BLOG / Son Kullanıcı Güvenlik Görünürlüğü Bundan Sonra Sorun Olmayacak!
Cisco
Endpoint Security Analytics ( CESA )
Cisco
en az Network alanında olduğu kadar Güvenlik alanında çok ciddi yatırımlarda
bulunmaktadır. Son yıllarda yaptığı büyük yatırımlarla birlikte network
güvenliği alanında olduğu kadar uç noktaların ( son kullanıcıların ) da
güvenliği için birçok çözüm sunmaktadır. Uç nokta güvenliği için geliştirilmiş
olan bu çözümler “gelişmiş kötü amaçlı yazılım tehditlerine karşı koruyan” başarılı
ürünlerdir bunlar; AMP ( Advanced
Malwere Protection ) ve Cisco Umbrella ( DNS Güvenliği ) ürünleridir. Ne kadar
bu ürünler uç noktalar için oluşan tehditlerin birçoğuna güvenlik sağlıyor olsa
da uç noktalarda hala çözümlenmemiş güvenlik açıklıkları oluşabilmekteydi.
Cisco uç nokta güvenliğindeki bu
boşlukları görünür kılabilmek için yakın zamanda Endpoint Security Analytics
(CESA) çözümünü tanıttı. CESA, Cisco AnyConnect Ağ Görünürlüğü Modülü (NVM
Agent) ile beraber uç nokta telemetrisi toplamakta ve telemetri dataları Splunk
Enterprise ile entegre edilerek uç nokta ve kullanıcı ağı görünürlüğü en üst
seviyeye çıkarılmaktadır. NVM teknolojisinin temeli ise nvzFlow (en-vizzy-flow)
dayanmaktadır. Cisco AnyConnect NVM
kısaca Cisco Ağ Görünürlük Akışı protokolünü veya nvzFlow'u desteklemektedir.
Protokol, küçük bir dizi yüksek değerli uç nokta bağlam verisi ile standart
IPFIX'i genişleterek uç noktaların ağ üzerinde daha iyi görünmesini sağlamak
üzere tasarlanmıştır.
CESA Hikâyesi
CESA
çözümü Cisco Güvenlik CTO Ofisi tarafından geliştirildi. Cisco Bilgi Güvenliği
Ekipleri, olay yanıtı ( incident response ) gerçekleştirmek için ihtiyaç
duydukları uç nokta verilerinin hepsini elde edemiyorlardı ve uç nokta görünürlüğünü
elde ederken birçok zorluk yaşıyorlardı. Cisco Bilgi Güvenliği Ekipleri ile
birlikte bazı sorunları çözmek için Cisco AnyConnect ve Splunk ürünlerine
entegre ettiler. Cisco çalışanlarının birçoğu tesis dışında çalışmaktaydı; hem kurumsal hem de bulut kaynaklarına aynı
anda bağlandıkları için uç nokta güvenlik alanında bazı kör noktalarda
bulunmaktaydı. Olayların analizi için en az bir yıllık veri toplamak ve
saklamak için bir yola ihtiyaç duyuyorlardı. Aynı zamanda ağda neler olduğunu
görmek için gerçek zamanlı olarak bilgilere ihtiyaçları vardı. İşte tam bütün
bu karmaşaya cevap olarak CESA ürünü geliştirildi.
CESA Faydaları
Uç Noktalar ( Son Kullanıcı ) cihaz görünürlüğü sağlar: Sıfır noktasında kötü amaçlı yazılımı,
tehlikeli kullanıcı davranışlarını, veri sızması vb sorunlar olmadan, uç nokta
tehditlerinin bulunmasını yardımcı olmaktadır, hangi uygulamaların veya hizmet
olarak yazılımın (SaaS) kullanımda olduğunu görülmesini sağlamaktadır, olay
yanıtı ( incident response ) için networkdeki cihaz türlerine ve işletim sistemlerine
göre görünürlük kazandırılmasını sağlamaktadır.
Uç Noktalar ( Son Kullanıcı ) Nereye giderse gitsin
takip edilebilmesini sağlar: Cihazın ağa bağlı olup olmadığını uç
nokta telemetrisi ile sağlamaktadır.
Hızlı ve kolay bir şekilde aramaların bulunmasını
sağlar: Mevcut AnyConnect telemetrisinden yararlanır ( başka uç nokta aracısına (
agent ) gerek bulunmamaktadır ), önceden oluşturulmuş Splunk gösterge
tablolarından anında bilgi edinebilir ve gerekli olan sorular ve yanıtları çok
kolay birş ekilde aramalarla bulunabilmektedir.
