EDR (Endpoint Detection and Response) 

Geleneksel antivirüs uygulamaları gelişmiş saldırılarla baş etme konusunda ve saldırıların davranışsal analizi sürecinde yetersiz kalabilir. Bu tür uygulamalar, önceden tanımlanmış tehditlere ait dijital imzaları kullanarak zararlı yazılımları tespit eder. Ancak günümüz tehdit ortamı, sürekli değişen, şekil değiştiren ve sıfır gün saldırılarına açık sistemlerle doludur. Bu noktada, tehditlerin davranış temelli olarak analiz edilmesini sağlayan daha güçlü güvenlik çözümlerine ihtiyaç duyulmaktadır

EDR, uç noktada gerçekleşen aktiviteleri sürekli olarak izler. İzlemenin ve tehdit tespitinin ötesinde saldırının nasıl başladığı, nasıl yayıldığı hakkında bilgi verir. Saldırı sürecini Cyber Kill Chain mantığıyla analiz eder. Gerçek zamanlı müdahale özelliği sayesinde saldırıyı durdurabilir, bilgisayarı ağdan izole edebilir ve dosyayı karantina altına alabilir. Bu özellik, EDR çözümünün sadece izlemekle kalmayıp aktif bir savunma başlattığının da göstergesidir. Bir saldırının dijital ayak izi olan IOC’ler (Indicator of Compromise) sisteme tanıtıldığında ve bu tehditle karşılaşıldığında otomatik olarak algılanır ve EDR, bunu MITRE ATT&CK içindeki ilgili teknik ve taktik ile ilişkilendirir. Böylece bir saldırının yalnızca varlığını değil, aynı zamanda amacını, yöntemini ve potansiyel etkilerini de analiz etmek mümkün hâle gelir. Buna ek olarak, saldırının gerçekleşme aşamasındaki davranış kalıplarını temsil eden IOA’lar (Indicator of Attack) sayesinde, yalnızca gerçekleşmiş tehditleri değil, potansiyel saldırı girişimlerini de proaktif şekilde tespit ederek engelleyebilir. 

Ajanların sistemlerden topladığı davranışsal telemetriyi kullanarak, uç noktalardaki güvenlik olaylarını genel bakışla görmenizi sağlar.

EDR arayüzünde genellikle bir gösterge paneli (dashboard) yer alır. Bu panel sayesinde veri kalabalığı yerine, aksiyon alınabilir özetlere ulaşabilir, ayrıca basit bir görünüm elde etmiş olursunuz. Bu panel üzerinden aşağıdaki bilgilere erişebilirsiniz:

Aktif izleme ve Tehdit Tespitleri: Gerçek zamanlı olarak algılanan tehditler ve olaylar görüntülenebilir. Sistem, zararlı aktiviteleri belirli taktik ve tekniklere göre sınıflandırarak sunar. (MITRE ATT&CK çerçevesine göre). Bunu sistemde taktiklere göre tespitler başlığı altında bulabilirsiniz.

Gerçek Zamanlı Tehdit Skoru: Bu sistem, kurumların güvenlik durumunu 0–100 arasında bir puanla değerlendirir ve bu görsel metrikle uç noktalardaki risk seviyesini hızlıca görmenizi sağlar. Böylece analistlerin hangi olaylara önce bakması gerektiğini netleştirir. Ne kadar düşük puan olursa o kadar sistemin güvende olduğu anlaşılır.

1. Aşama: Zararlı E-posta ile Bulaşma

• Kurumsal kullanıcı, sahte bir e-posta ekini açar.

• Excel/Word dosyasında makrolar çalıştırılır.

• Bilgisayara arka planda NotPetya fidye yazılımı yüklenir.

2. Aşama: Ağda Yayılma ve Keşif

• NotPetya, EternalBlue açığını kullanarak ağdaki diğer bilgisayarlara sıçrar (lateral movement)

• Ayrıca, Mimikatz ile yönetici parolalarını çalar.

• Tüm ağı hızla tarar ve erişebildiği tüm sistemleri hedef alır.

3. Aşama: Sistemleri Şifreleme ve Çökertme

• NotPetya, dosyaları değil, doğrudan diskin ana kayıt yapısını (MBR) şifreler.

• Bilgisayar yeniden başlatılır ve artık açılmaz.

• Kullanıcı sadece fidye notunu görür: 300$ BTC istenir.

  
  

NotPetya gibi fidye yazılımları, sistemlerin derinliklerine inerek klasik güvenlik çözümlerini aşmayı hedefler. Ancak günümüzde, davranışsal analiz destekli bir EDR çözümü, bu saldırı zincirinin tüm halkalarını erken evrede tespit edebilir.

Artık EDR ürünleri, makro tabanlı saldırıları, lateral hareketi ve şüpheli sistem değişikliklerini anında algılayarak sadece NotPetya değil, tüm gelişmiş fidye yazılımlarına karşı kuruluşunuzu güvence altına alır.

Sonuç: EDR sayesinde saldırı adım adım izlenmiş olur. Sistem ne zaman, nerede, nasıl (cyber kill chain) saldırıya uğradığını gösterir. Hızlı ve gerçek zamanlı müdahale sayesinde ise daha fazla zarar engellenir.

Özetle, EDR çözümleri, uç noktadaki davranışsal verileri gerçek zamanlı izleyerek gelişmiş tehditleri tespit eder. Cyber Kill Chain modeliyle saldırı aşamalarını analiz eder, MITRE ATT&CK taktik ve tekniklerine göre sınıflandırma yapar ve otomatik müdahale imkânı sunar.  Risk seviyesi ölçülür, böylece etkili tehdit yönetimi ve güçlü bir siber güvenlik mekanizması oluşturulur.