ما هو NDR؟
دليل السوق من Gartner لاكتشاف الشبكات والاستجابة لها (NDR)
في تقارير Gartner® الأخيرة حول اكتشاف الشبكة والاستجابة لها (NDR)، لاحظت Gartner أن بيئات التكنولوجيا التشغيلية وتكنولوجيا المعلومات...
تجربة الأمن المدعوم بالذكاء الاصطناعي في العمل!
اكتشف الذكاء الاصطناعي المتطور من Stellar Cyber للكشف الفوري عن التهديدات والاستجابة لها. جدولة العرض التوضيحي الخاص بك اليوم!
كيف يعمل NDR
شبكتك هي الجهاز العصبي المركزي لمؤسستك بأكملها. سواء كنت منتشرًا "على المعدن" فقط، دون التواجد في السحابة، أو انتقلت إلى "الكل في" مع موفر السحابة، فإن الشبكة تتيح الاتصال الحيوي من مركز أعمال إلى آخر. تاريخيًا، كان يُعتقد أن نشر جدار الحماية يوفر أمانًا كافيًا للشبكة. ومع ذلك، قدم البائعون ضوابط أمنية جديدة لحماية الشبكة ومكافحة التطورات في أساليب الهجوم. أدت أنظمة كشف التسلل أو منع التسلل إلى زيادة قدرة جدار الحماية على منع الهجمات الإلكترونية الناجحة، نظرًا للاعتماد على توقيعات الشبكة المعروفة للهجمات، وعندما قام المهاجمون بتعديل تكتيكاتهم ولو بشكل طفيف، أصبحت معظم منتجات IDS/IPS أكثر من مجرد مصدر إزعاج للمهاجمين " التعامل مع."
تطور NDR
كما يفعل مقدمو خدمات الأمن عند مواجهة تحديات المهاجمين المتطورة، فقد تم تقديم نوع منتج جديد يُعرف باسم تحليل حركة مرور الشبكة (NTA). وكما يقترح اسمها، ستقوم منتجات NTA بتحليل محتويات ومقاييس حركة المرور بين أصول المؤسسات وحركة المرور من وإلى المصادر الخارجية. يمكن للمحلل البحث في تفاصيل الأنماط غير العادية لتحديد ما إذا كانت هناك حاجة إلى إجراءات تصحيحية. الآن، NDR يدخل في الصورة. يجمع NDR بين أفضل IDS/IPS وNTA وإمكانيات أمان الشبكة الأخرى في حل واحد لحماية الشبكة. تهدف منتجات NDR إلى تقديم نظرة شاملة للتهديدات الأمنية عبر شبكتك. باستخدام مجموعة من توقيعات الشبكة الضارة المعروفة، والتحليلات الأمنية، وتحليل السلوك، يمكن أن توفر تقارير NDR اكتشافًا سريعًا للتهديدات بكفاءة عالية. لكي نكون أكثر تحديدًا، لا تستطيع منتجات NDR تحليل محتوى حركة مرور الشبكة فحسب، بل يمكنها أيضًا تحديد النشاط الشاذ من خلال تحليل البيانات التعريفية لحركة مرور الشبكة (حجم/شكل حركة المرور). تعتبر هذه الإمكانية مفيدة عند التعامل مع حركة المرور المشفرة، حيث قد يكون من المستحيل على منتج NDR فك التشفير في الوقت الفعلي. توفر منتجات NDR النموذجية إمكانات الكشف والقدرة على الاستجابة للتهديد المحتمل.
ما هو دور NDR في الأمن السيبراني
وكما يتفق معظم المتخصصين في مجال الأمن السيبراني، فإن معظم الهجمات تمس الشبكة بطريقة أو بأخرى. تشير الدراسات الحديثة إلى أنه يمكن اكتشاف 99% من الهجمات الناجحة في حركة مرور الشبكة، ويمكن تحديد الكثير منها والتخفيف من حدتها قبل أن ينشر المهاجم حمولاته. تعمل حلول حماية الشبكات الحديثة على تسهيل الوصول إلى حماية الشبكات لأي متخصص في مجال الأمان من خلال تسهيل استخدام قدراتها. إلى جانب الزيادة في القدرات الآلية المضمنة في معظم الحلول، أصبح تحديد التهديدات عبر الشبكة الآن أكثر "عدم التدخل" من أي وقت مضى. بالنسبة لمعظم فرق الأمان، حتى أولئك الذين يفتقرون إلى الخبرة في مجال الشبكات يمكنهم القيام بذلك نشر حل NDR في حزمة الأمان الخاصة بهم والبدء في تحديد التهديدات أثناء انتقالها بين أصول الشبكة وداخل الشبكة وخارجها مع القليل من التدخل البشري. من خلال تضمين NDR في حزمة الأمان، يمكن لفرق الأمان أيضًا رؤية فوائد استراتيجية وتكتيكية هائلة تتجاوز مجرد تحديد التهديدات على الشبكة.
