Acronis Advanced Security + EDR Bölüm 2: Detection Pipeline (İmza/AI/Davranışsal/Sandbox + MITRE Eşleşmesi)

Detection Pipeline (İmza/AI/Davranışsal/Sandbox + MITRE Eşleşmesi)

Acronis Advanced Security + EDR, modern tehditleri yakalamak için çok katmanlı bir tespit mimarisi uygular. “Detection Pipeline” terimi, bir potansiyel saldırının ilk belirti vermesinden nihai olarak bir incident alarmı olarak güvenlik ekibine bildirilmesine kadar geçen tüm tespit aşamalarını kapsar. Acronis’in çözümünde bu pipeline çeşitli teknolojilerin bir arada çalışmasıyla hayata geçirilir:

• İmza Tabanlı Tehdit Tespiti (Signature-Based Detection): Acronis ajanı ve bulut motoru, bilinen malware imzalarını ve kötü amaçlı dosya kalıplarını tespit edebilen bir anti-malware motorunu içerir. Aslında Acronis Cyber Protect Cloud, uzun zamandır entegre anti-virüs özellikleriyle AV-TEST, ICSA Labs gibi kuruluşlardan sertifikalar almıştır. Bu geleneksel AV yetenekleri, EDR’in ilk savunma katmanını oluşturur: bilinen virus/trojan/ransomware aileleri anında tanınarak engellenir. Acronis, imza veritabanını kendi tehdit araştırma ekipleri ve partner kaynaklarıyla sürekli günceller; ayrıca Windows Defender ile entegrasyon sayesinde halihazırda sistemlerde bulunan imza tabanlı korumayı da devre dışı bırakmaz, aksine onunla uyumlu çalışır. Nitekim, Acronis EDR Microsoft Defender Antivirus ile entegre biçimde çalışarak, Defender’ı tamamen devre dışı bırakmadan ekstra tespit ve yanıt kabiliyetleri ekler – böylece aynı anda çift motor kullanımı nedeniyle performans kaybı yaşanmadan mevcut koruma güçlendirilir. Özetle, imza tabanlı katman bilinen tehditlere karşı hızlı ve düşük yanlış pozitifli bir tarama sağlar.
• Davranışsal Analiz ve Koruma (Behavioral Analysis & Protection): Günümüzde imza tabanlı yaklaşımlar tek başına yetersiz kaldığından, Acronis EDR kapsamlı bir davranış analizi motoruna sahiptir. Indicator of Compromise (IOC) tabanlı yaklaşımlar kadar Indicator of Attack (IOA) denilen saldırı göstergelerine de odaklanılır. Yani bir dosyanın bilinen bir zararlı olup olmamasından bağımsız olarak, sistemde gerçekleştirdiği eylemler analiz edilir. Örneğin, bir süreç kısa süre içinde çok sayıda dosyayı şifrelemeye çalışırsa, bu ransomware davranışsal göstergesidir ve imza veritabanında olmasa bile Acronis’in Active Protection motoru devreye girerek bu işlemi durdurur. Benzer şekilde, bir uygulama bellek üzerinde başka bir süreç içine kod enjekte etmeye çalışırsa bu şüpheli bir exploitation davranışıdır ve exploit engelleme mekanizması bunu algılar. Acronis, makine öğrenimi algoritmalarını kullanarak anormal davranışları tespit etme yeteneğine sahiptir. Bu sayede, önceden görülmemiş zero-day zararlılar dahi, tipik sistem davranış sınırlarının dışına çıktıklarında yakalanabilir. Davranışsal analiz, sadece uç noktada lokal olarak değil bulut tarafında da toplu veriye uygulanır. Örneğin Acronis, belirli bir kötü amaçlı tekniğin birden çok müşteride ortaya çıktığını algılarsa bunu istihbaratla birleştirip tüm müşteri kitlesi için bir koruma çıktısına dönüştürebilir. Davranışsal tespit sayesinde IOA seviyesinde proaktif savunma mümkün olur – tehdit daha henüz sistemde zarar vermeden, saldırı niyetinin ilk işaretlerinde yakalanır.
• Yapay Zeka ve Anomali Tespiti (AI-powered Anomaly Detection): Acronis EDR, devasa hacimde uç nokta telemetri verisini anlamlandırmak için AI tekniklerinden yararlanır. Özellikle anomalistik saptama alanında makine öğrenimi kullanarak, normal sistem ve kullanıcı davranışı modellerini öğrenir ve bunların dışına çıkan durumları işaretler. Örneğin, normalde hiçbir PowerShell komutu çalıştırmayan bir muhasebe PC’sinde aniden şifreli PowerShell işlemleri görülmeye başlanırsa bu bir anomalidir ve yapay zeka modeli bunu bir potansiyel tehdit olarak değerlendirir. AI ayrıca olaylar arasında otomatik korelasyon kurarak güvenlik analistinin önüne daha anlamlı ve az sayıda alarm çıkmasını sağlar. Acronis’in yaklaşımı, her bir alarmla ilgili “insan diliyle anlaşılır” yorumlar üretmektir – bunu sağlayan AI tabanlı bir attack story oluşturma yeteneği mevcuttur. Bu sayede, olay inceleme ekranında saldırının nasıl başladığı, neler yaptığı ve nereye kadar ilerlediği, MITRE ATT&CK adımlarına referanslarla birlikte özetlenir. AI destekli bu özetler, hem olayların önceliklendirilmesini kolaylaştırır hem de daha az deneyimli güvenlik personelinin bile karmaşık saldırıları kavramasını mümkün kılar. Sonuç olarak, Acronis EDR’nin AI katmanı, gürültüyü azaltıp gerçekten önemli olaylara odaklanmayı sağlar ve ortalama tepki süresini (MTTR) iyileştirir.
