Mimari Genel Bakış (Agent, Telemetry Kaynakları, Cloud Architecture)
Acronis Advanced Security + EDR, Acronis Cyber Protect Cloud platformunun entegre bir güvenlik bileşenidir. Bu çözüm, tek bir ajan (agent) üzerinden birden çok işlevi yerine getirir ve bulut tabanlı mimarisi sayesinde merkezi yönetim ve analiz sunar. Temel bileşenler şöyle özetlenebilir:
- Ajan (Endpoint Agent): Korunan uç noktalara (sunucu, PC, dizüstü vb.) kurulan hafif bir yazılımdır. Bu ajan, sistemde gerçekleşen etkinliklere dair telemetry verilerini sürekli toplar: proses çalıştırmaları, ağ bağlantıları, dosya sistemindeki değişiklikler, registry anahtar değişimleri, bellek işlemleri, kullanıcı oturumları, harici cihaz erişimleri gibi zengin olay verileri ajan tarafından izlenir. Ajan aynı zamanda gerçek zamanlı koruma için belirli tehditleri yerel olarak tespit etme ve engelleme yeteneğine sahiptir (örn. kötü amaçlı işlem tespiti durumunda işlemi sonlandırma gibi). Tüm bu veriler Acronis bulutundaki analitik motorlara iletilmeden önce ajan tarafında ön filtreleme ve temel analizler de yapılır.
- Bulut Analiz ve Yönetim Katmanı (Acronis Cloud): Ajanların topladığı telemetry verileri, Acronis’in bulut platformuna güvenli şekilde aktarılır. Burada yüksek ölçekli veri depolama ve analiz motorları devreye girer. Acronis Cloud tarafı, bir EDR çözümünde beklenen core bileşenlerin çoğunu barındırır: olay korelasyonu (event correlation), tehdit istihbaratı entegrasyonu, yapay zeka tabanlı anomali tespiti ve incident yönetimi için gereken tüm altyapı bulutta çalışır. Bu mimaride, EDR çözümü beş bağımsız katmanlı bir kontrol düzlemi olarak da görülebilir (Acronis Cyber Platform mimarisi, güvenli ve verimli bir kontrol katmanı sağlamak üzere katmanlara ayrılmıştır) – ancak bu incelemede spesifik olarak EDR fonksiyonuna odaklanacağız.
- Merkezi Yönetim Arayüzü (EDR Dashboard): Bulut platformu üzerinden sunulan web tabanlı bir konsoldur. Hizmet sağlayıcılar (MSP’ler) veya kurum güvenlik ekipleri, bu çoklu kiracılı (multi-tenant) konsol aracılığıyla tüm müşterilerini veya şirket içi tüm cihazlarını tek bir ekrandan yönetebilir. Konsol, olayları izleme, inceleme (investigation) ve müdahale adımlarını yürütmek için kullanıcı dostu arayüzler sunar. Örneğin, tespit edilen bir saldırı girişimi konsolda bir incident olarak listelenir; buradan ilgili MITRE ATT&CK teknik detayları, etkilenen sistemler, zaman çizelgesi vb. görülebilir ve gerektiğinde yanıt aksiyonları (izolasyon, rollback vb.) tek tıkla tetiklenebilir.
- Entegrasyon ve API Katmanı: Acronis Cyber Protect Cloud, açık API’lar sunarak EDR fonksiyonlarının diğer sistemlerle entegrasyonunu kolaylaştırır. Örneğin, SIEM araçlarına olayların aktarılması, PSA/ticketing sistemlerine otomatik kayıt açılması veya üçüncü parti çözümlerle (RMM, SOAR vb.) entegrasyon bu API’lar aracılığıyla mümkündür. Bu konu, entegrasyonlar bölümünde ayrıntılı ele alınacaktır.
Mimari İşleyiş: Telemetry toplayan ajanlar ile bulut analitik katmanı arasındaki işleyişi bir örnek senaryo ile açıklayalım. Örneğin, uç noktada bir kullanıcı şüpheli bir e-posta ekini açarak bir dosya çalıştırır. Ajan, process creation olayını, çalıştırılan dosyanın hash bilgisini, imza kontrolünü ve davranışlarını kaydeder. Ardından bu olayla ilişkili diğer aktiviteleri (örneğin aynı süreç bir ağ bağlantısı açtı mı, kayıt defterinde kalıcılık ayarı yaptı mı vb.) da izler. Tüm bu ham veriler, anında veya belirli aralıklarla Acronis bulutuna iletilir. Buluttaki EDR motoru, gelen verileri korelasyon kuralları ve ML tabanlı anomali tespit modelleri ile analiz eder; şüpheli bir zincir tespit ederse bunu olay (incident) alarmları şeklinde konsolda oluşturur. Güvenlik analisti konsoldan bu olaya baktığında, Acronis’in AI destekli yorumlama motoru sayesinde saldırının muhtemel amacı, vektörü ve ilerleyişi hakkında özet bir görüş elde eder. Daha sonra analist uygun tepki aksiyonlarını yine konsoldan, bulut aracılığıyla doğrudan ilgili ajana ileterek uygular (örn. uç noktanın ağını izole etmek, zararlı süreci sonlandırmak, dosyayı karantinaya almak veya attack-specific rollback işlemini başlatmak gibi). Bu biçimde, yerel ajan ile bulut arasındaki sürekli iletişim ve komuta-kontrol mekanizması sayesinde, gerçek zamanlı ve merkezi bir koruma sağlanmış olur.
