NAC necə işləyir?

Qoşulma: Cihaz şəbəkəyə qoşulmağa çalışır.
Yoxlama: NAC Hər bir cihazın təhlükəsizlik tələblərinə uyğunluğunu yoxlayır. Antivirus, Firewall, Əməliyyat sisteminin yenilənməsi kimi parametrlər nəzərə alınır.
Qərar- İcazə və ya Bloklama: Cihaz təhlükəsizlik tələblərinə cavab verirsə, ona şəbəkədə tam icazə verilir. Uyğunsuzluq aşkar olunarsa, cihazın girişi məhdudlaşdırılır və ya tamamilə bloklanır.

Nəticə olaraq NAC – Şirkətlərin şəbəkələrinə yalnız təhlükəsizlik tələblərinə cavab verən cihazların və istifadəçilərin daxil olmasını təmin edir.
Cihazlar yoxlanılır, qaydalara uyğun gəlməzsə, məhdud giriş və ya bloklama tətbiq olunur.

NAC-ın əsas üstünlükləri və funksiyaları:

-Təhlükəsiz giriş nəzarəti: Cihazların və istifadəçilərin Identifikasiya və Autentifikasiyasını edərək Şəbəkəyə qoşulmaq istəyən cihaz və istifadəçilərin kimliyini yoxlayır,
yalnız icazəli istifadəçilərin və cihazların şəbəkəyə girişinə icazə veirir.

-Cihaz və istifadəçilərin görünülmə imkanı: Şəbəkəyə qoşulan bütün cihazları və istifadəçiləri izləməyə imkan verir. Beləliklə qurumlar öz şəbəkələrinə daxil olan şəxsləri
və cihazları rahatlıqla görə bilir. Hər bir cihazın şəbəkədə nə etdiyini görmək və lazımi halda giriş hüquqlarını məhdudlaşdırmaq da mümkündür.

-IT Politikaların tətbiqi: NAC, Şirkətin Təhlükəsizlik qaydalarını qoşulan cihazlara avtomatik olaraq tətbiq edərək, cihazların Security updatelərininin və patch-lərinin tam,
həmçinin antiviruslarının yenilənmiş olduğundan əmin olur. Yəni istifadəçi və ya cihazlar təhlükəsizlik qaydalarına uyğun olmalıdır. Məsələn, antivirus proqramının aktiv olub-olmaması, firewall ayarlarının düzgün qurulması kimi tənzimləmələr.

-Kiber Təhdidlərin qarşısının alınması: Təhlükəsizlik cəhətindən zəif olan cihazları aşkar edərək potensial hücumlara qarşı önləyici tədbirlər görür.

-Qonaq girişlərinin idarə olunması: Şirkətə müvəqqəti gəlmiş, yeni istifadəçilər üçün tamamilə izoloasiya olunan məhdudlaşdırılmış bir Guest şəbəkəsinə buraxaraq bu istifadəçilərin
şirkətin əsas resurslarına (məsələn fileserver) bir-başa daxil olmalarını əngəlləyir.

-Dinamik nəzarət: NAC, şəbəkədə hər hansı bir dəyişiklik baş verdikdə real vaxtda cavab verə bilir. Uyğunsuzluq aşkar etdikdə cihazı şəbəkədən çıxara və ya məhdud giriş tətbiq edə bilər.

NAC Həllinin seçimində diqqət edilməli əsas xüsusiyyətlər:

-Mövcud şəbəkə infrastrukturu ilə uyğunluq və var olan IDS/IPS kimi digər təhlükəsizlik sistemlərinə inteqrasiya oluna bilməsi,
-Cihaz və istifadəçilərin düzgün şəkildə tanınması, identifikasiyası
-Fərqli User-lər, Device-lar və senaryolara görə Customize oluna bilən bir təhlükəsizlik politikalarını tədbiq edə bilən bir NAC həlli,
-Real təhditlərə qarşı sürətli reaksiya verə bilməsi, geniş önləyici tədbirlər ala bilməsi,
-Userfriend bir idarəetmə və izləmə mexanizminə sahib olması,
-Genişləyə bilmə imkanı, Böyüyən şəbəkə mühitinə uyğunlaşa bilən bir həll olması.

FortiNAC Həlli

FortiNAC – Fortinet şirkətinin hazırladığı Network Access Control (NAC) həllidir və şəbəkə təhlükəsizliyini daha da gücləndirmək məqsədi daşıyır.
O, təşkilatların şəbəkələrindəki bütün cihazların və istifadəçilərin identifikasiyasını təmin edir, təhlükəsizlik qaydalarına uyğunluğunu yoxlayır və şəbəkənin təhlükəsizlik siyasətlərinə uyğun olaraq giriş hüquqlarını müəyyən edir. Nəticə etibarı ilə FortiNAC – şəbəkədəki cihazları aşkar edən, təhlükəsizlik tələblərinə uyğunluğunu yoxlayan və riskli cihazları bloklayan güclü NAC həllidir. Bu, şəbəkənizi IoT cihazlarından və digər təhlükələrdən qorumaq üçün ideal bir sistemdir.

