ACSIA Ürün Açıklaması
ACSIA XDR Plus -Otomatik Siber Güvenlik İstihbarat Uygulaması, 4Securitas tarafından Avrupa'da geliştirilen ve Genişletilmiş Tespit ve Müdahale (XDR) çözümümüzü gerçek zamanlı tahmine dayalı, proaktif ve düzeltilmiş siber savunma koruması sağlayan güçlü bir Tehdit İstihbaratı özelliğiyle bütünleştiren güçlü bir siber savunma ürünüdür.
ACSIA XDR Plus ürünü, tümü gerçek zamanlı Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sistemimiz tarafından desteklenen İzinsiz Giriş Önleme (IPS) ve İzinsiz Giriş Algılama Sistemleri (IDS) ile Uç Nokta Algılama ve Yanıt (EDR) özelliklerini tek bir platformda bir araya getirir.
Ardından, kötü IP Adreslerini, anonim çıkış düğümlerini ve kötü amaçlı yazılım kaynaklarının ağa erişmesini yasaklayan bir tahmine dayalı Tehdit İstihbaratı beslemesi ekleyerek bu Genişletilmiş Algılama ve Yanıtı (XDR) geliştirdik. Bu, tehdit kaynaklarının ağınızı bile görüntüleyemeden ortadan kaldırır, bu nedenle “eğer sizi bulamazlarsa, size saldıramazlar”.
Ayrıca istihbarat toplama faaliyetlerinin gerçekleştirilmesini algılayıp önleyen ve böylece siber saldırı planlamak için gözetim bilgileri kullanılmadan önce siber güvenlik tehditlerini ortadan kaldıran benzersiz bir gözetim önleme özelliği de bulunmaktadır.
Güvenlik Operasyonlarınız için Bir Kuvvet Çarpanı
Tehdit istihbaratı beslemesini saldırı öncesi keşif algılama çözümüyle entegre ederek, daha sonra uç nokta algılama, kernel seviyesi izleme ve IDS ve IPS özelliklerini içeren bu farklı şekilde birbirinden farklı güvenlik araçlarının paylaşılan telemetri sistemini birleştirilmiş bir SIEM'e dönüştürerek ACSIA XDR Plus'ın tehditleri adli doğruluk seviyeleriyle gerçek zamanlı olarak ilişkilendirmesini ve iyileştirmesini sağladık.
Tespit edilen tehditlerin otomasyonu ve düzeltilmesi için Yapay Zeka ve Makine Öğrenimi kullanıyoruz.
Tasarım Amaçları
Ürünün ayrıntılarını keşfetmeden önce, ilk olarak ACSIA XDR Plus için sahip olduğumuz bazı ana hedeflerimizin ana hatlarını vereceğiz, bu da sırayla ürünle birlikte alınan bazı tasarım kararlarını ve yönergeleri açıklamaya yardımcı olacaktır.
Şirketimizin misyon beyanı “açık kaynak teknolojisini uygun bir fiyata kullanarak piyasadaki en yüksek düzeyde veri koruma sağlayarak, ACSIA'nın tercih edilen bir sonraki modern siber savunma platformu olarak kullanılabilirliğini demokratikleştirmek”tir.
Bu, son derece etkili ve diğer platformlarla eşanlamlı olarak kör noktaları ele alan, sıfırdan bir siber savunma çözümü tasarlamamızı ve oluşturmamızı gerektiren oldukça yüklü bir misyon bildirimidir. Çözümün ölçeklenebilir, sağlam, kullanımı basit, yönetimi ve dağıtımı kolay ve uygun fiyatlı olması da zorunluydu. Bu nedenle ACSIA XDR Plus ürünü aşağıdaki özelliklere sahiptir:
- Tamamen 4Securitas tarafından açık kaynak teknolojisi ve 150'den fazla benzersiz algoritma kullanılarak oluşturulmuş ve desteklenen bağımsız bir üründür.
- Üçüncü taraf lisanslanabilir ürünler kullanmıyoruz
- Ürün yenilikleri, son derece etkili gözetim önleme teknolojisini ve ayrıntılı düzey doğruluğu için Çekirdek ve Kayıt düzeyinde izlemeyi içerir.
- Ürün altyapı gereksinimleri çok küçüktür ve fiziksel/sanal/bulut veya konteyner ortamlarında konuşlandırılabilir.
- ACSIA XDR Plus, her uç noktada bir aracı kullanılarak veya aracısız bir dağıtım modelinde dağıtılabilir.
