Stellar Cyber ​​Open XDR - الشعار
بحث
أغلق مربع البحث هذا.

ما هو NDR؟

يواجه صناع القرار الأمني ​​اليوم عددًا لا يحصى من الخيارات عندما يتعلق الأمر ببناء حزمة أمنية حديثة. أحد عناصر التحكم الأمنية التي يتم تجاهلها بشكل شائع هو اكتشاف الشبكة والاستجابة لها، أو NDR. حلول الأمن السيبراني NDR ليست جديدة. ومع ذلك، نظرًا للتعقيد الملحوظ للنشر والصيانة والاستخدام، فإن العديد من مالكي الأمان يقللون من أولوية هذه التكنولوجيا في حزمة الأمان الخاصة بهم، على افتراض أن منتجات الأمان الأخرى المرتبطة بالشبكة يمكن أن تحافظ على شبكاتهم من التعرض للخطر. يقدم هذا الدليل تعريفًا شاملاً لـ NDR كحل حديث للأمن السيبراني وأهميته في مكافحة الهجمات السيبرانية.

كيف يعمل NDR

تم تصميم تقنيات اكتشاف الشبكة والاستجابة لها لتحديد التهديدات عبر البنية التحتية لشبكتك وتمكين محللي الأمان من اتخاذ إجراءات استجابة حاسمة بسرعة للتخفيف من مخاطر حدوث خرق ضار. على عكس تقنيات الشبكات الأخرى التي تتطلب من المستخدمين أن يكونوا شبه خبراء في الشبكات، يمكن لمحللي الأمن ذوي الخبرة المتنوعة استخدام منتجات NDR بسهولة. لفهم كيفية القيام بذلك بشكل أفضل تحافظ قدرات NDR على أمان الشبكة، يجب علينا أولاً أن نوضح كيفية نشرها وعملها. 

شبكتك هي الجهاز العصبي المركزي لمؤسستك بأكملها. سواء كنت منتشرًا "على المعدن" فقط، دون التواجد في السحابة، أو انتقلت إلى "الكل في" مع موفر السحابة، فإن الشبكة تتيح الاتصال الحيوي من مركز أعمال إلى آخر. تاريخيًا، كان يُعتقد أن نشر جدار الحماية يوفر أمانًا كافيًا للشبكة. ومع ذلك، قدم البائعون ضوابط أمنية جديدة لحماية الشبكة ومكافحة التطورات في أساليب الهجوم. أدت أنظمة كشف التسلل أو منع التسلل إلى زيادة قدرة جدار الحماية على منع الهجمات الإلكترونية الناجحة، نظرًا للاعتماد على توقيعات الشبكة المعروفة للهجمات، وعندما قام المهاجمون بتعديل تكتيكاتهم ولو بشكل طفيف، أصبحت معظم منتجات IDS/IPS أكثر من مجرد مصدر إزعاج للمهاجمين " التعامل مع."

ما هو NDR؟ الدليل النهائي – تطور NDR

تطور NDR

كما يفعل مقدمو خدمات الأمن عند مواجهة تحديات المهاجمين المتطورة، فقد تم تقديم نوع منتج جديد يُعرف باسم تحليل حركة مرور الشبكة (NTA). وكما يقترح اسمها، ستقوم منتجات NTA بتحليل محتويات ومقاييس حركة المرور بين أصول المؤسسات وحركة المرور من وإلى المصادر الخارجية. يمكن للمحلل البحث في تفاصيل الأنماط غير العادية لتحديد ما إذا كانت هناك حاجة إلى إجراءات تصحيحية. الآن، NDR يدخل في الصورة. يجمع NDR بين أفضل IDS/IPS وNTA وإمكانيات أمان الشبكة الأخرى في حل واحد لحماية الشبكة. تهدف منتجات NDR إلى تقديم نظرة شاملة للتهديدات الأمنية عبر شبكتك. باستخدام مجموعة من توقيعات الشبكة الضارة المعروفة، والتحليلات الأمنية، وتحليل السلوك، يمكن أن توفر تقارير NDR اكتشافًا سريعًا للتهديدات بكفاءة عالية. لكي نكون أكثر تحديدًا، لا تستطيع منتجات NDR تحليل محتوى حركة مرور الشبكة فحسب، بل يمكنها أيضًا تحديد النشاط الشاذ من خلال تحليل البيانات التعريفية لحركة مرور الشبكة (حجم/شكل حركة المرور). تعتبر هذه الإمكانية مفيدة عند التعامل مع حركة المرور المشفرة، حيث قد يكون من المستحيل على منتج NDR فك التشفير في الوقت الفعلي. توفر منتجات NDR النموذجية إمكانات الكشف والقدرة على الاستجابة للتهديد المحتمل.

