CyberFlow Logo CyberFlow BLOG
Soc L1 Izleme Endpoint Edr

EDR Mimarisi: Uç Nokta Güvenliğinin Temelleri

✍️ Ahmet BİRKAN 📂 Soc L1 Izleme Endpoint Edr

EDR mimarisinin bileşenlerini, güvenli bağlantı yöntemlerini ve offline çalışma stratejilerini öğrenin.

EDR Mimarisi: Uç Nokta Güvenliğinin Temelleri

EDR mimarisi, uç nokta güvenliğinin temel yapı taşlarını keşfetmekte ve kritik süreçleri anlamanızı sağlamaktadır. Kurulumdan offline çözüme kadar her adımı inceleyin.

Giriş ve Konumlandırma

EDR Mimarisi: Uç Nokta Güvenliğinin Temelleri

Giriş

Siber güvenlik alanında, uç nokta güvenliği (endpoint security) giderek daha fazla önem kazanmakta; bunun en kritik bileşenlerinden biri ise Endpoint Detection and Response (EDR) mimarisidir. EDR sistemleri, uç noktaları korumak üzere tasarlanmış yazılımlar ve donanımların bir birleşimidir ve kuruluşların siber tehditlerle karşı karşıya kalmaları durumunda hızla yanıt vermelerine olanak tanır. EDR sistemlerinin etkili çalışabilmesi için çeşitli bileşenlerin bir araya gelmesi gereklidir. Bu bileşenler arasında ajanlar, merkezi sunucular ve veri akışını sağlayan iletişim protokolleri yer almaktadır.

Neden Önemlidir?

Günümüzde siber tehditler, her geçen gün daha karmaşık ve etkili hale gelmektedir. Özellikle fidye yazılımları, veri hırsızlıkları ve hedeflenmiş saldırılar, kuruluşların gizliliğini ve güvenliğini tehdit etmektedir. EDR sistemleri, bu tür tehditlerle başa çıkmada kritik bir rol oynar. Uç nokta cihazları, genellikle bir kuruluşun en savunmasız noktalarıdır. Dolayısıyla, bu cihazların korunması, bir güvenlik stratejisinin temel taşını oluşturmaktadır. EDR çözümleri, zararlı yazılımları tespit ederek ve bu tehditlere yanıt vererek, bilgi güvenliğini artırma potansiyeline sahiptir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlamlandırma

Siber güvenlik dünyasında, EDR sistemleri yalnızca bir savunma çözümü değil, aynı zamanda aktif bir av araçlarıdır. Tehdit avı (threat hunting) ve saldırı tespit sistemleri (IDS) gibi kavramlar ile birlikte kullanıldığında, EDR çözümleri olay müdahale süreçlerinde kritik bir rol oynamaktadır. Bir penetrasyon testi (pentest) sırasında açıkların bulunması ve kötü niyetli girişimlerin tespit edilmesi, EDR sistemlerinin etkinliğini doğrudan etkileyebilir. Bu nedenle, EDR çözümleri, hem proaktif hem de reaktif güvenlik stratejilerinin ayrılmaz bir parçasıdır.

EDR mimarisi, olayların analizi, yanıt sürelerinin kısaltılması ve aynı zamanda uzun vadeli çözümlemeler yapabilme yeteneği ile güvenlik ekiplerine büyük bir avantaj sağlar. Kişisel bilgisayarlar, dizüstü bilgisayarlar, sunucular gibi çeşitli uç nokta cihazlarının bir arada çalıştığı bir sistemde, her bir cihazın gerçek zamanlı izlenmesi ve otomatik olarak değerlendirilen durumların merkezileştirilmesi, etkin bir güvenlik yönetimi sağlar.

Teknik İçeriğe Hazırlık

EDR sistemlerinin mimarisi, temel bileşenleri ve çalışma prensipleri hakkında daha derinlemesine bilgi edinmek, güvenlik uzmanlarının ve sistem yöneticilerinin becerilerini geliştirmelerine yardımcı olacaktır. EDR mimarisinin temel yapı taşları arasında, ajanın işlevi, veri akışının yönetimi, merkezi zeka sistemleri, tünel güvenliği, barındırma modelleri ve offline stratejileri önemli yer tutar.