• Tehdit İstihbaratı ve Dosya İtibar Kontrolü: Çözüm, dış dünyadaki tehdit trendlerini yakından takip edebilmek için harici ve dahili tehdit istihbaratı beslemelerini (threat intelligence feeds) kullanır. Acronis’in kendi tehdit araştırma ekibinin sağladığı sürekli güncellenen IOC listeleri yanı sıra, VirusTotal gibi endüstri kaynaklarından da faydalanılır. Nitekim Acronis, dosya bazlı analizde sandbox göndermeye ihtiyaç duymadan hash seviyesinde geniş bir itibar veritabanına sahiptir; şüpheli dosyaların hash’leri kendi bilinen zararlı seti ve VirusTotal sonuçları ile kıyaslanır. Bu, dosyaların dış sandbox ortamlarına yüklenmesine gerek kalmadan hızla karar alabilmeyi sağlar. Özellikle gizlilik hassasiyeti olan ortamlarda (örneğin müşteri verisi içeren bir dosyanın sandbox’a yüklenmesi istenmeyebilir), Acronis’in bu yaklaşımı önemli bir avantajdır. Burada kritik nokta, behavioral ve reputation-based analizlerin birlikte kullanılmasıdır. Örneğin tamamen yeni yazılmış, daha önce hiç görülmemiş bir zararlı (dolayısıyla VirusTotal’da izi yok) davranışlarından yakalanırken; bilinen tehditler de imza/itibar yoluyla anında ayırt edilir. İstihbarat entegrasyonu ayrıca IOC araması (threat hunting) yapabilmeyi sağlar: Analistler, Acronis’in sunduğu arama arayüzünü kullanarak belirli bir hash, IP adresi, alan adı vb. göstergenin kendi ortamlarında görülüp görülmediğini sorgulayabilirler. Acronis’in sağladığı emerging threats feed (yeni ortaya çıkan tehditler akışı) ile de henüz yaygınlaşmamış saldırı tekniklerine karşı proaktif aramalar yapmak mümkün olur.
• Olay Korelasyonu ve Önceliklendirme: Bir EDR çözümünün önemli bir parçası, ham algılamaları anlamlı incident’lara dönüştürme yeteneğidir. Acronis EDR, tek tek alarmlar yerine zincirlenmiş olay kümeleri sunmaya odaklanır. Örneğin bir zararlı yazılım tespit alarmı, ardından gelen bir yetki yükseltme girişimi ve ağ üzerinden başka bir makineye bağlantı denemesi ayrı ayrı sinyaller olsa da, Acronis bunları korelasyon kurallarıyla birleştirerek tek bir “saldırı vakası” olarak ele alır. Bu vakaya ait tüm alt etkinlikler konsolda grafiksel bir zaman çizelgesi veya ağaç yapısı ile gösterilir. Böylece güvenlik ekibi, yüzlerce ayrı alarm yerine birkaç kritik olaya odaklanabilir. Acronis ayrıca her incident’a bir öncelik puanı atayarak (yüksek/orta/düşük gibi) hangi vakaların önce araştırılması gerektiğini belirtir. Bu önceliklendirme yapılırken AI destekli analiz devreye girer; örneğin bir olayda kilit önemde bir sunucu etkilenmişse veya fidye yazılımı bulguları varsa bu daha yüksek önemde sınıflanır. Bu yaklaşım, alert fatigue denilen alarm yorgunluğunu azaltır ve ekibin verimini arttırır.
• MITRE ATT&CK® Eşleşmeleri: Acronis EDR tespit ettiği kötü niyetli faaliyetleri MITRE ATT&CK çerçevesine göre etiketler ve haritalar. MITRE ATT&CK, saldırganların izlediği teknik ve taktikleri standardize eden bir çerçevedir ve kurumlardaki güvenlik açıklarını bu çerçeveye göre değerlendirmeye imkân tanır. Acronis, bir saldırı vektörünü tespit ettiğinde bunun hangi Taktik/Teknik ID’sine karşılık geldiğini otomatik olarak belirler. Konsolda bir incident’a tıklandığında, saldırı zincirinin evreleri (örneğin Execution, Persistence, Lateral Movement, Impact vb.) kronolojik olarak listelenir ve her bir evre yanındaki MITRE kategorisi ile gösterilir. Bu, saldırının ne ölçüde kapsamlı olduğunu ve hangi aşamalara ulaşabildiğini anlamayı kolaylaştırır. Örneğin, sadece “Execution” ve “Defense Evasion” adımlarında kalan bir saldırı, erken aşamada durdurulmuştur diyebiliriz; eğer “Actions on Objectives” safhasına ulaşmışsa, saldırganın nihai amacına yaklaştığı anlaşılır. Acronis’in MITRE entegrasyonu sayesinde, olay inceleme esnasında her adımın altında ilgili MITRE tanımına bağlantı da sunulur – böylece analistler gerekirse o tekniğin detay açıklamasına hızlıca erişebilir. Bu özellik, EDR çözümünün verdiği alarm bilgisini zenginleştirir ve SOC ekiplerinin olay müdahale kalitesini arttırır. Ayrıca Acronis, MITRE eşleşmelerini raporlamada da kullanarak hangi tekniklerin ortamda ne sıklıkla görüldüğü gibi metrikleri sunabilir (örneğin son 1 ayda en çok tespit edilen MITRE teknikleri listesi gibi).
• Sandbox Analizi: Birçok gelişmiş EDR, şüpheli dosyaları bir sandbox ortamında çalıştırıp dinamik analiz yapma özelliği sunar. Acronis çözümünde, yukarıda belirtildiği gibi bir dosya sandbox’a gönderilmez, bunun yerine dosyanın hash’i veya özellikleri bulut tarafında taranır ve biliniyorsa hızla hüküm verilir; bilinmiyorsa ajan seviyesinde davranışları izlenir. Yani Acronis’in tasarımı, sandbox analizini sistem mimarisinin dışında tutmuştur. Bunun avantajı, özellikle bant genişliği ve gizlilik açısından kazanımdır (dosya dışarı çıkmaz). Dezavantajı ise gerçekten çok karmaşık ve sadece dinamik analizle anlaşılabilecek malware’lerde belki daha sınırlı içgörü sunması olabilir. Ancak güncel eğilimde, EDR ürünleri de giderek bulut sandbox yerine AI + davranışsal yöntemlere yöneliyor, Acronis de bu modern yaklaşımı benimsemiştir. Kaldı ki, Acronis’in VirusTotal entegrasyonu, zaten sandbox araçlarından çıkan sonuçları (ör. 60’dan fazla motorun tarama sonucu) dolaylı olarak kullanması anlamına gelir. Sonuç olarak, Acronis Advanced Security + EDR sandbox’sız bir EDR mimarisi olarak özetlenebilir – bunun getirdiği hız ve basitlik avantajı, karar süreçlerine entegre AI mekanizmaları ile dengelenmiştir.