ما هو دور NDR في الأمن السيبراني

يبحث المهاجمون المعاصرون عن أي ضعف في بيئة المنظمة يمكنهم استغلاله. على الرغم من أن نقاط النهاية تعد سطح هجوم شائعًا بالنسبة لمعظم المهاجمين، إلا أنهم يبحثون بشكل متزايد عن طرق لإخفاء تهديداتهم السيبرانية ضمن حركة مرور الشبكة المنتظمة. يكتسب هذا النهج شعبية بسبب التعقيد الملحوظ المرتبط بمراقبة التهديدات وتحليلها واكتشافها أثناء اجتيازها للشبكة. في الماضي غير البعيد، كان تحديد التهديدات في حركة مرور الشبكة يتطلب موارد تتمتع بخبرة واسعة في تكوين حركة مرور الشبكة وصيانتها ومراقبتها. ومع ذلك، يختلف مشهد الأمن السيبراني اليوم إلى حد كبير، مما يجعل حماية الشبكة أكثر سهولة لجميع المتخصصين في مجال الأمن، وليس فقط أولئك الذين هم خبراء في الشبكات. 

وكما يتفق معظم المتخصصين في مجال الأمن السيبراني، فإن معظم الهجمات تمس الشبكة بطريقة أو بأخرى. تشير الدراسات الحديثة إلى أنه يمكن اكتشاف 99% من الهجمات الناجحة في حركة مرور الشبكة، ويمكن تحديد الكثير منها والتخفيف من حدتها قبل أن ينشر المهاجم حمولاته. تعمل حلول حماية الشبكات الحديثة على تسهيل الوصول إلى حماية الشبكات لأي متخصص في مجال الأمان من خلال تسهيل استخدام قدراتها. إلى جانب الزيادة في القدرات الآلية المضمنة في معظم الحلول، أصبح تحديد التهديدات عبر الشبكة الآن أكثر "عدم التدخل" من أي وقت مضى. بالنسبة لمعظم فرق الأمان، حتى أولئك الذين يفتقرون إلى الخبرة في مجال الشبكات يمكنهم القيام بذلك نشر حل NDR في حزمة الأمان الخاصة بهم والبدء في تحديد التهديدات أثناء انتقالها بين أصول الشبكة وداخل الشبكة وخارجها مع القليل من التدخل البشري. من خلال تضمين NDR في حزمة الأمان، يمكن لفرق الأمان أيضًا رؤية فوائد استراتيجية وتكتيكية هائلة تتجاوز مجرد تحديد التهديدات على الشبكة.

الدفاع في العمق

أولاً، من خلال تضمين NDR في حزمة الأمان الخاصة بك، فإنك تتبع أفضل الممارسات الخاصة بأسلوب "الدفاع المتعمق" فيما يتعلق بالأمان. في حين أن منصات حماية نقاط النهاية وحلول الكشف عن نقاط النهاية والاستجابة لها مصممة لتحديد التهديدات على نقاط النهاية، على سبيل المثال، إلا أنها عمومًا لا تلحظ التهديدات أثناء تحركها عبر الشبكة. وبالمثل، تعد منتجات منع فقدان البيانات جيدة جدًا في تحديد متى تنتقل البيانات المهمة من موقع معين. ومع ذلك، فهم ليسوا جيدين في التقاط هذه المعلومات الهامة التي تعبر الشبكة، خاصة إذا كانت مشوشة ضمن حركة مرور الشبكة العادية. هذا هو الوضع الذي تتمتع فيه منتجات أمان NDR بالقدرة على رفع مستوى قدرة فريق الأمان على تقليل مخاطر الهجوم الإلكتروني الناجح. مثلما هو الحال مع المنتجات الأخرى المذكورة المخصصة لاكتشاف التهديدات في أصل معين أو نوع بيانات معين، يركز NDR فقط على فهم حركة مرور الشبكة بطريقة لا يستطيع أي منتج أمني آخر القيام بها. من خلال تمكين التحليل السريع لحركة مرور الشبكة في الوقت الفعلي، يمكن لمنتجات أمان NDR أن تسلط الضوء على التهديدات المحتملة في حركة مرور الشبكة والتي ربما لم يلاحظها أحد.

