FortiNDR: Yeni Nesil Ağ Tehdit Tespiti ve Müdahale
Siber güvenlik mimarilerinin evrimine baktığımızda, uzun yıllar boyunca güvenliğin ana hattını Firewall, IPS ve daha sonra EDR çözümlerinin oluşturduğunu görüyoruz. Ancak günümüzde saldırganların kullandığı teknikler, bu klasik katmanların ötesinde daha görünmez, daha davranış odaklı ve çoğu zaman dosyasız ilerleyen bir yapıya bürünmüş durumdadır. Bu dönüşüm, yalnızca imza tabanlı ya da uç nokta odaklı güvenlik yaklaşımlarının tek başına yeterli olmadığını açıkça ortaya koymakta.
Tam olarak bu noktada, Fortinet’in teknik yeteneği en yüksek çözümlerinden biri olan FortiNDR (Network Detection & Response) karşımıza çıkmaktadır. Piyasada henüz popüler bir bilinirliği olmasa da, özellikle ileri seviye tehdit avcılığı (Threat Hunting) ve davranış analizi hususunda rakiplerine göz kırpıyor.
FortiNDR Nedir? Sadece Tespit Değil, Bir Karar Mekanizması
FortiNDR; ağ trafiğini derinlemesine analiz eden, yapay zeka (AI) ve makine öğrenmesi (ML) tabanlı bir ağ tespit ve yanıt platformudur. Geleneksel NIDS/NIPS yaklaşımlarından farklı olarak, bilinen imzaların dışında ağ davranışlarını modelleyip olağan ve olağan dışı aktiviteler arasındaki ayrımı öğrenmektedir. (Bu öğrenme kısmı özellikle sürekli değişen ortamlar için bence kritik bir konu.) Bu sayede sıfırıncı gün (zero-day) saldırıları ve dosyasız tehditlerin tespitini mümkün kılmaktadır.
Modern saldırı teknikleri artık doğrudan zararlı dosya iletimi yerine Living-off-the-Land (meşru araçların kötüye kullanımı) yöntemlerini kullanmakta, şifreli trafik içerisinde C2 iletişimi yürütmekte ve EDR görünürlüğünün dışında kalan (IoT/OT) sistemlerini hedef almaktadır. FortiNDR, ağda gerçekten neler oluyor sorusuna davranışsal bir yanıt vererek burdaki kör noktaları kapatabilmektedir. Ayrıca Standalone Mode ve Sensor Mode gibi seçeneklerle esnek bir dağıtım mimarisine sahiptir. Standalone Mode tek bir merkezden analiz gerçekleştirilmesini sağlarken, Sensor Mode (Center Architecture) dağıtık sensörlerden veri toplayarak merkezi bir analiz (Center node) yapılmasına imkan tanımaktadır.
Dağınık yapılarda görünürlüğün nerede başlayıp nerede bittiği sorusu hep masada kaldığı aşikar. Bu yapı, özellikle çok lokasyonlu kurumsal yapılar ve MSSP (Yönetilen Güvenlik Hizmet Sağlayıcıları) ortamları için iyi bir esneklik sunmaktadır.
Saniyeler İçinde Zararlı Yazılım Analizi
FortiNDR’ı piyasadaki diğer NDR çözümlerden ayıran en çarpıcı özellik, zararlı yazılım analizini çoğu zaman bir saniyenin altında ve ortama göre birkaç saniyede tamamlayabilmesidir. Bunu okurken aklınıza trafik yoğunken de böyle mi? sorusu gelebilir, bu yeteneği ölçmek için yazımızın ikinci serisinde farklı ortamlarla uygulamalı olarak denemeler yapacağız. Rakip ürünlerin birçoğu trafiği analiz için bulut ortamına iletip yanıt beklerken, FortiNDR yerleşik ML motoru aracılığıyla zararlı dosyalar hakkında anlık karar üretmektedir. Doğal olarak saldırganın yayılımını hızlı bir şekilde kesmesi beklenmektedir.
Virtual Security Analyst
FortiNDR içerisinde yer alan bu modül, bir güvenlik saatlerce uğraştığı işi saniyeler içinde gerçekleştirmektedir. Operasyonda en fazla zaman alan şey parçaları tek tek birleştirmekken, bu modül o yükü azaltma iddiasında. Modülün sunduğu temel fonksiyonlar şunlardır:
Express Malware: Şüpheli dosyaların manuel yüklenmesi durumunda anlık hash analizi ve davranışsal sınıflandırma ile sonuç üretmektedir. Özellikle “şu dosyaya bakabilir miyiz” taleplerinde pratik bir yöntem.