Şekil 2: Acronis EDR konsolunda bir saldırı zincirinin MITRE ATT&CK evreleriyle görselleştirilmesi. Bu görüntüde, tespit edilen bir saldırıya ait olaylar kronolojik sırada listeleniyor. Sol tarafta saldırının aşamaları (Execution, Persistence, Defense Evasion vb.) ve her aşamadaki spesifik zararlı aktiviteler açıklamalarıyla görülüyor. Örneğin, “Explorer.exe” sürecinin bir alt süreç olarak “patch.exe”yi çalıştırdığı ve ardından bir PowerShell betiği kullanarak kalıcılık (Persistence) sağladığı izleniyor. Her bir olay, ilgili MITRE ATT&CK tekniği ile etiketlenmiştir (örneğin kalıcılık için Registry Run Key kullanılması gibi). Sağ tarafta ise olayların süreç ağacı (process tree) görünümü mevcut – bu ağaç, zararlı süreçlerin hangi meşru süreçler tarafından tetiklendiğini ve ardışık olarak neleri başlattığını gösteriyor. Bu tür bir görsel, analistin saldırının kapsamını ve etki alanını hızlıca kavramasına yardımcı olur. Örneğin “Defense Evasion” aşamasında zararlının izini silmek için hangi yöntemleri kullandığı (Event Log silme vb.) ya da “Execution” aşamasında ne şekilde başlatıldığı net biçimde sunuluyor. Acronis EDR’nin MITRE eşleştirme ve saldırı zinciri görselleştirme yeteneği, karmaşık saldırıları bile anlaşılır bir zaman çizelgesi halinde sunarak olay müdahale süreçlerini hızlandırıyor.

Detection Pipeline’ın Değerlendirmesi: Acronis Advanced Security + EDR’nin tespit altyapısı, yukarıda anlatıldığı üzere birden fazla katmanın birleşiminden oluşuyor. Bu bütüncül yaklaşım, geleneksel antivirüs ile modern EDR arasında bir köprü kuruyor: Hem bilinen tehditlere karşı güvenilir bir koruma (imza/itibar tabanlı), hem de yeni ve sofistike atak tekniklerine karşı proaktif savunma (davranış/AI tabanlı) sağlanmış oluyor.

Burada özellikle altını çizmek gereken nokta, false positive ve false negative dengesidir. Çok katmanlı tespit sistemleri genellikle daha fazla sinyal üretir; ancak Acronis, korelasyon ve önceliklendirme mekanizmaları ile aşırı alarm yükünü azaltmayı hedeflemiştir. Örneğin, SE Labs tarafından 2024 yılında yapılan Enterprise EDR testinde, Acronis Advanced Security + EDR’nin tüm saldırı öğelerini %100 doğrulukla tespit ettiği, ancak bazı meşru aktiviteleri de yanlışlıkla zararlı olarak sınıflandırdığı rapor edilmiştir. Bu testte çözüm, başlangıç aşamasından (spear-phishing ile zararlı indirme) kalıcılık sağlama ve lateral hareket adımlarına kadar her aşamadaki hamleleri başarıyla izlemiştir. Fakat birkaç meşru objeyi yanlış alarmlaması (“Legitimate Accuracy” skorunu %77’ye düşüren) çözüme dair bir geliştirme alanı olarak not edilmiştir. Bu sonuç, Acronis EDR’nin algılama hassasiyetinin yüksek olduğunu (hiçbir saldırı adımını kaçırmaması) ancak kuralların biraz agresif kalabildiğini göstermektedir. Politikaların ortama uyarlanması ve gerekiyorsa belirli beyaz liste (allowlist) tanımları ile bu tür yanlış pozitiflerin zamanla azaltılması mümkündür – ki bir sonraki bölümde politika yönetimi ve baselining konularına değineceğiz.

Özetle, Acronis Advanced Security + EDR’nin detection pipeline’ı, modern bir EDR’nin tüm bileşenlerini içermektedir: NGAV (Next-Gen Antivirus), Davranışsal EDR, Threat Intelligence, Attack Chain Visualization ve MITRE mapping entegre biçimde çalışır. Bu sayede işletmeler “görünürlük” (visibility) kazanır – uç noktalarında neler olup bittiğini derinlemesine gözlemleyebilirler. Geleneksel güvenlik önlemlerinin atladığı gelişmiş saldırılar, Acronis’in bu çok katmanlı filtresine takılma olasılığı çok daha yüksektir. İlerleyen bölümlerde, tespit edilen bir olaya nasıl yanıt verildiğini, özellikle Rapid Rollback gibi Acronis’e özgü güçlü bir özelliğin detection pipeline sonrası süreçte nasıl rol aldığını inceleyeceğiz.

Response & Remediation (Isolation, Rollback, Forensic Backup Uyumu)

Bir siber saldırıyı tespit etmek tek başına yeterli değildir; asıl değer, tehdidi hızla bertaraf etmek ve sistemleri eski sağlıklı haline döndürebilmektir. Acronis Advanced Security + EDR, “Respond” ve “Recover” safhalarını entegre şekilde ele alan güçlü yeteneklere sahiptir. Bu bölümde, EDR çözümünün olaylara nasıl yanıt verdiğini ve düzeltme/remediation işlemlerini nasıl gerçekleştirdiğini detaylandıracağız. Özellikle Acronis’in benzersiz Rapid Rollback mekanizmasını ve bunun EDR ile etkileşimini açıklayacağız.