FortiNAC-ın əsas xüsusiyyətləri:

Şəbəkə cihazlarının aşkarlanması: FortiNAC avtomatik olaraq şəbəkəyə qoşulmuş hər bir cihazı aşkarlayır. Bu, “görünməyən” cihazların belə şəbəkədə izlənilməsini təmin edir (IoT cihazları, mobil cihazlar və s.).
Təhlükəsizlik siyasətləri: Şəbəkəyə daxil olmaq istəyən hər bir cihaz FortiNAC tərəfindən təyin edilmiş təhlükəsizlik siyasətlərinə uyğun yoxlanılır. Cihaz təhlükəsizlik tələblərinə cavab vermirsə, girişi məhdudlaşdırıla və ya tamamilə bloklana bilər.
Reaktiv cavab: FortiNAC şəbəkədə təhlükə aşkar etdikdə dərhal tədbir görür. Məsələn, təhlükəli bir cihaz aşkar edildikdə, bu cihazın şəbəkədən çıxarılması, izolyasiyası və ya məhdudlaşdırılması təmin olunur.
Şəbəkə Görünürlüyü (visibility): FortiNAC şəbəkədəki bütün cihazları və onların nə etdiyini real vaxtda görməyə imkan verir. Bu da, şəbəkə administratorlarınaa bütün şəbəkə fəaliyyətləri üzərində nəzarət imkanı verir.
IoT təhlükəsizliyi: FortiNAC xüsusilə IoT cihazlarını (ağıllı cihazlar) qorumağa yönəlib. Çünki bu cihazlar tez-tez zəif təhlükəsizlik parametrləri ilə şəbəkəyə qoşulur.

Bu yazımda sizlərə qısa olaraq EDR kibertəhlükəsizlik həlli haqqında məlumat verəcəm, əlavə olaraq EDR ilə Antivirus, SIEM və XDR arasındakı fərqlərdən bəhs edəcəm.

EDR Haqqında

EDR Endpoint Dedection and Response sözlərinin qısaltması olub istifadəçi komputerlərində kiber təhlükələri öncədən müəyyən edib cavab verərək informasiya təhlükəsizliyini artırmaq və məlumat itgisinin qarşısını almağa çalışan möhtəşəm bir həlldir.

EDR Antivirus proqramlarına əlavə olaraq gerçək zaman aralığında anlıq olaraq anomali halların, təhdidlərin aşkarlanması, xəbərdarlıq edilməsi, izlənilməsi və qeydə alınmasə kimi xüsusiyyətlərlə Forensic Investigate ( Kibertəhlükəsizlik sahəsində Hüquq Mühafizə Orqanlarının əməliyyat axtarış və araşdırma prosesləri ) prosesini asanlaşdırır.

EDR həmçinin endpoint cihazlarda hər bir fayl, proqramların Run olunması ( işə salınması ) və ya Modifikasiya edilməsi proseslərini, Windows Registry-də olunan dəyişikliklər, şəbəkə qoşulmalarını və bu kimi komputerdə baş verə biləcək önəmli dəyişiklikləri loglayaraq ( yəni qeyd panelinə bir bir tarixinə uyğun yazır ) kiber təhdidlərin görünməsini təmin edir. Bir sözlə İstifadəçi komputerləri üçün Malware və ya kiber atakaların müəyyən olunması və onlarının qarşısının alınması üçün yaradılmış bir alətdir.

EDR eyni Təyyarələrdə olan Qara Qutu kimidi, o hərşeyi özündə qeyd edir və daha sonra biz də bu məlumatlar ilə kiber hücumları analiz edib gələcəkdə onların bir daha baş verməməsi üçün önləyici tədbirlər görürük.
Günümüzdə işçilərinin sayı çoxalan, kritik infrastruktura sahib olan bir çox qurumlar EDR həllindən istifadə edir, hətta Pandemiya ilə artan Remote İşləyən işçilərin də təhlükəsizliyini təmin etmək üçün VPN-lər ilə də birlikdə istifadə oluna bilib, anlıq olaraq trafiki monitoring edib müəəyən qeydlər apararaq bir sıra təhlükələrin qarşısını alırlar.
Araşdırmalara görə hərbir uğurlu kiber hücumun təxminən 90%-i, məlumat itgilərinin isə 70%-i şirkətlərdə olan son istifadəçilərin komputerlərindən (Endpoints) yəni işçilərin kibertəhlükəsizlik haqqında məlumatsız olmalarından dolayı bir sıra səhvlər etdiklərinə görə qaynağlandığı bilinir. Bu səbəbdən infrastrukturu daim monitoring edib endpointlərin şübhəli davranışlarını loglayıb müəyyən cavab tədbirləri görmək lazımdır ki, Insider hücumların az da olsa qarşısını ala bilək.