ACSIA XDR Plus, aşağıdaki saldırı türlerine karşı korunmaya yardımcı olmak için tasarlanmıştır:
 Anonim Çıkış Düğümleri (Darkweb dahil) |
Saldırı öncesi gözetleme teknikleri |
| Kötü Amaçlı Yazılım İmzaları |
Bilgi toplama |
| Port Taraması |
Güvenlik Açığı Taraması |
| Kötü Amaçlı URL'ler |
Kullanıcı ve Hesap Uzlaşması |
| Ayrıcalık Yükseltmeleri |
Dosya ve Veri Manipülasyonu |
| SQL Enjeksiyon Tehditleri |
Yanal Hareketler |
| Sömürü ve Yükler |
Men-In-The-Middle Saldırıları |
| Fidye Yazılım Saldırıları |
Drive-By-Saldırıları |
| Cross Site Scripting |
Şifre Saldırıları |
| Çekirdek Seviyesi Algılama |
Kayıt Düzeyi Algılama |
| Zero Day Saldırıları |
Kötü Amaçlı İşlemi Keser/Öldürür |
| Siber Saldırı Komuta ve Kontrol bağlantısını keser |
Otomatik ve Tek Tıkla Düzeltme |
| Düzenleyici & Uyumluluk |
Botnetleri Engeller |
| Yönetim Raporlaması |
Adli Raporlama |
Ürün Bileşenleri
Bu belge, ürün mantığının ana bileşenleri aracılığıyla ACSIA XDR Plus ürününün istemci uç noktasından son kullanıcı deneyimi ve yönetim raporlarına kadar olan bileşimini açıklar. Aşağıdaki Şekil 2'de gösterildiği gibi bu yaşam döngüsü, her biri aşağıda daha ayrıntılı olarak ele alacağımız yedi ayrı öğeden oluşur.
Şekil 2. ACSIA XDR Plus siber savunma uygulamasının bileşenleri.
İstemciler, Aracılar kullanılarak veya Aracısız modda dağıtılabilir
ACSIA XDR Plus, bir istemci sunucu mimarisidir ve bir Aracı kullanılarak veya Aracısız modda dağıtılabilir. Uygulama motorunun kendisinde yerleşik bir Elastic yığını (Elasticsearch, Logstash ve Kibana) bulunur ve günlük göndericiler olarak Elasticsearch tarafından sağlanan Beats'i kullanır.
Bir aracıyla veya aracısız bir istemciyle çalışmak arasındaki fark nedir?
Aracıyı dağıtırken, bağlantı noktaları ve hizmet kullanıcısı gereksinimleri açısından ön koşullar minimumdur, yani hizmet kullanıcısı ön koşulu yoktur ve bağlantı noktaları 443 (https) olan tek bir bağlantı noktasında birleştirilir. Ayrıca, cihazın ACSIA motoruna/sunucusuna ulaşamaması durumunda aracı otonom olarak çalışacaktır.
Diğer bir fark, aracısız dağıtımın güvenlik duvarlarında (hem gelen hem de giden) birden çok bağlantı noktasının açılmasını ve ayrıca bağlı cihazlarda ayrıcalıklara sahip hizmet kullanıcısı oluşturulmasını gerektirmesidir.
ACSIA XDR Plus'ı bir Aracı ile dağıtırken veya Aracısız modda çalışırken, Beats'in işlevi aşağıdaki günlükleri ACSIA uygulamasına göndermektir:
- Sistem Günlükleri
- Web Uygulamaları Günlükleri
- Denetim Günlükleri
- Network Trafiği
- Kernel/Registry Günlükleri
- Uyumlulukla İlgili Günlükler
Hem Aracı hem de Aracısız çalışma modları aşağıda açıklanmıştır:
Aracısız İstemci Dağıtımı
ACSIA XDR Plus'ın bağlı bir istemciyle etkileşime girdiği tek durum, uygulamanın kötü amaçlı bir IP adresini yasaklamak istediği veya son kullanıcının uyarılarla sağlanan bir düzeltme seçeneğini (anında eylemler) seçmesidir. Bu, ACSIA tarafından hizmet hesabı (SSH veya RDP) aracılığıyla yapılır, bu nedenle müşteri tarafında böyle bir eylemi gerçekleştirmesi için herhangi bir aracı gerekmez.
Bir IP'yi yasaklama gibi işlemler, Ansible konfigürasyon yönetim sistemi aracılığıyla düzenlenen ACSIA içindeki playbook'lar kullanılarak gerçekleştirilir.
