Endpoint Detection and Response (EDR) / Uç Nokta Tespit ve Yanıt, bilgisayarlar, sunucular ve mobil cihazlar gibi uç noktalardaki şüpheli etkinlikleri sürekli olarak izleyen, kaydeden ve analiz eden bir güvenlik çözümüdür. Infostealer yazılımlarının karmaşık sızma tekniklerini tespit etmek için davranışsal analiz yöntemlerini kullanır.
Geleneksel antivirüslerin (EPP) imza tabanlı taraması, günümüzün "dosyasız" çalışan Infostealer tehditlerini durdurmakta yetersiz kalmaktadır. İşte bu noktada EDR (Endpoint Detection and Response) / Uç Nokta Tespit ve Yanıt sistemleri devreye girer. EDR, sistemde ne olduğundan ziyade "ne yapıldığına" odaklanarak en gizli siber saldırıları bile gün yüzüne çıkarır.
Bir Infostealer kurbanın bilgisayarına sızdığında, genellikle tarayıcı süreçlerine müdahale eder veya parolaları çekmek için sistem araçlarını kullanır. EDR teknolojisi bu anomaliyi şu yollarla yakalar:
Modern saldırganlar, antivirüslerin tanıdığı "dosya imzalarını" sürekli değiştirerek (obfuscation) güvenliği aşar. Ancak EDR / Uç Nokta Tespit ve Yanıt, saldırganın gerçekleştirdiği işlemleri (örneğin kayıt defteri değişikliği veya bellek enjeksiyonu) takip ettiği için bu tür kaçış yöntemlerine karşı oldukça etkilidir. Dark Radar gibi proaktif sistemlerle entegre çalışan bir EDR, hem içerideki sızıntıyı durdurur hem de sızan verinin kaynağını analiz eder.
Zafiyet analizi süreçlerinde EDR tarafından sağlanan "forensic" (adli bilişim) kayıtları, saldırının kök nedenini bulmanıza yardımcı olur. Hangi personelin hangi bağlantıya tıkladığı ve Infostealer'ın hangi aşamada devreye girdiği bu kayıtlar sayesinde netleşir.
Özetle; EDR, uç noktalarınızın dijital kayıt cihazı ve savunma hattıdır. Infostealer saldırılarının en başında müdahale ederek büyük veri kayıplarının önüne geçer.