İzolasyon (Isolation) ve Anında Müdahale

Bir tehdit tespit edildiğinde ilk yapılması gereken, onun yayılmasını ve daha fazla zarar vermesini önlemektir. Acronis EDR, bu amaçla uç noktaları ağdan izole etme yeteneği sunar. Isolation komutu verildiğinde, ilgili cihazın harici dünya ile network bağlantıları kesilir (Acronis yönetim konsoluna ve gerekli kontrol iletişimine izin verilebilir ancak cihazın diğer sistemlere erişimi engellenir). Bu sayede, örneğin bir fidye yazılımı ağda diğer sistemlere sıçrayamaz veya bir saldırganın lateral movement yaparak etki alanındaki başka makinelere geçmesi önlenir. İzolasyon kararı, Acronis konsolundan tek bir tıklamayla verilebilir ve tipik olarak saniyeler içinde ajan bu komutu alarak uygulamaya koyar. İzole edilen sistem kullanıcıya da bildirilebilir (ekranında bir uyarı veya ağ erişiminin kesildiğine dair işaretler olur). İzolasyon süresince, güvenlik analistleri Acronis’in uzaktan bağlantı kabiliyetini kullanarak sisteme inceleme amaçlı erişmeye devam edebilir (Acronis, ajanın entegre remote desktop/terminal özelliği sayesinde izolasyonda bile yönetici erişimini mümkün kılar). Bu, hem tehdidin incelenmesi hem de gerekirse manuel müdahaleler için kritiktir.

İzolasyonun yanı sıra Acronis EDR, zararlı süreçleri sonlandırma (process kill) ve dosya karantinası (quarantine) işlemlerini de uzaktan gerçekleştirebilir. Örneğin, tespit edilen bir malware süreci hala çalışır haldeyse, konsoldan “Kill Process” komutu gönderilerek o süreç anında durdurulur. Ajan, işletim sistemi seviyesinde bu işlemi sonlandırır ve tekrar başlamasını önlemek için gerekirse ilgili dosyanın çalıştırma izinlerini de kısıtlar. Aynı şekilde, zararlı dosyalar tespit edildiğinde bunlar karantina altına alınabilir – yani dosya sisteminde etkisiz hale getirilip özel bir güvenli dizine taşınır. Karantinaya alınan dosyalar, silinmeden önce adli analiz için saklanabilir ya da politika gereği otomatik silinebilir. Acronis, karantinaya alınan dosyaların bir envanterini konsolda tutar, böylece gerektiğinde bu dosyalar incelenebilir veya hatalı karantinaya alınmışsa geri çıkarılabilir.

Acronis’in tepki yetenekleri bunlarla sınırlı değildir: konsol üzerinden ilgili uç noktada uzaktan script çalıştırma imkânı vardır. Bu, esnek bir müdahale aracı sunar – örneğin EDR’nin otomatik sunmadığı özel bir temizleme adımı gerekiyorsa (belirli bir registry anahtarını silmek, ya da üçüncü parti bir aracı çalıştırmak gibi) analist bunu uzak komutla yapabilir. Ayrıca Acronis platformu entegre patch management özelliği sayesinde, tespit edilen zafiyetlere yönelik yamaları da hızla uygulamayı sağlar. Diyelim ki tespit edilen saldırı, sistemde kapatılmamış bir zafiyet (örneğin eski bir Java versiyonu) üzerinden gerçekleşmiş olsun – olay çözüldükten hemen sonra ilgili yamayı o sistemlere geçmek için Acronis’in yama yönetimi aracı kullanılabilir. Bu, saldırının tekrarlanmaması için alınacak proaktif bir adımdır ve EDR ile entegre çalışması bakımından değerlidir.

Rapid Rollback: Saldırı Hasarını Geri Alma

Acronis Advanced Security + EDR’nin en ayırt edici özelliklerinden biri, Rapid Rollback mekanizmasıdır. Bu özellik, bir saldırının sistemde yaptığı değişiklikleri hızlıca geri almayı hedefler. Geleneksel olarak, bir fidye yazılımı saldırısından sonra dosyaları kurtarmak için yedekten geri dönmek gerekir veya bir sistem enfekte olduysa temiz bir kurulumla yeniden yükleme yoluna gidilir. Rapid Rollback ise saldırıyı ve etkilerini cerrahi bir hassasiyetle geri sarar, böylece sistem sanki saldırı hiç olmamış gibi önceki durumuna döner.

Peki Rapid Rollback nasıl çalışır? Bu mekanizmanın temelinde, Acronis’in entegre yedekleme teknolojisi ve journaling yaklaşımı yatar. Ajan, sistemde gerçekleşen önemli değişiklikleri belirli aralıklarla veya tetiklenmiş olaylar bazında kayıt altına alabilir (ör. dosya sistemi değişimleri, kritik sistem ayarları). Özellikle Active Protection modülü, bir fidye yazılımı davranışı algıladığında etkilenen dosyaların anlık yedeğini alabiliyor. Rapid Rollback tetiklendiğinde, Acronis otomatik olarak şu adımları yapar:

1. Zararlı Süreçleri Durdurma: Öncelikle saldırıyla ilişkili aktif süreçler varsa durdurulur (bu, zaten tespit aşamasında yapılmış olabilir). Bu adım, daha fazla değişiklik yapılmasını engeller.
2. Saldırı İzlerini Temizleme: Saldırganın sisteme eklediği persistense mekanizmaları (ör. kayıt defterine eklenen Run anahtarları, görev zamanlayıcı girdileri, servisler vs.) tespit edilip kaldırılır. Aynı şekilde zararlı tarafından oluşturulmuş dosyalar silinir veya karantinaya alınır. Bu, “attack-specific rollback” olarak anılır – yani saldırıya özgü tüm değişikliklerin geri alınması.
3. Dosya ve Sistem Geri Yükleme: Saldırının değiştirdiği veya şifrelediği dosyalar, en son sağlıklı kopyalarından otomatik olarak geri yüklenir. Acronis yedekleme altyapısı burada devreye girer: örneğin fidye yazılımı bazı kritik ofis dokümanlarını şifrelediyse, Rapid Rollback o dosyaların yedekten temiz hallerini getirip üzerine yazar. Yalnızca dosyalar değil, gerekirse tüm sistem görüntüsü de bu şekilde geri alınabilir. Acronis bu teknolojiyi “Instant Recovery” şeklinde tanımlıyor – saldırı sonrası manuel yeniden kurulumlara gerek kalmadan anında toparlanma mümkün.
4. Doğrulama: Rollback tamamlandıktan sonra sistem belirli kontrol noktalarından geçirilir; örneğin temel antivirüs taraması yeniden yapılarak zararlı kalmadığı teyit edilir. Ayrıca kullanıcı verilerinin sağlam olduğuna emin olunur.

Bu süreç, tam otomatik şekilde çalışabildiği gibi, analist kontrolünde adım adım da işletilebilir. Rapid Rollback işlemi tamamlandığında, kullanıcı sanki hiçbir şey olmamış gibi çalışmaya devam edebilir – dosyalarını kaldığı yerden açabilir, sistemine giriş yapabilir, uygulamalar normal şekilde çalışır. Bu teknoloji sayesinde iş sürekliliği en üst düzeyde korunmuş olur. Acronis’in iddiası, bu sayede bir saldırı sonrasında manuel restore veya rebuild ihtiyacını ortadan kaldırdığı yönündedir. Nitekim Rapid Rollback için “benzersiz saldırı-özgü geri alma teknolojisi, etkilenen dosyaları veya tüm sistemleri anında saldırı öncesi durumuna getirir, elle yeniden kurulum gerekmez” ifadesi kullanılmaktadır.

Rapid Rollback mekanizması EDR ile nasıl entegre çalışıyor? Aslında bu, Acronis’in entegre platform yaklaşımının bir meyvesidir. EDR modülü bir saldırıyı algılayıp durdurduktan sonra (Respond safhası), hemen Recover safhasına geçmek üzere backup modülünü devreye sokar. EDR konsolunda, bir incident’ı yönetirken “Roll back attack changes” şeklinde bir seçenek bulunmaktadır. Analist bu butona bastığında yukarıda özetlediğimiz işlemler arka planda otomatik olarak gerçekleştirilir. EDR konsolu, rollback işleminin durumunu (başlatıldı, % tamamlandı, vs.) da gösterir. İşlem tamamlandığında, ilgili incident’ın durumu Resolved/Remediated olarak güncellenir ve not olarak “attack-specific rollback applied” gibi bir ibare eklenir. Böylece güvenlik ekibi, hem tehdidi ortadan kaldırmış hem de doğurduğu hasarı telafi etmiş olur. Bu entegre süreç, özellikle fidye yazılımları gibi veri bütünlüğüne zarar veren saldırılarda son derece kritiktir – sadece zararlıyı silmek sorunu çözmez, şifrelenmiş dosyalar kullanıcı için hala problemli durumdadır. Rapid Rollback işte bu noktada devreye girerek şifrelenmiş dosyaları orijinal hallerine çevirir veya silinen kritik dosyaları geri getirir.

Şekil 3: Acronis EDR üzerinde Rapid Rollback destekli tek tıkla müdahale ekranı. Bu ekranda, tespit edilen bir güvenlik olayı sonrasında alınabilecek entegre aksiyonlar listelenmektedir. “Remediate” (Düzelt) adımları altında birinci aşamada zararlı tehditler durdurulup izole edilmekte (“Stop and isolate threats”), ikinci aşamada ilgili dosyalar karantinaya alınmakta (“Quarantine threats”), üçüncü aşamada ise saldırının yaptığı değişiklikler geri alınmaktadır (“Rollback changes”). Acronis platformu, saldırının izlerini temizlemekle kalmayıp etkilenen dosyaları da otomatik olarak kurtarmaktadır. Örneğin ekran görüntüsünde, rollback adımı olarak saldırganın oluşturduğu yeni registry anahtarlarının silineceği ve şifrelenen dosyaların yedekten geri yükleneceği belirtilmektedir. Ayrıca “Recover workload” kısmı, eğer rollback yetersiz kalırsa komple sistem imajının geri yüklenebileceğini veya Disaster Recovery failover’ının tetiklenebileceğini gösteriyor – bu sayede iş yükünün çalışır durumda kalması garanti altına alınır. Son aşamada ise “Prevent future attacks” başlığı altında, analiz edilen tehditlerin bloklanması (örneğin ilgili hash’in denylist’e alınması) ve açıkların kapatılması (patch uygulanması gibi) önerilmektedir. Bu ekran görüntüsü, Acronis Advanced Security + EDR’nin bir olayı uçtan uca nasıl yönettiğini net biçimde ortaya koyuyor: Tespit -> İzolasyon -> Temizleme -> Geri Alma -> İyileştirme & Önleme adımları tek bir akış içinde sunuluyor. Bu entegre yaklaşım, güvenlik ekiplerinin MTTR (Mean Time to Response) süresini ciddi ölçüde düşürmektedir.

Rapid Rollback’in başarıyla işlemesi için, ortamda düzenli ve güncel yedeklemelerin bulunması gerektiğini vurgulamak gerekir. Acronis Cyber Protect Cloud kapsamında, MSP’ler müşterilerinin verilerini belirli sıklıklarla buluta veya yerel depolara yedekler. Bu yedekler, sadece felaket durumları için değil aynı zamanda bu tür güvenlik geri almaları için de kullanılır. Acronis, bazı kritik dosya tipleri için Continuous Data Protection (CDP) benzeri bir yaklaşım da uygular – bu sayede henüz yedekleme aralığı gelmemiş dosyalardaki değişiklikler bile anlık olarak yakalanabilir (ör. önemli bir Word belgesi üzerinde değişiklik yapıldığında agent bunu checkpoint’leyebilir). Rapid Rollback, gerektiğinde bu en son CDP snapshot’larını da kullanarak minimum veri kaybıyla kurtarma yapar.