الدفاع في العمق
مشاركة المعلومات
بمجرد اكتشاف التهديدات، يمكن بسهولة مشاركة هذه المعلومات في منصة SIEM أو XDR لربطها بالتهديدات الأخرى، والتي قد يعتبر بعضها إشارة ضعيفة. ومع التدفق المستمر لتهديدات الشبكة التي يتم تحليلها الآن باستخدام البيانات الأخرى ذات الصلة بالأمان، ستستفيد فرق الأمان من رؤية أكثر شمولية للتهديدات عبر بيئات الشبكة بالكامل. على سبيل المثال، من الشائع أن يقوم المهاجمون بنشر هجمات متعددة المتجهات ضد أهدافهم، مثل بدء حملة بريد إلكتروني للتصيد الاحتيالي ضد العديد من الموظفين بينما يتطلعون في الوقت نفسه إلى استغلال ثغرة أمنية معروفة تم اكتشافها في مكان ما عبر الشبكة. عند التحقيق فيها بشكل منفصل، قد يتم اعتبارها ذات أولوية أقل مما كانت عليه عند اعتبارها جزءًا من هجوم مستهدف. مع وجود NDR، بالتزامن مع XDR، لم يعد يتم التحقيق في هذه الهجمات بشكل منفصل. وبدلاً من ذلك، يمكن ربطها وزيادتها بالمعلومات السياقية ذات الصلة، مما يجعل تحديد ارتباطها أسهل بكثير. هذه الخطوة الإضافية، والتي يمكن أن تحدث تلقائيًا في معظم الحالات، تعني أن محللي الأمن يصبحون أكثر إنتاجية وكفاءة دون بذل المزيد من الجهد. للحصول على معلومات إضافية حول الفوائد الإستراتيجية لـ NDR، قم بمراجعة دليل المشترين NDR.
كيف يمكن مقارنة NDR مع EDR وXDR؟
متطلبات NDR
- منتجات NDR يجب جمع معلومات حركة مرور الشبكة في الوقت الفعلي وتخزين البيانات المجمعة لجعل التحليل الآلي ممكنًا.
- منتجات NDR يجب أن يكون قادرًا على تطبيع وإثراء البيانات المجمعة بالمعلومات ذات الصلة بالسياق لتسهيل التحليل الشامل
- منتجات NDR يجب أيضًا إنشاء خط أساس لحركة مرور الشبكة المنتظمة، عادةً باستخدام خوارزميات التعلم الآلي. بمجرد إنشاء خط الأساس، يجب أن يعرض منتج NDR بسرعة الحالات التي تكون فيها حركة مرور الشبكة خارج أنماط حركة المرور النموذجية، لتنبيه محللي الأمن في الوقت الفعلي بالخلل.
- منتجات NDR يجب أن تغطي الأصول المحلية والسحابية.
- منتجات NDR يجب أن تعمل على تجميع التنبيهات ذات الصلة في مجموعات تحقيق قابلة للتنفيذ، مما يسهل على محللي الأمن 1) فهم نطاق الهجوم و2) اتخاذ إجراءات الاستجابة
- منتجات NDR يجب أن توفر وسيلة آلية لاتخاذ إجراءات الاستجابة المناسبة عندما تعتبر ضرورية بسبب طبيعة الهجوم ونطاقه
متطلبات EDR
- منتجات اي دي ار يجب أن تزود فرق الأمان بوسائل لجمع وتحليل بيانات نقطة النهاية في الوقت الفعلي. عادةً، يتم تسليم ذلك عبر وكيل نقطة نهاية قابل للنشر ويمكن توزيعه بسهولة عبر الأداة التي تختارها المؤسسة. يجب إدارة عوامل نقطة النهاية هذه مركزيًا وتحديثها بسهولة دون الحاجة إلى إعادة تشغيل الجهاز.
- منتجات اي دي ار يجب أن يكون قادرًا على تحليل التطبيقات والخدمات في الوقت الفعلي لاجتثاث الملفات والخدمات الضارة المحتملة. عند اكتشافها، من المفترض أن يكون من الممكن عزل الملفات والخدمات المشبوهة تلقائيًا.