Antivirus yoxsa EDR ? Hansı daha effectlidir ?

Antivirus, Antimalware, Firewall və ya birçox Endpoint security toollar inkişaf etsə də, onlar hələ də öz databazalarında olan fayl və ya Signature based müəyyən etmə metodundan istifadə etdikləri üçün Endpoint tərəfində qarşılaşa biləcəyimiz təhlükələri müəyyən etməkdə əksik qalırlar. Bu kimi alətlər məsələn Sosial Mühəndislik hücumlarını dayandırmaqda, istifadəçilərin həssas məlumatların yayılmasına, fişing məqsədli olan zərərli saxta veb saytlara daxil olmalarının qarşısını almaqda yetərsizdir, onlar sadəcə zərərli proqramları (virus, trojan, spyware, worms, adware və s.) daha öncədən databazaya əlavə edilmiş məlum imzalar əsasında sistemi scan edərək ənənəvi metodlarla aşkarlayıb qarşısını alır. EDR kimi daha geniş bir təhlükəsizlik perspektivində inkişaf etmiş təhdid aşkarlama və cavab vermə imkanlarına sahib olmadığı üçün, ayrıca ən yeni çıxan virus və zeroday boşluqlarını detect etməkdə çox əksik qalır. Bir sözlə antiviruslar (kaspersky,eset) bilinən virusları imza əsaslı köhnə metodika ilə aşkarlayıb silərək və ya karantinaya alaraq qarşısını alır, EDR isə geniş bir spektrdə kompleks təhdidləri, davranışları anazliz edir, Machine learning kimi qabaqcıl texnologiyadan istifadə edərək aşkar edir, qabaqcıl təhlillər edib istintaq apara bilir hətta müəyyən cavablar da verə bilir.

EDR ilə SIEM oxşar cəhətləri, aralarındakı əsas fərqlər

Birçox böyük şirkətlərdə SIEM (Security İnformation and Event Management) Kibertəhlükəsizlik həlli var ki, bu da bizə bir çox loqları tək bir yerdə cəmləşdirib onları analiz etmə imkanı yaradır. SIEM Həlli də şirkətin IT Infrastrukturunda cloud, endpoint, server kimi bir çox mənbələrdən təhlükəsizlik hadisələrini, məlumatlarını toplayıb real vaxt rejimində izləyib təhlil edərək cavab verməyə Kömək edir, bu məlumatları özündə məzkəzləşdirilmiş bir platformada saxlayıb analiz edə bilir, həmçinin müəyyən təhlükəsizlik qruplarına avtomatik bildirimlər və alarmlar verə bilir. Buna baxmayaraq SIEM olsa belə əlavə EDR quraşdırıb işlətməkdə fayda var. Çünki SIEM həllinin əsas təyinatı müxtəlif cihaz və avadanlıqlardan, proqramlardan təhlükəsizlik məlumatlarını, logları, statistik məlumatları toplayıb təhlil etməkdir. SIEM EDR kimi real vaxt rejimində endpointləri izləyib, təhlükələrin dəqiq şəkildə aşkar olunması və cavab verilməsi kimi qoruma imkanlarına sahib deyildir. EDR isə anlıq olaraq endpointləri izləyir, real təhdidləri müəyyən edib təhlillər aparır və müyyən cavablar verə bilir. EDR SIEM-dən fərqli olaraq Bütün IT Infrastrukturda olan mənbələrdən deyildə yanız endpointlərdən gələn loglara baxır, bu iki həll fərqi texnologiyalar olsalar da oxşar cəhətləri çox olduğu üçün birlikdə işlətməkdə fayda vardır.

EDR ilə XDR arasındakı fərqlər

Bir də XDR həlli (eXTENDED Detection and Response) var ki bu bütün IT Infrastrukturunda şəbəkə,server,cloud,endpoint, proqramlar və s. kimi mənbələrdən gələn məlumatları bir araya gətirərək təhlükəsizlik hadisələrini daha geniş bir perspektivlə izləyib analiz edir, şübhəli aktivitiləri və ya davranışları Machine Learning kimi qabaqcıl analitikadan istifadə edərək qabaqcıl təhlillər aparır. EDR isə XDR kimi daha geniş konteksə sahib deyil, o yalnız endpointləri (komputer, server, telefon) qorumaqla yükümlü olan imza əsaslı aşkarlamadan ibarət bir Kibertəhlükəsizlik həllidir.