مشاركة المعلومات

بمجرد اكتشاف التهديدات، يمكن بسهولة مشاركة هذه المعلومات في منصة SIEM أو XDR لربطها بالتهديدات الأخرى، والتي قد يعتبر بعضها إشارة ضعيفة. ومع التدفق المستمر لتهديدات الشبكة التي يتم تحليلها الآن باستخدام البيانات الأخرى ذات الصلة بالأمان، ستستفيد فرق الأمان من رؤية أكثر شمولية للتهديدات عبر بيئات الشبكة بالكامل. على سبيل المثال، من الشائع أن يقوم المهاجمون بنشر هجمات متعددة المتجهات ضد أهدافهم، مثل بدء حملة بريد إلكتروني للتصيد الاحتيالي ضد العديد من الموظفين بينما يتطلعون في الوقت نفسه إلى استغلال ثغرة أمنية معروفة تم اكتشافها في مكان ما عبر الشبكة. عند التحقيق فيها بشكل منفصل، قد يتم اعتبارها ذات أولوية أقل مما كانت عليه عند اعتبارها جزءًا من هجوم مستهدف. مع وجود NDR، بالتزامن مع XDR، لم يعد يتم التحقيق في هذه الهجمات بشكل منفصل. وبدلاً من ذلك، يمكن ربطها وزيادتها بالمعلومات السياقية ذات الصلة، مما يجعل تحديد ارتباطها أسهل بكثير. هذه الخطوة الإضافية، والتي يمكن أن تحدث تلقائيًا في معظم الحالات، تعني أن محللي الأمن يصبحون أكثر إنتاجية وكفاءة دون بذل المزيد من الجهد. للحصول على معلومات إضافية حول الفوائد الإستراتيجية لـ NDR، قم بمراجعة دليل المشترين NDR.

كيف يمكن مقارنة NDR مع EDR وXDR؟

مع وجود العديد من منتجات وخدمات الأمن السيبراني التي تدعي أنها تقدم فوائد مماثلة، قد يكون من الصعب على بعض صناع القرار الأمني ​​تحديد المنتجات التي سيتم نشرها للحصول على فوائد إضافية. NDR ليس محصنًا من هذا الارتباك، لذا لمساعدة صناع القرار على فهم أوجه التشابه والاختلاف بين عناصر التحكم الأمنية القياسية، يوضح ما يلي الاختلافات بين NDR وEDR وXDR.

متطلبات NDR

أولاً، لتأسيس فهم أساسي لمحور تركيز هذا الدليل، NDR، إليك إمكانات الجدولة القياسية لحل NDR:
  • منتجات NDR يجب جمع معلومات حركة مرور الشبكة في الوقت الفعلي وتخزين البيانات المجمعة لجعل التحليل الآلي ممكنًا.
  • منتجات NDR يجب أن يكون قادرًا على تطبيع وإثراء البيانات المجمعة بالمعلومات ذات الصلة بالسياق لتسهيل التحليل الشامل
  • منتجات NDR يجب أيضًا إنشاء خط أساس لحركة مرور الشبكة المنتظمة، عادةً باستخدام خوارزميات التعلم الآلي. بمجرد إنشاء خط الأساس، يجب أن يعرض منتج NDR بسرعة الحالات التي تكون فيها حركة مرور الشبكة خارج أنماط حركة المرور النموذجية، لتنبيه محللي الأمن في الوقت الفعلي بالخلل. 
  • منتجات NDR يجب أن تغطي الأصول المحلية والسحابية.
  • منتجات NDR يجب أن تعمل على تجميع التنبيهات ذات الصلة في مجموعات تحقيق قابلة للتنفيذ، مما يسهل على محللي الأمن 1) فهم نطاق الهجوم و2) اتخاذ إجراءات الاستجابة
  • منتجات NDR يجب أن توفر وسيلة آلية لاتخاذ إجراءات الاستجابة المناسبة عندما تعتبر ضرورية بسبب طبيعة الهجوم ونطاقه