Aşağıda, EDR mimarisinin bazı ana bileşenlerini tanımlayan teknik bir özet bulunmaktadır:

1. **Ajan**: Uç nokta cihazına yüklenen yazılımdır. İşletim sistemi çekirdeğindeki (Kernel) olayları takip eder ve verileri merkezi sunucuya yollar.
  
2. **Merkezi Sunucu**: Tüm ajanların topladığı verileri toplayan ve analiz eden bir yapı. Tehdit avı ve olay yönetimi işlemlerinin gerçekleştirildiği yerdir.

3. **Veri Akışı**: Ajanlardan merkezi sunucuya iletilen logların güvenli bir şekilde aktarılması için kullanılan iletişim protokolleridir.

4. **Tünel Güvenliği**: İletişim güvenliğinin sağlanması için uygulanan yöntemlerdir. Genellikle mTLS gibi şifreleme mekanı kullanılır.

5. **Barındırma Modelleri**: EDR sunucularının bulut (SaaS) veya yerel (on-premise) olarak konumlandırılması.

6. **Offline Çalışma**: İnternet bağlantısı koptuğunda, ajanın olayları yerel hafızada saklaması ve bağlantı yeniden sağlandığında merkezi sunucuya iletmesi.

Bu bölümde ele alınan kavramlar ve mimari yapılar, EDR sistemlerinin temel işleyişini anlamaya yardımcı olacaktır. İlerleyen bölümlerde, bu bileşenlerin detaylarına ve gerçek dünya senaryolarında nasıl uygulanabileceğine dair daha fazla bilgi sunulacaktır. EDR mimarisinin kapsamını ve etkisini anlamak, hem güvenlik önlemlerinin etkinliğini artırmak hem de saldırganların yöntemlerini tahmin edebilmek adına kritik bir adımdır.

Teknik Analiz ve Uygulama

İlk Adım: Kurulum

Bir EDR (Endpoint Detection and Response) sisteminin etkili bir şekilde çalışabilmesi için, her uç noktaya "agent" olarak adlandırılan küçük yazılımların kurulması gerekmektedir. Bu ajanlar, arka planda sessizce çalışan ve işletim sistemini sürekli izleyen yazılımlardır. Ajanlar, uç noktada gerçekleşen olayları toplamakta ve bu verileri merkezi bir yönetim sunucusuna iletmektedir.

Kurulum aşamasında dikkat edilmesi gereken en önemli noktalardan biri, ajanın işletim sistemine tam erişim iznine sahip olmasıdır. Böylece, sistem yönetimi ve koruma mekanizmaları üzerinde köklü bir kontrol sağlanabilmektedir. Örnek bir kurulum komutu, kullanılan EDR çözümüne göre değişiklik göstermekle birlikte genel format aşağıdaki gibidir:

# Ajanın kurulumunu başlatma komutu
sudo ./install_agent.sh

Merkezi Zeka

EDR mimarisinin kalbi olan merkezi yönetim sunucusu, uç noktalar tarafından toplanan ham verileri analiz eder. Uç noktalar genellikle yüksek işlem gücüne sahip olmadıkları için, ağır korelasyon ve tehdit avı kuralları bu merkezi sunucuda işletilir. Bu sayede, analiz süreçleri daha verimli bir şekilde gerçekleştirilebilmektedir.

Merkezi zeka, olayları filtreleme, analiz yapma ve olası tehditleri belirleme yeteneğine sahiptir. Bu nedenle, sistemi konfigüre etme ve yönetme aşamasında yönetim konsolunda kuralların etkin bir şekilde tanımlanması kritik öneme sahiptir. Örneğin, yönetim konsolu üzerinde bir alarm kuralı oluşturmak için kullanılabilecek bir örnek komut şu şekilde olabilir:

# Alarm kuralı oluşturma örneği
alert:
  description: "Kötü niyetli yazılım tespiti"
  condition: "process.name: 'malicious.exe'"
  action: "alert"

Barındırma Modelleri

EDR sunucularının barındırılma (deployment) modelleri, kurumun güvenlik politikalarına göre farklılık göstermektedir. Genel olarak üç ana model bulunmaktadır:

  1. On-Premise (Yerel): Sunucuların kurumun kendi sistem odasında olduğu ve verinin dışarıya çıkmadığı modeldir. Yüksek gizlilik gerektiren senaryolar için tercih edilir.