Öngörülebilir maliyetler sağlar: Splunk’a
aktarılan değişken veri hacmi yerine uç nokta başına bütçelenebilir.
Farklı cihazlar için destek: Windows,
macOS, Linux ve Samsung Knoxenabled cihazlar desteklenmektedir.
CESA
Nasıl Çalışır?
Birçok
şirket, iş yerinde, yolda veya kafede çalışırken çalışanlarının ve cihazlarının
ne yaptığını bilmek ister. Bu nedenle Cisco, benzersiz uç nokta davranışsal
görünürlük sağlayabilmek için AnyConnect Ağ Görünürlük Modülünü (NVM) ‘ nü icat
etti.
Cisco
AnyConnect NVM, AnyConnect ajanı 4.2
sürümü ile devreye alınmış ve üst sürümlerde de desteklenmektedir. NVM, cihaz
kullanımda olduğunda, hatta cihaz ağın dışındayken bile IPFIX uç nokta
telemetrisi üretibilmektedir. Bu veriler
akış toplayıcılarına aktarılır ve anında kullanılabilir hale gelen Splunk a iletilir.
Cisco tarafından geliştirilen “Splunk NVM” uygulaması sayesinde, kullanıcılar
kullanıma hazır panoları alırlar, böylece verileri hızlı bir şekilde
anlayabilir ve kritik güvenlik sorularını ( incident response ) yanıtlamak için
kullanmaya başlayabilirler.
CESA,
bağımsız bir NVM analiz dağıtımı olarak kullanılabilir veya mevcut bir Splunk
Enterprise ortamına eklenebilir. Splunk
üzerine kurulu Cisco Endpoint Security Analytics sayesinde derin uç nokta
görünürlüğü sağlanabilmektedir. Cisco AnyConnect NVM, Splunk Enterprise
tarafından desteklenmektedir.
AnyConnect
Ağ Görünürlüğü Modülü, IPFIX verileri (IP Akış Bilgisi Dışa Aktarma) sayesinde
zengin kullanıcı davranış verileri ile mobil cihazlar içinde görünürlük sağlamaktadır,
böylece çalışanların uç noktalarda iken şirketlerinin güvenliğini tehdit edip
etmediği kontrol altına alınabilmesi sağlanmaktadır. NVM tarafından üretilen
davranışsal veriler, öncelikle Endpoints için Cisco Advanced Malware Protection
(AMP) gibi dosya analizine odaklanan kötü amaçlı yazılımdan koruma aracılarını
tamamlayıcı niteliktedir.
NVM
telemetrisi, aşağıdaki gibi uç nokta güvenlik kullanım durumlarını ele almak için
CESA Built-Splunk'ta alınır ve analiz edilir:
Veri kaybı tespiti
- Veri biriktirme
etkinliği — indirme ve yükleme davranışı
- Aşırı filtreleme
— harici alanlara ve ağ paylaşımlarına yüklenme
Sıfırıncı gün zararlı yazılım ve tehdit arama
- Olağandışı
uygulama / işlem davranışı — standart veya standart olmayan bağlantı
noktalarında çalıştırma
- Komut ve Kontrol
algılama — yeni, olağandışı veya kötü etki alanına bağlantı oluşturulması
- Tehdit algılama
- etki alanı korelasyonunu barındırma
Sıfır güven izleme
- Ağ dışı cihaz
izleme — kullanıcı, cihaz, trafik, uygulama ve veri davranışı izleme
- SaaS kullanım
davranışı — SaaS hizmetlerini izlemek
- Güvenilmeyen
bağlantılar — güvenilmeyen ağlara kimlerin bağlandığını izleme
Onaylanmamış uygulamalar ve SaaS görünürlüğü
- SaaS etki
alanlarına erişim — bağlantılar ve SaaS davranışı kullanılmaktadır
- Uygulama ve
işlem görünürlüğü — cihazlarda çalışan uygulamaları ve işlemleri bulma
Güvenlikten kaçınma ve kullanıcı ilişkilendirme
- Uç nokta
güvenlik uygulamaları — devre dışı olup olmadığını tespit edilmesi
- CESA — devre dışı
olup olmadığını tespit edilmesi
- Kullanıcıyı ağ
erişimine atfedin — kullanıcı etkinliği ağ arabirimi denetleyici düzeyine iner
Varlık
envanteri
- Cihaz türü ve OS envanteri — türe göre tanımlanabilir ve raporlanabilir
- Veri gizliliği uyumluluğu