متطلبات EDR

يجب أن توفر منتجات الكشف عن نقطة النهاية والاستجابة لها (EDR) الإمكانات التالية لتوفير الحماية اللازمة لمنطقة التركيز الخاصة بها، وأجهزة نقطة النهاية:
  • منتجات اي دي ار يجب أن تزود فرق الأمان بوسائل لجمع وتحليل بيانات نقطة النهاية في الوقت الفعلي. عادةً، يتم تسليم ذلك عبر وكيل نقطة نهاية قابل للنشر ويمكن توزيعه بسهولة عبر الأداة التي تختارها المؤسسة. يجب إدارة عوامل نقطة النهاية هذه مركزيًا وتحديثها بسهولة دون الحاجة إلى إعادة تشغيل الجهاز. 
  • منتجات اي دي ار يجب أن يكون قادرًا على تحليل التطبيقات والخدمات في الوقت الفعلي لاجتثاث الملفات والخدمات الضارة المحتملة. عند اكتشافها، من المفترض أن يكون من الممكن عزل الملفات والخدمات المشبوهة تلقائيًا. 
  • منتجات اي دي ار يجب أن يتضمن محرك قواعد الارتباط القابل للتخصيص حيث يمكن لفرق الأمان إما تحميل مجموعة من قواعد الارتباط المتاحة للعامة أو إنشاء قواعد خاصة بهم من البداية. ويجب أن تتضمن هذه القواعد القدرة على اكتشاف التهديد ووسيلة لاتخاذ استجابة تلقائية إذا لزم الأمر. 
  • منتجات اي دي ار يجب دمجها بسهولة من منظور البيانات في منتج أمني آخر، مثل منصة SIEM أو XDR، بحيث يمكن تحليل البيانات الغنية التي تم جمعها في سياق المعلومات الأخرى ذات الصلة بالأمان. 
  • منتجات اي دي ار يجب أن يدعم عمليات النشر على أجهزة Microsoft Windows والأنواع المختلفة من أجهزة Linux. 
  • إدر الحديثة يمكن أيضًا نشر المنتجات على بعض الأنظمة الأساسية المستندة إلى السحابة والتطبيقات الأخرى المقدمة عبر السحابة مثل Microsoft Office 365. 

متطلبات XDR

الكشف والاستجابة الممتدة (XDR) تعد المنتجات واحدة من أحدث التقنيات في السوق، والتي نشأت نتيجة للحاجة إلى تسهيل قيام فرق الأمان البسيطة بتقديم نتائج أمنية مستمرة عبر مؤسستهم بأكملها. يجب أن تتضمن منتجات XDR الإمكانات التالية لتقديم الفوائد التي تتوقعها معظم فرق الأمان. 

  • منتجات XDR يجب استيعاب البيانات من أي مصدر بيانات متاح. يمكن أن تتضمن هذه البيانات 1) تنبيهات من أي عنصر تحكم أمني منشور، و2) بيانات السجل من أي خدمة تستخدمها مؤسسة، مثل السجلات التي تم إنشاؤها بواسطة نظام إدارة الهوية الخاص بالمؤسسة، و3) السجل والمعلومات المتعلقة بالنشاط من أي سحابة البيئة والتطبيق، مثل معلومات النشاط المجمعة من حل Cloud Access Security Broker (CASB).
  • منتجات XDR ينبغي بشكل مثالي تطبيع جميع البيانات المجمعة لتمكين التحليل الشامل على نطاق واسع.
  • منتجات XDR يجب استخدام التعلم الآلي والذكاء الاصطناعي (AI) لربط بيانات التنبيه والأنشطة التي تبدو متباينة وغير ذات صلة بحوادث/حالات أمنية يمكن التحقيق فيها بسهولة. 
  • منتجات XDR يجب أن تضع تلقائيًا جميع البيانات التي تم جمعها في سياق المعلومات المهمة، مما يسهل على محللي الأمن إكمال التحقيقات بسرعة.
  • منتجات XDR ينبغي توجيه جهود المحللين الأمنيين من خلال إعطاء الأولوية للحوادث الأمنية المشتبه فيها حسب تأثيرها المحتمل على المنظمة.
  • منتجات XDR يجب أن توفر قدرة استجابة آلية يمكن البدء بها دون تدخل بشري بناءً على خطورة/تأثير التهديد المحتمل. 

باختصار، يعد كل من منتجي NDR وEDR في نهاية المطاف مدخلات في منصة XDR التي تمكن محللي الأمن من استكمال تحقيقات الأمن السيبراني بشكل أسرع وأكثر فعالية من أي وقت مضى. 