Gerçek dünyada Rapid Rollback senaryosuna bir örnek verelim: Bir kullanıcının bilgisayarına fidye yazılımı bulaştığını düşünelim. Acronis EDR, dosya şifreleme davranışını algıladı ve zararlı süreci durdurdu diyelim. Ancak bu kısa süre zarfında kullanıcının “Documents” klasöründeki 20 adet Office dosyası şifrelenmiş olsun. Geleneksel yaklaşımla, analist bu zararlıyı temizler fakat kullanıcının dosyaları açılmaz durumdadır – yedekten geri dönmek gerekir, bu da zaman alır ve kullanıcı değişiklik yapmışsa belki bazı son değişiklikler kaybedilir. Acronis Rapid Rollback ise analistin tek tuşla bu 20 dosyayı anında kurtarmasını sağlar: Platform, bu 20 dosyanın temiz kopyalarını (örneğin bir önceki geceki yedekten veya CDP kaydından) alır, şifreli dosyaların üzerine yazar. Sonuç: Kullanıcı birkaç dakika içinde dosyalarını kaldığı yerden kullanmaya devam edebilir, belki son birkaç dakikada yaptığı bir-iki değişiklik eksik olabilir ama büyük oranda veri kurtulmuştur. Aynı zamanda EDR konsolunda, bu fidye yazılımı olayı “tamamen çözümlendi” olarak raporlanır. Bu, iş kesintisini en aza indiren bir çözümdür. Özellikle MSP’ler açısından bakıldığında, müşterilere sunulan bu kabiliyet büyük bir katma değer yaratır; zira klasik EDR’ler saldırıyı durdurmayı vaad ederken, Acronis gibi entegre bir çözüm hem durdurma hem iyileştirme vaad etmektedir.

Forensic Backup ve Olay Sonrası Analiz

Acronis’in backup altyapısının EDR ile entegrasyonu, sadece rollback için değil, adli analiz (forensics) için de önemli faydalar sağlar. “Forensic backup” terimi, saldırıya uğramış bir sistemin disk imajının veya dosya setinin olay anındaki haliyle saklanması anlamına gelir. Acronis Cyber Protect, tespit edilen ciddi bir incident sonrasında otomatik olarak ilgili makinenin yedeğini almayı tetikleyebilir. Bunun amacı, delillerin sonraki analizler için korunmasıdır. Örneğin, bir sunucuya gelişmiş bir APT saldırısı sızdı ve EDR bunu tespit etti diyelim; Rapid Rollback ile sistemi temizlemeden önce Acronis, sistemin bir forensic image’ini alarak buluta koyabilir. Daha sonra bu imaj, adli bilişim uzmanları tarafından incelenerek saldırganın kullandığı custom malware örneği, bıraktığı arka kapılar vs. ortaya çıkarılabilir. Normalde sistem temizlendikten sonra bu verilere erişmek zorlaşır; oysa ki forensic backup sayesinde kanıtlar dondurulmuş olur.

Acronis EDR konsolunda, bir incident altında bu forensic yedeğe atıf yapılabilir ve istenirse bu yedekten ayrı bir ortama dönüş yapılabilir (analiz amacıyla). Bu özellik, kökk neden analizi (root cause analysis) için çok değerlidir. Ayrıca, bazı uyumluluk gereksinimleri veya sigorta talepleri doğrultusunda, olay sonrası delillerin saklanması istenebilir – forensic backup bunu da karşılar.

Tepki ve düzeltme aşamasında, Acronis’in entegre platform olması başka avantajlar da sunar: Örneğin bir olayın ardından Acronis, müşteriye ait tüm diğer cihazlarda benzer bir gösterge olup olmadığını tarayabilir. Diyelim ki bir IOC (örn. belirli bir zararlı dosya hash’i) tespit edildi, platform bu hash’i diğer tüm yönetilen cihazlarda aratabilir ve bir yerde daha çıkarsa oraya da anında müdahale edebilir. Bu, EDR ile backup verisinin birlikte kullanılmasının bir başka yoludur – backup içinde dahi o dosyayı arayabilirsiniz (örn. yedeklerde bu zararlı daha önce yerleşmiş mi kontrol edilebilir). Bu bağlamda Acronis, EDR’yi daha geniş bir XDR vizyonunun parçası yapmaktadır; e-posta güvenliği, DLP gibi diğer modüllerle birlikte çalışarak olayın her boyutunu ele almayı hedefler. Ancak MDR/XDR konuları daha geniş kapsamlı olduğundan, odak noktamız EDR’nin kendi remediasyon becerileridir.

Özetle, Acronis Advanced Security + EDR’nin Response & Remediation kabiliyetleri, izolasyon, süreç sonlandırma, karantina, uzaktan komut çalıştırma, patch uygulama gibi standart EDR tepki araçlarının ötesine geçerek Rapid Rollback ve entegre kurtarma özellikleriyle farklılaşır. Bu sayede bir güvenlik olayı sadece bastırılmakla kalmaz, etkileri de hızla ortadan kaldırılır. İşletmeler için bu, siber saldırıların iş kesintisine neden olmadan atlatılabileceği anlamını taşır. Özellikle fidye yazılımı gibi felaket düzeyinde sonuçlar doğurabilecek tehditlere karşı, Acronis’in bu yaklaşımı sigorta niteliğindedir. Sonraki bölümde, bu güçlü özelliklerin yönetimi ve uygulanması sırasında devreye giren politikalar ve baselines konusunu ele alacağız – zira bu kadar esnek bir çözümün etkin kullanımı için doğru politika yapılandırması şarttır.

