Günümüzde çoğu Ağ Algılama ve Yanıt (NDR) çözümü, trafik yansıtmaya ve Derin Paket İncelemesine (DPI) dayanmaktadır. Trafik yansıtma, yükü kapsamlı bir şekilde analiz etmek için DPI kullanan bir sensöre ağ trafiğinin bir kopyasını sağlamak için tipik olarak tek çekirdekli bir anahtara dağıtılır. Bu yaklaşım ayrıntılı analiz sağlarken, büyük miktarda işlem gücü gerektirir ve şifreli ağ trafiği söz konusu olduğunda kördür. Metadata Analysis, bu sınırlamaların üstesinden gelmek için özel olarak geliştirilmiştir. Analiz için meta veriler kullanılarak, ağ iletişimleri herhangi bir toplama noktasında gözlemlenebilir ve şifreli iletişim hakkında içgörü sağlayan bilgilerle zenginleştirilebilir.
Ağ Algılama ve Yanıt (NDR) çözümleri, ağ operasyonlarını güvenilir bir şekilde izlemek ve korumak için çok önemli hale geldi. Ancak, ağ trafiği şifrelendikçe ve veri hacimleri artmaya devam ettikçe, çoğu geleneksel NDR çözümü sınırlarına ulaşıyor. Bu şu soruyu akla getiriyor: Kuruluşlar, sistemlerinin maksimum güvenliğini sağlamak için hangi algılama teknolojilerini kullanmalıdır?
Bu makale, Derin Paket İnceleme (DPI) ve Meta Veri Analizi kavramına ışık tutacaktır. Her iki algılama teknolojisini karşılaştıracağız ve modern Ağ Algılama ve Yanıt (NDR) çözümlerinin BT/OT ağlarını gelişmiş siber tehditlerden nasıl etkili bir şekilde koruyabileceğini inceleyeceğiz.
Derin Paket İncelemesi (DPI) nedir ve nasıl çalışır?
DPI, belirli bir bağlantı noktasından veya anahtardan akan ağ paketlerini denetlemek için kullanılan bir ağ trafiği izleme yöntemidir. DPI’da, tüm trafik tipik olarak bir çekirdek anahtar tarafından bir DPI sensörüne yansıtılır. DPI sensörü daha sonra paketin hem başlığını hem de veri bölümünü inceler. Veri bölümü şifrelenmemişse, DPI verileri bilgi açısından zengindir ve izlenen bağlantı noktalarının sağlam bir şekilde analiz edilmesini sağlar. Geleneksel NDR çözümleri, bugüne kadar oldukça popüler olan DPI tabanlı teknolojilere dayanır. Bununla birlikte, hızla genişleyen saldırı yüzeyleri ve gelişen BT ortamları karşısında, DPI sınırlamaları giderek daha yaygın hale geldi.
DPI, Gelişmiş Siber Saldırıları tespit etmek için neden yeterli değil?
Kuruluşlar, ağ trafiğini ve çevrimiçi etkileşimlerini korumak için giderek daha fazla şifreleme kullanıyor. Şifreleme, çevrimiçi gizliliğe ve siber güvenliğe çok büyük faydalar sağlasa da, siber suçluların yıkıcı siber saldırılar başlatırken karanlıkta saklanmaları için uygun bir fırsat da sağlar. DPI, şifrelenmiş trafiğin analizi için tasarlanmadığından, şifrelenmiş paket yüklerinin incelenmesine karşı kör olmuştur. APT, fidye yazılımı ve yanal hareket gibi çoğu modern siber saldırı, siber uzaya dağılmış uzak Komuta ve Kontrol Sunucularından (C&C) saldırı talimatlarını almak için saldırı rutinlerinde yoğun bir şekilde şifreleme kullandığından, bu DPI için önemli bir eksikliktir. Eksik şifreleme yeteneklerine ek olarak, DPI, her bir paketin veri bölümünü kapsamlı bir şekilde incelemek için büyük miktarda işlem gücü ve zaman gerektirir. Sonuç olarak, DPI veri ağırlıklı ağlardaki tüm ağ paketlerini analiz edemez, bu da onu yüksek bant genişliğine sahip ağlar için uygun olmayan bir çözüm haline getirir.