حالات استخدام NDR الشائعة

يجب أن يكون واضحًا أن منتجات NDR تركز على تحديد التهديدات الأمنية أثناء اجتيازها البنية التحتية لشبكة المؤسسة. ومع ذلك، قد يكون من الأسهل على صناع القرار الأمني ​​فهم الفوائد التي يقدمها منتج NDR من خلال تطبيق عدسة حالة الاستخدام على المناقشة. توضح المناقشة التالية العديد من حالات استخدام الأمان الشائعة التي يمكن لمنتج NDR أن يساعد فريق الأمان على الاجتماع بها.

الحركة الجانبية

من التحديات الشائعة التي يواجهها فريق الأمان فهم الوقت الذي يتحرك فيه المهاجم بشكل جانبي عبر بيئته. على سبيل المثال، عندما ينجح أحد المهاجمين في اختراق حساب مستخدم أو نقطة نهاية دون اكتشافه، فإن الخطوة المنطقية التالية هي أن يحاول المهاجم الانتقال إلى البيئة بشكل أكبر. لنفترض أن بإمكانهم الانتقال من جهاز إلى آخر في وضع التخفي. وفي هذه الحالة، قد يكتشفون مكان وجود معلومات حساسة في البيئة، مما يجعل هجومهم أكثر تأثيرًا في حالة برامج الفدية.

ومن خلال التنقل عبر الشبكة، يمكنهم أيضًا تحديد التطبيق أو الخدمة الضعيفة التي تمكنهم من فتح "باب خلفي" لاحقًا لإعادة الدخول إلى البيئة حسب الرغبة. علاوة على ذلك، للحفاظ على الثبات في البيئة، سيحاول العديد من المهاجمين تصعيد امتيازات حساب المستخدم المخترق إلى حقوق المسؤول، ومنحهم تفويضًا مطلقًا فيما يتعلق بإجراء تغييرات على البيئة، وربما إيقاف تشغيل بعض ميزات الأمان، وحذف السجلات التي يمكن أن يترك فتات الخبز لفرق الأمن لاستخدامها لاستكمال تحقيقاتها. باستخدام NDR الذي يراقب نشاط الشبكة في الوقت الفعلي، يمكن لفرق الأمان التعرف بسرعة على النشاط المشبوه بين أصول الشبكة وأنماط حركة المرور غير الطبيعية من شبكتهم إلى العالم الخارجي. وتربط منتجات NDR هذا النشاط غير الطبيعي بإجراءات المستخدم، والتي يمكن أن تسلط الضوء على الوقت الذي يتحرك فيه المهاجم بحرية عبر أصول الشبكة الخاصة به.

مساومة أوراق الاعتماد

هناك حالة أخرى للاستخدام الأمني ​​اليومي الذي يمكن أن تلبيه منتجات NDR، وهي مرتبطة ببيانات الاعتماد المخترقة. لسوء الحظ، يمكن للمهاجم اليوم الحصول على بيانات اعتماد مستخدم صالحة بعدة طرق، بدءًا من شرائها من الويب المظلم وحتى جعل موظف عن غير قصد يتطوع ببيانات اعتماده ردًا على رسالة بريد إلكتروني احتيالية أو عبر موقع ويب ضار. بمجرد حصول المهاجم على بيانات الاعتماد، يصبح من السهل عليه الوصول إلى البيئة. بمجرد دخول المهاجم إلى المؤسسة، يمكنه تنفيذ أي عدد من الأنشطة الضارة، مثل نشر برامج الفدية المنهكة، أو حذف البيانات المهمة للمهمة، أو كشف المعلومات السرية للشركة للعالم الخارجي لإحداث الفوضى. تعمل منتجات NDR على تسهيل اكتشاف بيانات الاعتماد المخترقة حسب طبيعة كيفية عمل NDR. على سبيل المثال، إذا تم اكتشاف موظف مقيم في أمريكا الشمالية يقوم بتسجيل الدخول من الصين. في هذه الحالة، سيكتشف منتج NDR هذا الوضع الشاذ ويصدر تنبيهًا يمكن لمحلل الأمان التحقيق فيه بسرعة. نظرًا لأن منتج NDR سيضع التحذير في سياقه تلقائيًا، يمكن لمحلل الأمان تحديد ما إذا كان هذا الوضع الشاذ يمثل تهديدًا بسرعة وبدء استجابة تلقائية في ثوانٍ، مثل تقييد وصول المستخدم إلى جميع بيئات الشبكة وفرض إعادة تعيين كلمة المرور. يمكنهم أيضًا التأكد من تعطيل وصول المستخدم إلى أي تطبيقات مستندة إلى السحابة وأصول الشبكة عبر التكامل مع منتج CASB.
انتقل إلى الأعلى