Outbreak Search (Geriye Dönük Tehdit Avı): Belirli bir IoC (Tehdit Belirleyicisi) veya hash bilgisinin geçmişe dönük olarak ağda görülüp görülmediğini, hangi host’ların etkilendiğini ve saldırının ilk çıkış noktasını geriye dönük analizle raporlamaktadır. Incident sonrası ilk nereden başladı sorusuna cevap aramak uzun ve zor bir süreçken, burada işimiz kolaylaşacak gibi görünüyor.
Malware Big Picture: Bir saldırıyı tekil bir alarm olarak değil, bir “hikaye” olarak sunmaktadır. Alarm yığınının içinden bir şeyler aramanın zorluğunu hepimiz deneyimlemişizdir. Burada büyük resmi gösteren yaklaşım oldukça önemli.
NDR Muting & Static Filter: Bakım çalışmaları veya güvenilir trafik pattern’leri için “mute” (sessize alma) ve “allow-list” özellikleri bulunmaktadır. False positive yönetimi yapmadan sağlıklı bir NDR işletmek pek mümkün değilken, Muting özelliği bu süreci kolaylaştıran bir yöntem sunmakta.
ML Discovery & Config: Makine öğrenmesi motoru özelleştirilebilir. Sistem, kendi öğrendiği normal profilin dışına çıkan her şeyi anomali olarak etiketleyebilmektedir.
Enforcement Profile (Otomasyon): Tespit edilen tehditler için otomatik aksiyon alınabilmektedir. Ban/Unban mantığı ile şüpheli IP’ler FortiGate üzerinden otomatik olarak karantinaya alınabilir ve yanlış bir durumda bu aksiyon kolayca geri çekilebilmektedir.
Fortinet Security Fabric ile Native Entegrasyon
Piyasadaki pek çok NDR çözümü yalnızca izleme katmanı olarak kalırken, FortiNDR doğrudan Security Fabric mimarisinin merkezinde yer almaktadır:
FortiGate: Tespit edilen tehditleri karantina veya engelleme mekanizmalarıyla durdurmaktadır.
FortiNAC: Şüpheli cihazların ağ erişimini izole etmektedir.
FortiSIEM & FortiSOAR: Güvenlik olaylarını zenginleştirmekte ve otomatik müdahale süreçlerini (playbook) tetiklemektedir.
Sonuç ve Değerlendirme
Günümüzün güvenlik mimarisi EDR + NDR + SIEM sacayağı üzerine kurulmalıdır. Tek ürünle bir şeyleri yakalama dönemi artık bitti diyebiliriz. Uç noktada EDR’ın, korelasyonda SIEM’in göremediği ağ zekasını NDR sağlayabilmektedir. Özellikle ajan yüklenemeyen IoT ve OT (Endüstriyel) ağlarında, endüstriyel protokol analizi yapabilmesi sebebiyle FortiNDR, doğrudan OT güvenlik çözümleriyle rekabet edebilecek düzeyde bir görünürlükle karşımıza çıkmaktadır.
Sonuca gelecek olursak FortiNDR sadece bir izleme aracı olarak değil, yapay zeka desteğiyle ağın mevcut durumunu gösteren, saldırgan hareketlerini milisaniyeler içinde teşhis eden ve bu teşhisi anında savunma eylemine dönüştürebilen kapsamlı bir platform olduğunu söyleyebiliriz.
Bu makale ile FortiNDR’ın temel felsefesini ve mimari avantajlarını ele aldık. Serimizin bir sonraki bölümünde, FortiNDR ürününün teknik yeteneklerini daha derinlemesine işleyecek, arayüz menülerini tek tek inceleyerek konfigürasyon detaylarını ve operasyonel kullanım senaryolarını detaylı bir çalışma ile ele alacağız. Burada özellikle tuning, alarm yönetimi ve entegrasyon konularının pratikte nasıl işletileceği kısmını birlikte değerlendireceğiz. Bir sonraki serimizde görüşmek üzere
Ülkü YAŞAR
Cyber Security Engineer
En Son Yazılar