Teknik Şema Önerisi 1: Acronis Advanced Security + EDR mimarisi, bir diyagram ile görselleştirilebilir. Bu şemada, uç nokta cihazlarına kurulmuş tek bir Acronis ajanının, yerel sistemden topladığı telemetry verilerini buluttaki Acronis Cyber Protect platformuna ilettiği gösterilir. Bulut tarafında, verilerin işlendiği analiz motorları ve veritabanları ile bunları yöneten bir merkezi konsol bulunur. Konsol aracılığıyla yöneticiler, farklı müşteriler (MSP senaryosunda) veya farklı ağ segmentleri (kurum içi senaryoda) için olayları izler. Diyagramda ayrıca Acronis platformunun diğer entegre bileşenleri (backup, Disaster Recovery, vs.) ile EDR modülünün etkileşimi de basitçe belirtilerek, örneğin yedekleme altyapısının forensic veri sağlamak ve rollback için nasıl devreye girdiği gösterilebilir.
NIST Çerçevesi ile Uyumlu Platform: Acronis’in çözümü mimari olarak tek bir platformda NIST Siber Güvenlik Çerçevesi’nin beş temel fonksiyonunu (Identify, Protect, Detect, Respond, Recover) kapsayacak şekilde tasarlanmıştır. Bu entegre yaklaşım sayesinde EDR, sadece “Detect and Respond” kısmiyle sınırlı kalmaz; saldırı öncesi ve sonrasındaki aşamalarla da koordineli çalışır. Örneğin:
- Identify (Tanımla): Platform, yazılım/donanım envanteri, veri sınıflandırma araçları ile varlıkların ve olası risklerin belirlenmesine yardımcı olur. Bu sayede korunacak yüzey alanını (attack surface) görünür kılar.
- Protect (Koru): Ajan, sistemlerde açıklıkları kapatmak için patch management, yapılandırma yönetimi ve anti-malware koruması sunar. Ayrıca global tehdit istihbaratı beslemesi ve adli içgörüler (forensic insights) ile proaktif koruma sağlanır. Örneğin zafiyet taramaları, USB cihaz kontrolü veya belirli uygulamaların engellenmesi gibi koruyucu politikalar uygulanabilir.
- Detect (Tespit Et): EDR modülü, sürekli ve gerçek zamanlı olarak uç noktalardaki güvenlik olaylarını izler. Acronis, otomatik davranış analiz motorları, imza tabanlı tarama, URL filtreleme, tehdit istihbaratı akışı ve olay korelasyonu gibi birden fazla tekniği bir arada kullanarak tehditleri tespit eder. Tespit edilen aktiviteler MITRE ATT&CK® çerçevesine uygun şekilde kategorize edilir – bu konuya “Detection Pipeline” kısmında detaylı değinilecektir.
- Respond (Tepki Ver): Tehdit tespit edildiğinde platform anında yanıt verebilecek araçlar sunar. Örneğin, uç noktaya güvenli uzaktan bağlantı yaparak daha ileri inceleme (investigation) gerçekleştirilebilir veya forensic backup’lar üzerinden olay sonrası denetimler yapılabilir. Ardından, izolasyon, zararlı süreci sonlandırma, dosya karantinası ve saldırıya özgü rollback gibi remediasyon adımları uygulanabilir. Bu tepkilerin çoğu tek tıkla ve merkezi olarak yapılabildiği için yanıt süresi minimuma iner.
- Recover (Kurtar): Acronis’in kökleri backup ve felaket kurtarma alanında olduğundan, EDR çözümü benzersiz bir şekilde kurtarma aşamasıyla entegredir. Entegre yedekleme ve felaket kurtarma (Disaster Recovery) ürünleri sayesinde, bir saldırı sonrasında müşterilerin sistemleri hızla geri yüklenebilir. Özellikle attack-specific rollback özelliği, bir saldırının yaptığı değişiklikleri geri alarak sistemi saldırı öncesi sağlam haline getirir (bu mekanizma detaylarıyla ileride açıklanacaktır). Ayrıca gerekli durumlarda dosya bazında veya imaj seviyesinde tam kurtarma yapılabilir, hatta DR senaryosu ile yedek ortamda sistem ayağa kaldırılabilir.
Yukarıdaki mimari bütünlük, Acronis Advanced Security + EDR’yi klasik tek amaçlı EDR ürünlerinden farklı bir konuma yerleştirir. Klasik EDR’ler çoğunlukla sadece Detect & Respond fonksiyonlarına odaklanırken, Acronis’in yaklaşımı uç nokta güvenliğini yedekleme ve yönetimle bir araya getirerek iş sürekliliğini merkeze alır. Bu sayede, bir saldırı tespit edildiğinde yalnızca durdurmakla kalınmaz, aynı zamanda sistemlerin hızlıca geri dönmesi sağlanır ve veriler kurtarılır.
Özetle, Acronis’in mimarisi bulut tabanlı, çok kiracılı, tek ajanlı entegre bir mimaridir. Agent + Cloud + Console bileşenleri, verimli bir iş bölümü ile çalışır: ağır analitik işlemler bulutta yapılarak uç noktalardaki yük azaltılır, ancak kritik koruma önlemleri (gerçek zamanlı dosya koruması, anormallik algılama) ajan seviyesinde de gerçekleşir. Bu mimari tercih, performans optimizasyonu ve ölçeklenebilirlik açısından önemli avantajlar sunar – ilerleyen bölümlerde performans etkilerine ayrıca değinilecektir.
