EDR Nedir?
Endpoint Detection and Response (EDR), kurumsal ağlara bağlı uç nokta cihazlarındaki (bilgisayar, sunucu, IoT) aktiviteleri sürekli izleyen, davranışsal anormallikleri tespit eden ve tehditlere karşı otomatik veya manuel müdahale imkanı sağlayan bir siber güvenlik teknolojisidir. Gartner tarafından tanımlandığı üzere EDR, sadece bir "koruma" aracı değil, aynı zamanda bir "görünürlük ve analiz" platformudur.
Antivirüs vs EDR: Temel Farklar
Geleneksel Antivirüs (EPP), bilinen zararlı imzalarına (Signatures) dayanır. Yani bir dosyanın zararlı olduğunu anlaması için, o dosyanın daha önce keşfedilmiş ve veritabanına eklenmiş olması gerekir. Ancak günümüz tehditleri (Polymorphic Malware, Fileless Attacks, PowerShell scriptleri) imza değiştirerek veya diskte hiç iz bırakmadan çalışarak geleneksel antivirüsleri kolayca atlatmaktadır.
EDR Nasıl Çalışır?
- Davranışsal Analiz: Dosyanın adına değil, ne yaptığına bakar. (Örn: Word dosyası açıldığında PowerShell çalıştırıp internete bağlanmaya çalışıyorsa, bu bir anomalidir.)
- Sürekli Kayıt: Uç noktadaki tüm process, registry, network ve dosya hareketlerini kaydeder. Bir olay yaşandığında "Geriye dönük analiz" yapmanızı sağlar.
- Yanal Hareket Tespiti: Saldırganın ağ içinde bir bilgisayardan diğerine (Lateral Movement) sıçrama girişimlerini yakalar.
Tespit ve Müdahale Mantığı
EDR'ın en kritik yeteneği, tehdit anında aksiyon alabilmesidir. Bir ransomware aktivitesi tespit edildiğinde, EDR ajanı şu aksiyonları saniyeler içinde alabilir:
Cihazın ağ bağlantısını keser, sadece yönetim sunucusu ile konuşmasına izin verir. Böylece virüs diğer sunuculara bulaşamaz.
2. Process KillZararlı aktiviteyi yürüten işlemi (PID) sonlandırır.
3. Rollback (Geri Yükleme)Bazı gelişmiş EDR çözümleri, fidye yazılımı dosyaları şifrelese bile, VSS (Shadow Copy) üzerinden dosyaları eski haline döndürebilir.
Kimler EDR Kullanmalı?
Her ölçekteki işletme için güvenlik önemli olsa da, aşağıdaki profiller için EDR bir zorunluluktur:
- Regülasyonlara (KVKK, GDPR, ISO 27001) tabi olan kurumlar.
- Hibrit veya uzaktan çalışan personeli olan şirketler (Güvenlik duvarı arkasında olmayan cihazlar).
- Fikri mülkiyet, finansal veri veya müşteri verisi barındıran yapılar.
- Kendi bünyesinde veya dış kaynaklı bir SOC (Security Operations Center) hizmeti alanlar.
Yönetici Notu
EDR kurulumu tek başına yeterli değildir. EDR'ın ürettiği alarmları analiz edecek, "False Positive" ayrımını yapacak ve gerçek tehditlere müdahale edecek yetkinlikte insan kaynağına (Analist) ihtiyaç vardır. EDR bir araç, güvenlik ise bir süreçtir.