Policy Yönetimi ve Baselines

Bir güvenlik çözümünün etkinliği, büyük ölçüde doğru yapılandırılmasına ve kurumun ihtiyaçlarına uygun policy’lerin uygulanmasına bağlıdır. Acronis Advanced Security + EDR, merkezi bir politika yönetimi imkânı sunarak MSP’lerin veya kurum içi güvenlik ekiplerinin yüzlerce cihaza tutarlı güvenlik ayarları yaygınlaştırmasını kolaylaştırır. Bu bölümde, Acronis platformunda politika tanımlama, baselines oluşturma ve politika bazlı yönetim konularını inceleyeceğiz.

Politika Yönetimi (Centralized Policy Management)

Acronis Cyber Protect Cloud konsolunda, koruma planları (protection plans) adı verilen şablonlar aracılığıyla güvenlik politikaları tanımlanır. Bir koruma planı, anti-malware ayarlarından EDR konfigürasyonuna, yedekleme planlarından yamalama takvimine kadar pek çok bileşeni içerebilir – bu, Acronis’in entegre yaklaşımının bir yansımasıdır. Örneğin bir “Full Protection” adında plan oluşturup içine şunları koyabilirsiniz: Gerçek zamanlı antivirüs koruması açık, aktif ransomware koruması aktif, EDR aktif, haftalık tam yedekleme aktif, aylık zafiyet taraması aktif… gibi. Bu planı belirli makinelere atadığınızda, ilgili ajan bu politikaya uygun davranır.

EDR Policy: Özellikle EDR konfigürasyonu, ayrı bir policy modülü olarak sunulur. Acronis dokümantasyonuna göre “Endpoint Detection and Response policy, müşterilerin kolayca tehditleri tespit edip incelemesini ve düzeltmesini sağlar; Acronis Agent tarafından veri toplanması ve analizi (detection part), incident yönetimi için arayüz ve cihaz izolasyonu, uzaktan script çalıştırma, patch management vs. içeren response kısmından oluşur”. Bu tanımdan anlaşıldığı üzere, EDR policy’si kendi başına çok ince ayar barındırmayan (çoğu iç fonksiyon otomatik çalışır) bir yapıdır, ancak etkin olması için diğer bazı bileşenlerin devrede olması gerekir. Nitekim Acronis, EDR’i etkinleştirmek için ön koşul olarak Advanced Security + EDR lisansının o kiracıda açık olmasını ve ilgili cihazlarda Antivirus & Antimalware koruma politikasının etkin olmasını şart koşar. Yani EDR, temel anti-malware katmanı üzerine ek bir tabaka gibi düşünülmüştür. Bu mantıkla, Acronis policy yönetim arayüzü de EDR’ye dair fazla karmaşık ayar sunmaz: EDR’yi aç/kapat yapabilir, belki incident verisi tutma süresi gibi birkaç parametre belirleyebilirsiniz. Asıl ayarlar anti-malware modülündedir (aktif koruma, exploit engelleme, URL filtresi gibi alt bileşenlerin hepsinin açık olması EDR için tavsiye edilir).

Acronis’in politika yönetimi, tamamen merkezi ve çok kiracılı bir yapıdadır. Role-based access desteği sayesinde, MSP’ler kendi içinde farklı seviyede yöneticilere (Tier1 destek, güvenlik yöneticisi vs.) farklı yetkiler verebilir. Örneğin bir Tier1 teknisyeni sadece politikayı uygulayabilir ama değiştiremez, vs. Bu sayede kontrollü değişiklik yönetimi sağlanır. Politika değişiklikleri bir log ile izlenir ki istenmeyen bir güncelleme yapılırsa geri alınabilsin. Ayrıca Acronis, politikaların kopyalanmasını ve şablonlaşmasını da destekler: Örneğin bir “Gold” güvenlik standardı belirleyip bunu tüm müşterilere uygulayabilir, ama gerekiyorsa müşteri özelinde kopyalayıp küçük değişiklikler yapabilirsiniz.

Gruplar ve Dinamik Uygulama: Politikalar, tek tek cihazlara uygulanabildiği gibi, cihaz gruplarına veya etiketlere göre de uygulanabilir. Örneğin sunuculara farklı, istemcilere farklı planlar atamak mümkündür. Acronis MSP konsolunda müşteri bazında varsayılan planlar da tanımlanabilir. Yeni eklenen bir cihaz otomatik olarak belirli bir baseline planı alabilir – böylece onboarding süreci kolaylaşır.

Policy Örnekleri: Acronis EDR için olası bir politika senaryosu düşünelim: Diyelim ki bir müşterinin kritik sunucuları için “Sıkı Güvenlik” adında bir plan tanımlandı. Bu planda EDR açık, antivirüs en yüksek hassasiyette (potansiyel olarak istenmeyen uygulamaları da algıla gibi), aktif koruma açık, bütün exploit önleme seçenekleri aktif, USB bellek engelleme aktif, yedekleme günlük ve kritik dosyalar için CDP açık olsun. Aynı müşterinin son kullanıcı PC’leri için ise “Standart Güvenlik” planı olabilir: EDR açık ama belki bazı gelişmiş logging devre dışı (daha az agresif), antivirüs normal modda, USB kontrol tavsiye modunda vb. Bu farklı planlar sayesinde, her cihaz türüne uygun dengede koruma sağlanabilir. Tüm bunlar tek bir konsoldan yönetilir.

