Leman Ayva 
Fidye Yazılımı, Dosyasız Kötü Amaçlı Yazılımlar ve Diğer Gelişmiş Siber Tehditler Mevcut Uç Nokta Koruma Sistemlerine Hala Meydan Okuyor!
Yönetici Özeti
Uç nokta güvenliği söz konusu olduğunda CISO’lar çıkmaza düşerler. Çoğu, uç noktanın güvenliğinin bir noktada ihlal edileceğini varsayıyor ve bunda haklılar. Yakın zamanda CISO’larla yapılan bir ankette, katılımcıların %81’i son bir yıl içinde en az bir, %22’si ise beşten fazla izinsiz giriş yaşandığını bildirmiştir. Geleneksel anti-virüs çözümleri uç noktaları güvence altına almada yetersizdir; yani daha gelişmiş korumaya ihtiyaç duyulur.
Yeni nesil uç nokta tespit ve müdahale (EDR) çözümleri, algılama ve yanıt yetenekleri sunarak uç nokta güvenliğini iyileştirmekte, ancak aynı zamanda gizli maliyetler de doğurmaktadır. Yetersiz yanıt süreleri, firmayı fidye yazılımı ve hızlı hareket eden diğer tehditler nedeniyle riske maruz bırakmaktadır. Güvenlik personeli, sel gibi gelen uyarıları öncelik sırasına koymakla mücadele ederken, bu durum işyerindeki stres ve tehditlerin yanlış şekilde sınıflandırılması ihtimalini arttırmaktadır. İşletme sistemini ve tüm yazılımı silme ve kaldırma gibi manuel düzeltme çabaları, BT personelinin zamanını tüketip üretimin durmasına neden olmaktadır. Mevcut EDR çözümlerinin, CISO’ların uygun maliyetli, güvenilir uç nokta güvenliğini sağlamak için ihtiyaç duyduğu hız ve otomasyondan yoksun olduğu konusunda pek de şüphe yoktur.(1)
Korumanın Ötesinde
Son birkaç yılda uç nokta tehditleri karmaşıklaşıp geliştikçe, CISO’lar, sadece önlemeye odaklanan geleneksel uç nokta koruma platformlarının (EPP’ler) artık yeterli olmadığını fark ettiler. Önleme hiçbir zaman %100 etkili olamaz; gelişmiş tehditler, her zaman önleme esasına dayalı güvenlikten kaçıp kurtulacaktır. Kaçıp kurtulduklarında, tehditleri tespit etmek çok daha zordur. Yapılan bir çalışma, kuruluşların tehdit ağdan geçtikten sonra ihlali tespit etmelerinin altı aydan fazla sürdüğünü ortaya koymuştur.(3) Çoğu durumda, tehditler ancak önemli miktarda veri kaybından sonra tespit edilmektedir.
Ek olarak, saldırganlar uç nokta güvenliğini aşabilmek için daha karmaşık yollar geliştirmeye devam etmektedir. Siber suçlular, kuruluşun operasyonlarını bir dakikadan kısa sürede durdurabilecek fidye yazılımı gibi kötü amaçlı yazılımları iletmenin daha gizli yöntemlerine sahiptir. Örneğin, “living of the land” (LotL) atakları, AV çözümlerini kandırmak ve bilgisayarları etkilemek için yasal uygulamaları kullanmaktadır. Gelişmiş tehditler uç nokta güvenliğinden kurtulduktan sonra, maliyetli veri hırsızlığı, endüstriyel casusluk, üretim hatlarını ve çalışanlarını etkileyen kesintiler ve astronomik fidye talepleri gibi önemli hasarlara neden olurlar.
