4 milyon USD.

Önleme yeterli olmadığında

Çoğu durumda güvenliğe yönelik önleyici yaklaşım yeterli değildir. Kararlı tehdit aktörleri her zaman kurumsal ağınıza girmenin bir yolunu bulur. Bunun için güvenlik açığından yararlanma yolunun dışında ihlal edilmiş, kimlik avı veya fiziksel olarak ele geçirilmiş kimlik bilgilerini kullanabilirler. Artık önleyici çabalara tehdit algılama ve yanıt (EDR) eklemenizin zamanı geldi. 

EDR, saldırganların savunmanızı geçmesi durumunda, bir zarar vermeden önce herhangi bir şüpheli etkinlik işaretini tespit etmek için sürekli ve ayrıntılı izleme yapar. Güvenlik operasyonları ekibiniz olayı ciddi bir ihlale dönüşmeden kontrol altına almak için hızla yanıt verebilir.

Genişletilmiş algılama ve yanıt (XDR), bunu başarmak için giderek popüler hale gelen bir yoldur.

Saldırganları durdurmak için uç nokta, e-posta, bulut ve diğer katmanlardaki kritik algılama yeteneklerinin yanı sıra, yanıt ve ortadan kaldırmayı kullanır. Ancak, bazı kuruluşlar için XDR tam anlamıyla bir çözüm olamayabilir. Bunun nedenleri aşağıdaki gibi sıralanabilir:

• Şirket içi eksiklikler: XDR araçlarını çalıştıracak az sayıda eğitimli analistiniz olabilir veya hiç olmayabilir.  
• Dağıtım ve yönetim sorunları: Yine kısmen personel eksikliğinden kaynaklanır ve özellikle XDR’ı birden çok bölgede yönetirken ortaya çıkar. 
• Yüksek personel maliyeti ve doğru XDR araçlarını satın alma ve bakım sürecinin zorluğu.
• Uyarıların fazlalığı: Stres altındaki analistler için tehdit öncelik sıralamasını doğru yapamayan araçlardan oldukça fazla sayıda uyarı gelir. Bu da dikkat dağınıklığına ve yanlış tespitlere yol açabilir.  

Bu nedenle MDR giderek daha fazla tercih edilmektedir. Çözüm, XDR’ın yönetimini uzman dış kaynak sağlayıcıya devreder, yani eğitimli analistler tehdit algılama, önceliklendirme, analiz ve müdahale işlemlerini gerçekleştirir. Ancak piyasada bu kadar çok çözüm varken işletmeniz için doğru olanı nasıl seçebilirsiniz?

Bir MDR çözüm sağlayıcısında olması gereken 5 özellik

MDR, sektör lideri teknolojinin ve insan uzmanlığının birleşimidir. Yetenekli tehdit avcılarının ve olay yöneticilerinin siber riski en aza indirmeye yardımcı olmak üzere araçların sonuçlarını analiz ettiği Güvenlik Operasyonları Merkezi (SOC) içinde bir araya gelirler. MDR hizmet sağlayıcısından beklemeniz gereken beş özellik bulunur:

1. Mükemmel algılama ve yanıt teknolojisi: Yüksek algılama oranları, düşük yanlış tespitler ve minimum sistem ayak izi ile tanınan bir üreticinin ürünlerini kullanıyor olmalı. Bağımsız analist değerlendirmeleri ve müşteri incelemeleri yararlı olabilir.
2. Önde gelen araştırma yetenekleri: Tanınmış virüs laboratuvarları veya benzerlerine sahip üreticiler, ortaya çıkan tehditleri durdurma açısından avantajlıdır. Bunun nedeni, uzmanlarının her gün yeni saldırıları ve bunların nasıl azaltılacağını araştırmasıdır. Bu istihbarat, bir MDR için paha biçilmezdir. 
3. 24/7/365 destek: Siber tehditler küresel bir olgudur ve saldırılar her yerden ve her zaman gelebilir, bu nedenle MDR ekipleri tehdit ortamını gece gündüz her zaman izliyor olmalıdır.
4. Üst düzey müşteri hizmetleri: İyi bir MDR ekibinin işi, yalnızca ortaya çıkan tehditleri hızlı ve etkin bir şekilde algılamak ve bunlara yanıt vermek değildir. Şirket içi güvenliğin veya Güvenlik Operasyonları ekibinin bir parçası gibi de davranmalıdır. Bu sadece ticari bir ilişki değil, bir ortaklık olmalıdır. Müşteri hizmetlerinin devreye girdiği yer burasıdır. Üretici, yerel dil desteği ve dağıtım için dünya genelinde hizmet vermelidir.
5. İhtiyaca göre hizmet: Her kuruluş aynı değildir. Bu nedenle MDR sağlayıcıları, kuruluşlar için hazırladıkları teklifleri kuruluşun boyutlarına, IT ortamlarının karmaşıklığına ve gerekli koruma düzeyine göre özelleştirebilmelidir.

Küresel MDR pazarının önümüzdeki beş yıl içinde %16’lık bir YBBO ile 2027 yılına kadar 5,6 milyar USD’ye ulaşacağı tahmin ediliyor. Tehlikede olan birçok kuruluş ve piyasada çok fazla üretici var, kararınızı vermeden önce kapsamlı bir durum tespiti yapmak faydalı olacaktır.

İlgili makale: Ücretsiz kılavuz: Etkin siber güvenlik stratejisi oluşturun