Baseline Oluşturma ve Uyum (Baselines)

Baseline kavramı, güvenlikte “normal”in tanımını yaparak anormallikleri saptamayı kolaylaştırmak için kullanılır. Acronis çözümünde baseline kavramı birkaç anlamda yorumlanabilir:

1. Güvenlik Politikası Baseline’ı: Her kurumun asgari uygulamak istediği bir güvenlik standardı vardır. Acronis, NIST Cybersecurity Framework gibi standartlara dayalı olarak en iyi pratikleri önerir. Örneğin NIST CSF’ye göre tüm uç noktalarda EDR bulunmalı, kritik veriler yedeklenmeli, tüm cihazlar patch’li olmalı vb. Acronis platformu, bu gereksinimleri tek pakette sunarak zaten bir baseline oluşturur. MSP’ler kendi hizmet paketlerini de baseline seviyelere göre sunabilir (örn. “Basic Security” = Sadece Antivirüs, “Advanced Security” = Antivirüs + EDR + DLP vs.). Acronis’in ürün paketleri de aslında bu şekilde adlandırılmıştır: Advanced Security + EDR, temel güvenlik üzerindeki ileri seviye baseline’ı tanımlar. Bu baseline bir kez belirlendikten sonra, tüm cihazların bu politikaya uyduğunu Acronis sürekli denetler. Örneğin bir cihazda EDR kapatılmışsa (kullanıcı local admin olup kapatmaya çalışabilir vs.), konsolda o cihaz kırmızı bayraklanır. Bu anlamda baseline, asgari güvenlik konfigürasyonu demektir ve Acronis bunun sürdürüldüğünü otomatik olarak izler.
2. DLP Baseline’ı: Acronis platformunun DLP (Data Loss Prevention) modülü, otomatik baseline DLP politikaları oluşturma gibi gelişmiş bir özellik sunar. Bu EDR’den ayrı bir modül olmakla birlikte, verinin normal akışını öğrenip ona göre politika çıkarma mantığı barındırır. Bu ilginç bir yaklaşımdır: Örneğin müşteri ortamında tipik olarak finans departmanı içinden dışarı haftada şu kadar finans belgesi gidiyor, daha fazlası anormaldir gibi. EDR tarafında da benzer bir mantık potansiyel olarak kullanılabilir – örneğin belli bir cihaz için normalde günde 100 adet process creation oluyor, bir anda 1000’e çıkarsa alarm ver vb. Ancak Acronis dokümantasyonunda EDR’nin böyle sayısal bir baseline alarmlama yaptığından bahsedilmiyor doğrudan. Yine de, behavioral tespitin temelinde aslında bir baseline öğrenimi vardır.
3. Sistem/İşletim Profili Baseline’ı: Acronis EDR, ortamın envanterini (inventory) çıkararak normalde hangi uygulamaların yüklü olduğunu, hangi servislerin çalıştığını, network trafiğinin hangi portlarda gezindiğini öğrenebilir. Bu sayede bir baseline profil oluşur. Örneğin Muhasebe sunucusunda SQL Server servisi her zaman çalışıyor, bu baseline. Bir gün o sistemde ilk defa Mimikatz aracı çalışırsa, bu baseline dışı bir olaydır ve alarmdır. Bu yaklaşım “anomaly detection” başlığında anlatılan AI modelleri ile örtüşür. Baseline burada yazılı bir kural değil, öğrenilmiş bir modeldir. Acronis bu modeli olgunlaştırdıkça false positive’ler azalacak, çünkü normal olan ile anormal olan daha iyi ayırt edilecektir.
4. Performans Baseline’ı: Belki teknik bir detay ama, Acronis agenti sistem performansını da izler ve anomali olabilecek durumları raporlar. Örneğin CPU kullanımı normalde %10 olan bir proses bir anda %90’lara çıkarsa (ve bu belki bir malware’in şifreleme yapmaya başlamasıyla olur), bu da bir anormallik. Aslında Active Protection tam da bunu yapıyor: Beklenmedik yoğun disk yazma ve şifreleme paternlerini baseline dışı görüp durduruyor. Bu da dolaylı bir baseline kullanımıdır.

Baseline’ların Yönetimi: Acronis konsolu, farklı müşteriler veya gruplar arasında karşılaştırma imkânı da sunabilir. Örneğin bir müşteride güvenlik posture skoru 85, diğerinde 65 ise, bu baseline’a uyum farkını gösterir. Platform, uygunsuz konfigürasyonları raporlar: “filanca cihazda son 30 gündür backup alınmamış – baseline’a uyumsuz” veya “şu cihazda gerçek zamanlı koruma kapalı – baseline ihlali” gibi uyarılar verilir. Bu, MSP’lerin SLA’lerini tutturması için önemlidir.

Politika ve Baseline Örnek Tablo: Aşağıda, farklı güvenlik politika düzeylerinin örnek baseline ayarlarını gösteren basit bir tablo sunuyoruz:

Yukarıdaki tablo örnek amaçlıdır; Acronis platformunda bu kadar keskin paketler olmayabilir, ancak MSP’ler kendi hizmet katmanlarını bu şekilde tanımlayabilirler. Önemli olan, bir müşteri hangi seviyeyi seçtiyse ona uygun baseline’ın tutturulduğunu Acronis ile izleyebilmektir.

Baseline Sürekliliği: Zaman içinde, güvenlik tehditleri evrildikçe baseline politikaların da güncellenmesi gerekir. Acronis, bulut tabanlı olduğundan yeni özellikleri ve önerileri tüm müşterilere iletebilir. Örneğin 2024’de fidye yazılımlarında yeni bir teknik ortaya çıktıysa, Acronis belki EDR politikasına yeni bir kural ekleyip tüm kullanıcılara baseline güncellemesi olarak iletir (veya bir advisory yayınlar). Bu esneklik, on-premise çözümlerde yöneticinin manuel yapması gereken pek çok optimizasyonu bulut servis sağlayıcısının yapmasını sağlar.

Sonuç olarak, policy yönetimi Acronis Advanced Security + EDR çözümünün belkemiğidir. Merkezi ve ölçeklenebilir yapısıyla, MSP’lerin yüzlerce farklı site ve binlerce cihazı aynı politika setiyle yönetmesi mümkündür. Baselines kavramı ise hem güvenlik konfigürasyonlarında tutarlılığı sağlamak hem de anormallikleri saptamak için kilit rol oynar. Acronis, varsayılan olarak güvenlik en iyi uygulamalarına dayalı baseline’lar sunar ancak her kurumun ihtiyacına göre esneklik tanır. Bu sayede, EDR çözümünün hem güvenilirliği (tüm cihazlar politikaya uygun mu?) hem de etkililiği (normal ile anormal ayrımı) üst düzeyde tutulabilir.