İstemci Aracısı (Agent'ı)
ACSIA XDR Plus v4'ten başlayarak bir istemci aracısı mevcuttur. Aracı modu dağıtımıyla, yukarıda bahsedilen Beats, Windows, Linux ve MAC OS işletim sistemleri için tek bir pakette toplanır. Paketler ACSIA UI'dan indirilebilir (ayrıntılar için resmi kılavuza bakın) ve indirilen yürütülebilir dosya çalıştırıldığında otomatik olarak yüklenir. Aracısız modun aksine, ACSIA aracısı tüm iletişim bağlantı noktalarını 443 (HTTPS) ve 444 (TCP/UDP) olan tek bir bağlantı noktasında birleştirir. Aracı, ACSIA için bir hizmet kullanıcısına ihtiyaç duymaz.
Günlük Gönderimi
Elastic search tarafından sağlanan beatler, çeşitli günlük dosyalarını ACSIA'daki Security Information Event Manager'a aktarmak için günlük gönderici olarak kullanılır. İlgili veri hacimleri çok küçüktür (kilobit olarak ölçülür), bu nedenle ACSIA'yı dağıtırken istemci veya ağ üzerinde herhangi bir performans yükü yoktur.
Tüm istemci trafiği, istemci-sunucu sertifikaları kullanılarak Taşıma Katmanı Güvenliği (TLS V1.2 veya üstü) kullanılarak şifrelenir.
Çok Katmanlı Algılama Mantığı
ACSIA XDR Plus içindeki algılama mantığı, güvenlik mimarlarımız tarafından 4Securitas'ta tasarlanan ve geliştirilen 150'den fazla benzersiz algoritmanın yedi entegre mantıksal bileşenini içeren gelişmiş çok katmanlı, yüksek performanslı bir güvenlik modülüdür.
ACSIA XDR Plus Çok Katmanlı Savunma tasarımındaki yedi mantıksal bileşenin tümü, doğru tehdit algılama ve düzeltme için paylaşılan telemetri kullanır.
Öngörücü ve Proaktif Siber Savunma
4Securitas, ACSIA XDR'ye özgü iki proaktif Siber Güvenlik özelliği geliştirmiştir, bu nedenle ona ACSIA XDR Plus diyoruz.
- Tahmine dayalı Tehdit İstihbaratı
- Proaktif Saldırıdan Öncesi Gözetimi Önleme
- Saldırgan araç algılama modeli
Tahmine dayalı Tehdit İstihbaratı, milyarlarca aktif tehdidin işletmenize herhangi bir düzeyde siber erişim kazanmasını engeller. Dünya çapındaki en üretken ve acımasız siber suçluların platformlarınıza yaklaşmasını önleyerek işletmeye yönelik tehdit seviyelerini büyük ölçüde azaltır.
Proaktif Saldırı Öncesi ve Gözetleme Önleme, bir ortamın çevresinde keşif koruması sağlayan aktif bir modüldür. Tüm bilgi taleplerini yakalar ve daha karmaşık siber saldırı yöntemlerini istihbarat toplamadan reddetmek için araçları ve istismar tekniklerini ilişkilendirir. Gözetleme ve bilgi toplama teknikleri, siber suçluların bir saldırı planlamadan önce gerçekleştirmesi gereken adımlardır. ACSIA, bu etkinlikleri algılayacak ve bir siber saldırı planlamak için kullanılmadan önce bunları engelleyecektir.
XDR Koruması
ACSIA içindeki XDR özellikleri aşağıdaki temel özellikleri içerir.
- Saldırgan araçlarI algılama
- Kernel İzleme
- Kullanıcı Davranış Analizi
Saldırı öncesi ve saldırı aşamalarında kullanılan saldırı araçlarının imzaları ve davranışları, potansiyel tehditleri proaktif olarak durdurmak için ACSIA XDR Plus'ın temel işlevlerinden biridir. Bir saldırı planlamadan önce siber suçlular tarafından istihbarat toplamak ve siber savunmadaki zayıflıkları keşfetmek için kullanılan saldırgan araçları yakalar, ancak aynı zamanda bir kuruluş içinden bilgi toplamaya çalışan bir saldırganı da tespit eder. Bu, konuşlandırılan teknikler ve yöntemler ile sorgulanan veriler analiz edilerek yapılır.
Kernel katmanı, anormallikleri ve tehditleri tespit etmek için işletim sisteminin çekirdeğini analiz eder. İçeriden (meşru kullanıcılar) tehditler ve/veya her türlü kötü amaçlı yazılım ve rootkit dağıtımı söz konusu olduğunda çok verimlidir. Bu güvenlik düzeyi, tehdidin türünden/olgunluğundan bağımsız olarak çalışır ve bu nedenle, şu anda bilinmeyen tehditleri yakalama konusunda benzersiz bir yeteneğe sahiptir.