Uç Nota Güvenliği Yakınsaması
CISO’lar, tehditlerin belirli bir yüzdesinin her zaman güvenliği atlatacağını fark edip, kuruluşlarına sızan tehditleri tespit etme süresini kısaltmak için, EDR sistemlerini iş açısından kritik cihazlara kurarak uç nokta güvenliğini desteklemeye başladılar. EDR’ler, işlem enjeksiyonunu değiştirme, kayıt defteri anahtarlarını değiştirme veya güvenlik çözümlerini devre dışı bırakma girişimleri gibi bir tehdidin varlığına işaret edebilecek şüpheli davranışları tanımlamak için uç nokta olaylarını ve etkinliklerini izler. Bu yeni nesil EDR’ler, güvenlik analistlerinin olaylara hızlı yanıt vermesine ve bunları araştırmasına yardımcı olacak bilgiler sağlayabilir, ancak büyük ölçüde manuel işlemlere dayanır.
CISO’lar, bu tespit araçlarının uç nokta görünürlüklerini ve tehdit tespitlerini geliştirdiğini fark etmişlerdir. EDR araçları daha çok benimsendikçe, geleneksel EPP ve yeni nesil EDR birbirine yaklaşmaktadır. Şu anda, kurumsal CISO’lar, EPP çözümlerinin dosya tabanlı kötü amaçlı yazılım saldırılarını önleme, kötü amaçlı etkinlikleri tespit etme ve dinamik güvenlik olaylarına ve uyarılarına yanıt vermek için gereken araştırma ve iyileştirme yeteneklerini sağlama donanımına sahip olması gerektiği beklentisindeler.
Yeni Nesil EDR Çözümlerinin Gizli Maliyetleri
EDR çözümleri, uç nokta olaylarını kaydedip depolamak amacıyla ve olası güvenlik olaylarını belirlemek (veya uyarmak), tehditlere yanıt vermek ve adli soruşturmalara yardımcı olmak için davranışa dayalı algılamadan yararlanmak amacıyla tasarlanmıştır. Yakın zamanda yapılan bir araştırma, bir önceki yıla göre yüzde 11’lik bir artışla ankete katılan kuruluşların %47’sinin EDR yeteneklerine sahip olduğunu göstermektedir.
Yeni nesil EDR çözümleri şüphesiz uç nokta görünürlüğünü ve tehdit tespitini artırmış olsa da, bu iyileştirmeler beraberinde ek maliyetler getirmiştir ve bunların çoğu ilk bakışta görülememektedir.
Yetersiz yanıt süreleri
Yakın zamana kadar, yanıt süreleri ile, ortalama tespit süresi (MTTD) ve ortalama yanıt süresi (MTTR); günler, haftalar ve hatta aylarla ölçülüyordu. Bir kaynağa göre, 2019’da MTTD 206 gün, tespitten sonraki ortalama kontrol altına alma süresi (MTTC) ise 73 gündü.(4) Gelecekte ise, ciddi bir gelişme mümkün: Başka bir çalışmada, ihlallerin %62’sinin uç noktaya ulaştıktan sonraki 24 saat içinde tespit edilebileceği bulunmuştur.(5)
Birincil amacı veri hırsızlığı olan siber saldırılar söz konusu olduğunda, zaman sorunu yeni nesil EDR çözümlerinde bir şekilde yönetilebilir bir sorun olmaktadır. Bu tür saldırılar bilgi toplamak, ağın haritasını çıkarmak ve değerli varlıkların konumunu belirlemek için sinsice hareket eder; bu, haftalar sürebilen bir süreçtir. Pek çok CISO veri hırsızlığını önlemek için bu tür tehditlerle mücadele ederken, 24 saatlik, hatta birkaç günlük bir tespit ve yanıt süresinin yeterli olacağını düşünmektedir.Buna karşılık, fidye yazılımı gibi diğer saldırıların amacı veri hırsızlığı değil sabotajdır. Bu hızlı hareket eden tehditler dakikalar ve hatta saniyeler içinde çalışır ve zaman çerçevesini önemli ölçüde azaltır. Örneğin, WannaCry fidye yazılımının dosyaları şifrelemesi ve küresel ölçekte yayılması yalnızca birkaç saniye sürmüştür; 24 saat gibi bir sürede 150 ülkeye ve 200.000’den fazla bilgisayara bulaşmıştır.