  2. Cloud (Bulut / SaaS): Yönetim sunucularının üretici altyapısında bulut üzerinde bulunduğu modeldir. Hızlı kurulum ve ölçekleme imkanı sunar, ancak veri güvenliği açısından bazı endişeler yaratabilir.

  3. Air-Gapped: İnternete tamamen kapalı, dış dünya ile hiçbir iletişimi olmayan ağ mimarisidir. Genellikle askeri veya endüstriyel sistemlerde görülmektedir.

Her barındırma modelinin avantajları ve dezavantajları bulunmaktadır; bu nedenle, kurumlar için en uygun olan modelin seçilmesi önemlidir.

Tünel Güvenliği

Uç noktalar ile merkezi EDR sunucusu arasında iletişim genellikle internet üzerinden gerçekleşmektedir. Bu noktada, iletişimin güvenliğini sağlamanın en kritik yolu, şifreli bir tünel kullanmaktır. mTLS (Mutual TLS) gibi yöntemler, iletilen verilerin araya girenler tarafından okunmasını engellemekte büyük rol oynamaktadır. İletişim esnasında verilerin sızdırılmasını önlemek, bir EDR sisteminin başarılı bir şekilde çalışabilmesi için elzemdir.

Uygulanan iletişim güvenliği prosedürleri, veri güvenliğini artırmakla birlikte, her iki tarafın birbirini tanıyabilmesini de sağlar. Güvenli iletişim için gereken bir örnek konfigürasyon şu şekilde ifade edilebilir:

# mTLS konfigürasyonu örneği
tls:
  enabled: true
  certFile: "/path/to/cert.pem"
  keyFile: "/path/to/key.pem"
  caFile: "/path/to/ca.pem"

Bağlantı Koptuğunda

Bir uç noktanın internet bağlantısı koparsa, bu durumda ajan olayları yerel önbellekte saklar. Bağlantı geri geldiğinde, bu veriler merkezi sunucuya iletilir. Bu durum, ajanın geçici bir "kör" durumda kalmasını engelleyerek, en kritik olayları kaybetmemesini sağlar. Örneğin, zararlı yazılımlar çıktığında ya da diğer anomali durumlarında ajanın lokal önbellek kullanımı şu komutlarla yönetilebilir:

# Yerel önbelleğe veri yazma işlemi
agent cache write "alert: malicious activity detected"

MODÜL FİNALİ

EDR mimarisi, birkaç ana yapı taşından oluşur: Ajanlar, merkezi sunucu, veri gölleri ve yönetim konsolu. Bu yapı taşları, güvenli bir ağ ortamı oluşturmak için bir araya gelir ve uç noktaların etkin bir şekilde korunmasını sağlar. EDR sisteminin başarısı, bu yapı taşlarının nasıl entegre edildiğine ve yönetildiğine bağlıdır. Uygulanan stratejilerin uygun bir şekilde yapılandırılması, gelecekteki olası tehditleri minimize etmek adına kritik bir role sahiptir.

Risk, Yorumlama ve Savunma

Siber güvenlikte, uç nokta koruma sistemlerinin (EDR) etkili bir şekilde çalışabilmesi için risk değerlendirmeleri, yorumlamalar ve savunma mekanizmaları kritik bir rol oynamaktadır. Bu bölümde, siber tehditlere karşı aldığımız önlemlerin arkasındaki düşünce sürecine, elde edilen bulguların güvenlik anlamına ve olası yapılandırma hatalarının sonuçlarına odaklanacağız.

Elde Edilen Bulguların Güvenlik Anlamı

EDR sistemleri, uç noktaları koruma amacı ile tasarlanmış yazılımlardır. Bu sistemler, kullanıcılara ve cihazlara yönelik sürekli izleme ve analiz hizmetleri sunar. EDR agent’ları, sistem çekirdeğindeki aktiviteleri gözlemleyerek toplanan verileri merkezi bir sunucuya iletir. Bu süreç, tehditlerin ve saldırıların zamanında tespit edilmesi için gereklidir.