UEBA (kullanıcı varlığı davranış analizi veya Profil Oluşturucu), özellikle şirket içi kullanıcılar veya risk altındaki hesaplar verilere erişirken veya risk altındaki hesaplar güvenlik rutinleriyle ilişkili olmayan rutinler gerçekleştirirken gerçekleştirilen eylemlerin düzeninde olağandışı değişiklikleri tespit etmek amacıyla kullanıcıların günlük rutin faaliyetlerini profilini oluşturmak için kullanılır. Bu güçlü özellik, özellikle "kimin ne yaptığını" geriye dönük olarak belirlerken personelin aktivitelerini kontrol etmek için de kullanılır.
Korelasyon
Daha önce tartışılan tüm veri noktalarımızdan gelen günlükleri, aşağıdaki veri kaynaklarıyla birlikte Güvenlik Bilgileri ve Olay Yönetimi (SIEM) ile ilişkilendiririz:
- Saldırı Önleme Sistemi
- Saldırı tespit sistemi
- Uç Nokta Tespiti ve Yanıtı
ACSIA, tek bir platformda İzinsiz Giriş Önleme (IPS) ve İzinsiz Giriş Algılama Sistemleri (IDS) içeren entegre bir Uç Nokta Algılama ve Yanıt (EDR) içerdiğinden, bu güvenlik modüllerinin günlüklerini, Güvenlik Bilgileri ve Olay Yönetimi (SIEM) sistemimizi kullanarak gerçek zamanlı ilişki ve analiz için yakalar.
Bu zengin veri kaynaklarını bir SIEM'de bir araya getirmek, ACSIA XDR Plus'ın birden çok siber savunma araç setindeki tehditleri belirleme yeteneğini güçlendirir.
Otomasyon, İyiletirme & Sürekli İyileştirmeler
ACSIA XDR Plus, izlenen varlığa sızmadan önce kötü varlıkları daha iyi tespit etmek için tehdit istihbarat bilgilerini iyileştirmenin yanı sıra tehdit yanıtlarını otomatikleştirmek ve sürekli iyileştirmek için Makine Öğrenimi/Yapay Zeka kullanır.
ACSIA Detection Logic tarafından analiz edilen veriler, tehdit türü ve önem düzeyine göre en uygun düzeltme eylemini otomatik olarak belirlemek için ML/AI'ye aktarılır. Bunlar, düzeltme eylemlerinin düzenlenmesi için Ansible kullanan playbookları kullanılarak otomatikleştirilir.
Yönetim ve İdare
ACSIA kullanıcı arayüzüne, herhangi bir standart masaüstü cihazına veya bir akıllı telefon cihazına bir web tarayıcısı aracılığıyla erişilir. Varsayılan olarak, ACSIA, HTTPS taraması için kendinden imzalı SSL sertifikaları oluşturur, ancak ACSIA, istemciye özel SSL sertifikalarıyla dağıtılabilir. Yönetim ve Yönetim erişimi için çok faktörlü kimlik doğrulama veya iki faktörlü kimlik doğrulama kullanılır.
Uyarıların bildirimi yapılandırılabilir ve e-posta, Slack mesajlaşma sistemi veya Microsoft Teams aracılığıyla gönderilebilir.
Ana Bilgisayarlar sayfası, ACSIA tarafından izlenen ve basit bir sihirbaz kullanılarak yeni istemcilerin eklenebileceği istemci ana bilgisayarlarının bir tablosunu içerir.
Canlı Bildirimler sayfası, tüm etkin ve bekleyen uyarıların inceleme veya işlem için listelendiği yerdir.
Öngörüler, varsayılan ve özel panoların listelendiği yerdir. Bunlar özellikle adli soruşturma için faydalıdır ve şunları içerir:
- Erişim Kontrol Panosu
- Kullanıcı Etkinliği Panosu
- Genel Ağ Trafiği Panosu
- IP Adresi Etkinlik Panosu
- Tüm Trafik Panosu
Uyumluluk bölümü, uyumluluk ve düzenleyici çerçevelerle ilgili analizlerin ve gösterge tablolarının bulunduğu yerdir - bunlar şunları içerir:
-
Güvenlik Açıkları Gösterge Tablosu
-
Politika İzleme Panosu
-
HIPAA Uyumluluk Kontrol Paneli
-
Sistem Denetim Panosu
-
Güvenilir Hizmetler Kriterleri Panosu
-
Güvenlik Olayları Panosu
-
Bütünlük İzleme Panosu
-
PCI DSS Uyumluluk Panosu
-
GDPR Uyumluluk Kontrol Paneli
-
NIST 800-53 Yapı Panosu
-
Mitre Attack Yapı Panosu
Tüm analizler ve gösterge panoları, ana standart biçimlere aktarılabilen raporlama özelliklerine sahiptir.
