Kaspersky'ye veya modern koruma ürünlerine hala sadece imza tabanlı çalışıyor diyorsan, son 10 yıldır sektörden bihabersin demektir. Senin o küçümsediğin yazılımların arkasında System watcher gibi, davranışsal analiz yapan, Ransomware'i şifreleme anında yakalayıp rollback yapan motorlar var. Senin manuel olarak yazmaya çalıştığın o kuralları, adamların yapay zeka destekli bulut ağı saniyede milyonlarca veriyle güncelliyor. Sen tek başına bir SoC ekibi misin ki dünyadaki bütün varyasyonlara kural yazacaksın?
Açık kaynak xdr kurarım, çözerim diyorsun. Peki o Xdr'ın bakım maliyeti? Log yöneti mi? False positive yöneti mi? Sen o özel kuralı yazdığında, iş kritik bir Windows servisini kilitlediğinde ne yapacaksın? Örnek olarak mesela bir saldırgan PowerShell ile base64 encode edilmiş, ınvoke-obfuscation ile karıştırılmış bir payload çalıştırdığında senin o açık kaynak Xdr'ın loglarda sadece anlamsız karakter yığınları görür. Sen ona kural yazana kadar (ki neye kural yazacaksın her seferinde değişiyor), Kaspersky script hafızada decode edildiği milisaniyede, daha çalışmadan içeriği görür ve bloklar. Senin davranış dediğin şeye adamlar Memory seviyesinde bakıyor, log seviyesinde değil.
Kural yazar silerim demek kolay. Kurumsal bir ağda, meşru bir admin aracıyla zararlı bir lateral movement arasındaki farkı ayırt edecek kuralı manuel yazmaya kalkarsan, ya şirketin CEO'sunun bilgisayarını kilitlersin ya da gerçek saldırıyı kaçırırsın. Milyar dolarlık ar-ge bütçesi olan firmalar bu ayrım için yapay zeka modelleri eğitiyor, sen iki satır regex yazarım diyorsun. Açık kaynak xdr harika bir analiz ve görünürlük aracıdır, buna itirazım yok. Ama onu, bir epp alternatifi olarak sunmak yangın söndürme tüpüm var, o yüzden itfaiyeye gerek yok demekle aynı şey. Biri önleme ve otomatik koruma, diğeri tespit ve yanıt işidir.