Yeni Yaklaşım: Metaveri Analizi
DPI sınırlamalarının üstesinden gelmek için meta veri analizi geliştirilmiştir. Güvenlik ekipleri, ağ analizi için meta verileri kullanarak, her bir paketin tüm veri bölümünü incelemeden herhangi bir fiziksel, sanallaştırılmış veya bulut ağdan geçen tüm ağ iletişimlerini izleyebilir. Sonuç olarak, Meta veri analizi şifrelemeden etkilenmez ve sürekli artan ağ trafiğiyle başa çıkabilir. Güvenlik ekiplerine tüm ağ trafiğinin gerçek zamanlı zekasını sağlamak için Meta veri analizi, ağ iletişimleri, uygulamalar ve aktörler (örn. kullanıcı oturumları) hakkında çok çeşitli nitelikler yakalar. Örneğin, ağdan geçen her oturum için kaynak/hedef IP adresi, oturum uzunluğu, kullanılan protokol (TCP, UDP) ve kullanılan hizmet türleri kaydedilir. Meta veriler, gelişmiş siber saldırıların algılanmasına ve önlenmesine etkili bir şekilde yardımcı olan birçok başka temel özelliği yakalayabilir:
- Ana bilgisayar ve sunucu IP adresi, bağlantı noktası numarası, coğrafi konum bilgileri
- DNS ve DHCP bilgi eşleme cihazları, IP adreslerine
- URL ve başlık bilgileriyle birlikte web sayfası erişimleri
- DC günlük verilerini kullanarak kullanıcılardan sistemlere eşleme
- Şifrelenmiş web sayfaları – şifreleme türü, şifre ve karma, istemci/sunucu FQDN
- JavaScript ve resimler gibi farklı nesne karmaları
Güvenlik Ekipleri, meta veri tabanlı NDR’den nasıl yararlanabilir?
Meta veri analizine dayalı bir Ağ Tespiti ve Yanıtı (NDR) çözümü uygulamak, güvenlik ekiplerine trafiğin şifreli olup olmadığına bakılmaksızın ağlarında neler olup bittiğine dair güvenilir içgörüler sağlar. Sistem ve uygulama günlükleriyle desteklenen meta veri analizi, güvenlik ekiplerinin güvenlik açıklarını tespit etmesine ve siber suçlular tarafından istismar edilen yaygın bir giriş noktası olarak kabul edilen gölge BT cihazları gibi kör noktalara yönelik dahili görünürlüğü iyileştirmesine olanak tanır. Bu bütünsel görünürlük, DPI tabanlı NDR çözümleriyle mümkün değildir. Ek olarak, hafif meta veriler, geçmiş kayıtların verimli günlük verilerinin depolanmasına olanak tanıyarak adli tıp araştırmalarını kolaylaştırır. Veri ağırlıklı DPI analizi, geçmiş verilerin uzun süreli depolanmasını pratik olarak imkansız veya çok pahalı hale getirir. Son olarak, meta veri yaklaşımı, güvenlik ekiplerinin kurumsal ağlardan geçen tüm trafiğin kaynağını belirlemesine ve IoT cihazları gibi ağa bağlı tüm cihazlardaki şüpheli etkinliği izlemesine olanak tanır. Bu, kurumsal ağlarda tam görünürlüğü mümkün kılar.
Sonuç: Siber Güvenliğin Geleceği, Meta Verilerin Analizidir
Tehdit ortamı genişledikçe ve daha fazla trafik şifreli hale geldikçe, geleneksel DPI tabanlı NDR araçları, kurumsal siber güvenlik için eninde sonunda geçerliliğini yitirecektir. Daha fazla şirket güvenlik açıklarını etkili bir şekilde kapatmak ve dijital varlıklarını korumak için MA tabanlı güvenlik sistemlerini benimserken, bu gelişmeler siber güvenlik endüstrisinde zaten hissediliyor.
ExeonTrace Meta Veri Analizine dayalı lider bir NDR çözümüdür. Geleneksel DPI tabanlı NDR sistemlerinin aksine, ExeonTrace akıllı veri işleme sağlar, şifrelemeden etkilenmez ve herhangi bir donanım sensörü gerektirmez. Ayrıca ExeonTrace, ağ hacimlerini azalttığı ve daha verimli veri depolaması sağladığı için yüksek bant genişliğine sahip ağ trafiğiyle zahmetsizce başa çıkabilir. Sonuç olarak ExeonTrace, karmaşık ve yüksek bant genişliğine sahip kurumsal ağlar için tercih edilen NDR çözümüdür.
ExeonTrace Platformu: Özel ağ çözümleyici grafiğinin ekran görüntüsü |
Ücretsiz bir demo rezervasyonu yapın ExeonTrace’in güvenlik sorunlarınızı çözmeye ve kuruluşunuzu siber dirençli hale getirmeye nasıl yardımcı olabileceğini keşfetmek için.