Politikalar bölümü, aşağıdakiler gibi tüm eyleme geçirilmiş olayları içerir:
- IP Blacklist
- Sessiz Bildirimler
- IP Whitelist
- Konum Tabanlı Erişim
- Kilitli Kullanıcılar
'Olay Geçmişi' bölümü, ACSIA kullanıcı arayüzündeki her bir etkinliğin ve azaltma yanıtlarının kaydedildiği yerdir. Örneğin, bir kullanıcıya kimin yetki verdiği, bir hesabı kimin kilitlediği, bir IP adresini kimin yasakladığı vb. Bu, kimin ne yaptığını takip etmek için kaydedildi.
Bir uyarı oluşturulduğunda birden fazla üyenin bilgilendirileceği bir "Dağıtım Listesi" kullanılır. Bekleyen tüm uyarılar, son kullanıcı tarafından düzeltme eylemlerinin gerekli olduğu "Canlı Bildirimler" bölümünde listelenir.
"Ayarlar", tüm UI ayarlarının işlendiği yerdir:
Günlük Saklama
Entegrasyon
Güncelleme
Kurulum
2FA
Kullanıcılar
Bildirimler
Lisans
Email yapılandırılması
Temel Ürün Özellikleri ve Faydaları
Aşağıdaki ürün özellikleri ve faydaları, ACSIA ürün setimizin tüm temel bileşenleridir. 4Securitas'taki ekibimiz tarafından yıllarca süren araştırma ve geliştirmenin bir sonucudur ve piyasadaki siber güvenlikte en son teknolojik ve yenilikçi ilerlemeyi temsil eder.
| Tehdit Algılama |
| Uç Nokta Algılama Yanıtını içerir |
Anormal süreçleri belirlemek ve ortadan kaldırmak için endüstri lideri Çekirdek analizi işlevini içerir |
| İzinsiz Giriş Tespit Sistemi içerir |
Saldırıları planlanmadan önce önlemek için önleyici gözetleme önleme teknolojisi içerir |
| İzinsiz Giriş Önleme Sistemi içerir |
Windows sunucuları ve masaüstleri için koruma sağlar |
| Güvenlik bilgileri ve Olay Yönetim sistemi içerir |
Linux sunucuları ve masaüstleri için koruma sağlar |
| Tüm tehditler için siber güvenlik iyileştirmesi içerir |
Dosya düzeyinde bütünlük kontrolü sağlar |
| Teknik Avantajlar |
| Fiziksel ve Sanal sunucular arasında uyumlu |
1000'lerce uç noktaya ölçeklendirir |
| Konteyner ve Bulut ortamları arasında uyumlu |
Küçük teknik ayak izi gereksinimi (2 çekirdek, 16 GB bellek, indirmek için 1 GB dosya) |
| Fiziksel ve Sanal sunucular arasında uyumlu |
Hem web hem de mobil Kullanıcı Arayüzü içerir |
| Yapay Zeka ve Makine Öğrenimi içerir |
Hava boşluklu bir Ağda çalışacak |
| Açık kaynak teknolojileri kullanılarak oluşturulmuştur |
Kolay Kurulum (7 dakika) |
| Dahili kullanıcılar için Rol Tabanlı Erişim Kontrolü (RBAC) uygular |
Ayrıcalıklı hesaplarda tam görünürlük |
| Ticari & Kullanıcı Avantajları |
| Yanlış pozitif uyarıların %99'undan fazlasını kaldırır |
Aracı veya Aracısız İstemciler dağıtımı |
| Siber güvenlik operasyonlarını otomatikleştirir ve basitleştirir |
Günlük güvenlik güncellemeleri ihtiyacını ortadan kaldırır |
| Ticari olarak rekabetçidir ve bir maliyet azaltma planının parçası olarak uygulanabilir |
Hem web hem de mobil Kullanıcı Arayüzü içerir |
| Yukarıda listelenen tüm ürün özellikleri temel ürüne dahildir - ekstralar yok |
Ürün yıllık abonelik bazında mevcuttur |
| Yönetim Raporlaması Sağlar |
Adli Raporlama Sağlar |