Veri akışı boyunca, toplanan bilgilere uygulanacak güvenlik yorumları, aşağıdaki gibi gruplandırılabilir:

  • Sızan Veriler: Tehditlerin tespit edilmesi, şüpheli aktivitelerin buna göre değerlendirileceği ve bunların üzerine gidileceği anlamına gelmektedir. Bir saldırganın sistemden çıkardığı veriler, potansiyel bir veri ihlali veya kurumsal bilgi sızıntısı riskini taşır. Bu durum, yasal yükümlülükler açısından da önemlidir.

  • Servis Tespiti: Uç noktalar üzerinde çalışan hizmetlerin analizi, anomali tespiti için kritik öneme sahiptir. Saldırganlar genellikle sistemin belirli bileşenlerine yönelik hedeflemeler yapar. Bu nedenle, şüpheli davranışların tespit edilmesi, erken müdahale imkanı sunar.

Aşağıdaki kod bloğu, toplanan verilerin merkezi bir yönetim sunucusuna nasıl iletildiğine dair temel bir örnek vermektedir:

def send_data_to_server(data):
    try:
        server_url = "https://security-server.example.com/api/upload"
        response = requests.post(server_url, json=data)
        if response.status_code == 200:
            print("Veri başarıyla iletildi.")
        else:
            print("Veri iletiminde hata:", response.status_code)
    except Exception as e:
        print("Hata oluştu:", str(e))

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, EDR sistemlerinin koruma düzeyini düşürebilir. Örneğin, şifreleme protokollerinin yanlış yapılandırılması, verinin iletim esnasında okunmasına imkan tanır. Bunun yanı sıra, yanlış tanımlanan erişim kontrolleri, sistemin zayıf noktalarını ortaya çıkarabilir.

Bir diğer önemli husus ise, zafiyetlerin belirlenmesi ve bu zafiyetlerin olası etkileri üzerinedir. Sızan bir sistemin, kurumsal verilerin dışarıya çıkmasının yanı sıra, hizmet kesintilerine de yol açabileceği unutulmamalıdır. Örneğin, bir ransomware saldırısı sonucunda sistemin tamamı şifrelenebilir. Bu tip tehditlere karşı alınacak profesyonel önlemler, aşağıdaki gibi sıralanabilir:

  1. Düzenli Güvenlik Testleri: Penetrasyon testleri ve zafiyet taramaları ile sistemdeki olası güvenlik açıkları belirlenmelidir.

  2. Güncellemelerin Zamanında Yapılması: Geliştirici tarafından sağlanan yamaların ve güncellemelerin düzenli olarak uygulanması gerekiyor.

  3. Eğitim ve Farkındalık Programları: Çalışanların siber güvenlik konularında eğitilmesi, insan kaynaklı hataları en aza indirebilir.

Savunma Mekanizmaları ve Hardening Önerileri

Uç noktaların güvenliğini sağlamak adına uygulanan savunma mekanizmaları, tehditlerin etkin bir şekilde yönetilmesini sağlar. İşte bazı savunma hatları ve hardening önerileri:

  • Çok Faktörlü Kimlik Doğrulama (MFA): Kullanıcıların sisteme erişimi için ek bir güvenlik katmanı eklemek, kötü niyetli erişimleri önler.

  • AĞ ve Uygulama Duvarları: Aktif olarak tehditleri izleyen ve filtreleyen ağ ve uygulama duvarları, dış saldırılara karşı önemli bir savunma katmanı oluşturur.

  • Veri Şifreleme: İletim sırasında ve depolama alanında verilerin şifrelenmesi, veri bütünlüğünü korur.

Sonuç olarak, EDR mimarisinde risk değerlendirme sürecinin önemi büyük bir yer tutmaktadır. Yanlış bir yapılandırma veya zafiyet, ciddi sonuçlara yol açabilir. Elde edilen bulguların saklanması ve değerlendirilmesi, sistemin güvenliğini artırmak için gereklidir. Ayrıca, profesyonel önlemler ile savunma mekanizmalarının güçlendirilmesi, organizasyonların siber tehditlere karşı dirençli hale gelmesini sağlar.