- منتجات اي دي ار يجب أن يتضمن محرك قواعد الارتباط القابل للتخصيص حيث يمكن لفرق الأمان إما تحميل مجموعة من قواعد الارتباط المتاحة للعامة أو إنشاء قواعد خاصة بهم من البداية. ويجب أن تتضمن هذه القواعد القدرة على اكتشاف التهديد ووسيلة لاتخاذ استجابة تلقائية إذا لزم الأمر.
- منتجات اي دي ار يجب دمجها بسهولة من منظور البيانات في منتج أمني آخر، مثل منصة SIEM أو XDR، بحيث يمكن تحليل البيانات الغنية التي تم جمعها في سياق المعلومات الأخرى ذات الصلة بالأمان.
- منتجات اي دي ار يجب أن يدعم عمليات النشر على أجهزة Microsoft Windows والأنواع المختلفة من أجهزة Linux.
- إدر الحديثة يمكن أيضًا نشر المنتجات على بعض الأنظمة الأساسية المستندة إلى السحابة والتطبيقات الأخرى المقدمة عبر السحابة مثل Microsoft Office 365.
متطلبات XDR
الكشف والاستجابة الممتدة (XDR) تعد المنتجات واحدة من أحدث التقنيات في السوق، والتي نشأت نتيجة للحاجة إلى تسهيل قيام فرق الأمان البسيطة بتقديم نتائج أمنية مستمرة عبر مؤسستهم بأكملها. يجب أن تتضمن منتجات XDR الإمكانات التالية لتقديم الفوائد التي تتوقعها معظم فرق الأمان.
- منتجات XDR يجب استيعاب البيانات من أي مصدر بيانات متاح. يمكن أن تتضمن هذه البيانات 1) تنبيهات من أي عنصر تحكم أمني منشور، و2) بيانات السجل من أي خدمة تستخدمها مؤسسة، مثل السجلات التي تم إنشاؤها بواسطة نظام إدارة الهوية الخاص بالمؤسسة، و3) السجل والمعلومات المتعلقة بالنشاط من أي سحابة البيئة والتطبيق، مثل معلومات النشاط المجمعة من حل Cloud Access Security Broker (CASB).
- منتجات XDR ينبغي بشكل مثالي تطبيع جميع البيانات المجمعة لتمكين التحليل الشامل على نطاق واسع.
- منتجات XDR يجب استخدام التعلم الآلي والذكاء الاصطناعي (AI) لربط بيانات التنبيه والأنشطة التي تبدو متباينة وغير ذات صلة بحوادث/حالات أمنية يمكن التحقيق فيها بسهولة.
- منتجات XDR يجب أن تضع تلقائيًا جميع البيانات التي تم جمعها في سياق المعلومات المهمة، مما يسهل على محللي الأمن إكمال التحقيقات بسرعة.
- منتجات XDR ينبغي توجيه جهود المحللين الأمنيين من خلال إعطاء الأولوية للحوادث الأمنية المشتبه فيها حسب تأثيرها المحتمل على المنظمة.
- منتجات XDR يجب أن توفر قدرة استجابة آلية يمكن البدء بها دون تدخل بشري بناءً على خطورة/تأثير التهديد المحتمل.
باختصار، يعد كل من منتجي NDR وEDR في نهاية المطاف مدخلات في منصة XDR التي تمكن محللي الأمن من استكمال تحقيقات الأمن السيبراني بشكل أسرع وأكثر فعالية من أي وقت مضى.
حالات استخدام NDR الشائعة
الحركة الجانبية
ومن خلال التنقل عبر الشبكة، يمكنهم أيضًا تحديد التطبيق أو الخدمة الضعيفة التي تمكنهم من فتح "باب خلفي" لاحقًا لإعادة الدخول إلى البيئة حسب الرغبة. علاوة على ذلك، للحفاظ على الثبات في البيئة، سيحاول العديد من المهاجمين تصعيد امتيازات حساب المستخدم المخترق إلى حقوق المسؤول، ومنحهم تفويضًا مطلقًا فيما يتعلق بإجراء تغييرات على البيئة، وربما إيقاف تشغيل بعض ميزات الأمان، وحذف السجلات التي يمكن أن يترك فتات الخبز لفرق الأمن لاستخدامها لاستكمال تحقيقاتها. باستخدام NDR الذي يراقب نشاط الشبكة في الوقت الفعلي، يمكن لفرق الأمان التعرف بسرعة على النشاط المشبوه بين أصول الشبكة وأنماط حركة المرور غير الطبيعية من شبكتهم إلى العالم الخارجي. وتربط منتجات NDR هذا النشاط غير الطبيعي بإجراءات المستخدم، والتي يمكن أن تسلط الضوء على الوقت الذي يتحرك فيه المهاجم بحرية عبر أصول الشبكة الخاصة به.