الميزات الرئيسية التي يجب مراعاتها عند اختيار حل NDR
غارتنر XDR دليل السوق
XDR هي تقنية متطورة يمكنها توفير قدرات موحدة للوقاية من التهديدات واكتشافها والاستجابة لها...
تجربة الأمن المدعوم بالذكاء الاصطناعي في العمل!
اكتشف الذكاء الاصطناعي المتطور من Stellar Cyber للكشف الفوري عن التهديدات...
لماذا تحتاج إلى حل NDR؟
لطالما مثّل أمن الشبكات أحد أصعب التحديات التي يصعب السيطرة عليها. حتى تصميمات الشبكات المعقدة نسبيًا كان من السهل تأمينها باستخدام جدار حماية بسيط، لولا اللامركزية التي تتسم بها العديد من الخدمات اليوم. ومع وجود هذا العدد الكبير من الأجهزة خارج نطاق الحماية التقليدية، فإن احتمالية وجود ثغرات أمنية أعلى من أي وقت مضى. وليست الخدمات وحدها هي التي تُعزل عن دفاعاتك الخاصة: فالموظفون يعتمدون بشكل متزايد على الشبكات اللاسلكية الأكثر عرضة للتنصت والوصول غير المصرح به. ونظرًا لطبيعة الاتصالات اللاسلكية المتأصلة، فإن تأمين هذه الشبكات يتطلب يقظة دائمة وبروتوكولات أمان متطورة.
إلى جانب مشهد الشبكات المتغير، يواجه العالم اليوم تهديدًا متناميًا من مجرمي الإنترنت المتربحين. تتزايد التقنيات المتطورة في كل مكان، بينما تزدهر الهجمات التي ترعاها الدول في ظل التوترات الجيوسياسية الراهنة. غالبًا ما تستغل هذه التهديدات أدوات وتكوينات الشبكة الشرعية التي تُبقي الموظفين على اتصال، مما يزيد من صعوبة اكتشافها والدفاع عنها.
لذلك، تحتاج المؤسسات إلى مراقبة حركة البيانات عبر حزمها التقنية. استخدم حل NDR: هذه الأدوات تتابع باستمرار نشاط الشبكة الجاري باستخدام الذكاء الاصطناعي، مما يتيح لك اكتشاف التطورات المثيرة للقلق والاستجابة لها بشكل أسرع بكثير. تعرّف على المزيد ما هو NDR.
ما هي السمات الرئيسية لNDR؟
فحص دقيق للعينات
يتخذ نشاط الشبكة أشكالًا عديدة، ولكن على مستوى التطبيق، تكون الحزم هي الملك. عندما يتم إرسال البيانات عبر الشبكة، يتم تقسيمها إلى أجزاء أكثر قابلية للإدارة، تسمى الحزم. مثل الرسالة، تحتوي كل حزمة على العنوان الذي يتم إرسالها إليه، بالإضافة إلى الرسالة الفعلية - أو البيانات - التي يتم إرسالها. قام فحص الحزم التقليدي بفحص الجزء الرأسي فقط من هذه البيانات، والذي يحتوي فقط على معلومات حول الوجهة والمرسل. لسوء الحظ، حتى انتحال الشهادة البسيط يسمح للمهاجمين بالتغلب على هذا الدفاع - مما يعني أنه في العصر الحديث، يعد الفحص العميق للحزم هو الحد الأدنى من ميزات NDR الآمنة.
يعتمد الفحص العميق للحزم على نقطة اتصال مركزية ونقرة على الشبكة: وهذا يمنح الوصول الكامل إلى معلومات الحزمة. إن القدرة على رؤية ليس فقط رأس الحزمة، ولكن أيضًا المحتوى والبروتوكول الذي تأتي معه، تمنح درجة أعمق بكثير من الرؤية لما يتم إرساله عبر شبكتك. إن معرفة التطبيق والمستخدم والجهاز الذي ينقل حزم البيانات يوفر طريقة لتسريع فهم الشبكة وتحسينها.
ومع ذلك، DPI يأتي مع بعض العيوب الرئيسية. المهاجمون يدركون ذلك بالفعل. على سبيل المثال، تتطلب تقنية DPI قدرًا كبيرًا من قوة المعالجة، حيث إنها تقوم بفحص دقيق لكل مقطع بيانات في كل حزمة. ومن المفارقات أن تقنية DPI أقل فائدة في الواقع عبر شبكات النطاق الترددي العالي، لأنها لا تستطيع فحص جميع حزم الشبكة.
تتجه المؤسسات بشكل متكرر إلى التشفير كوسيلة لتأمين اتصالات الشبكة والتفاعلات الرقمية. ولسوء الحظ، فإن المهاجمين كذلك. تكافح إدارة شؤون الإعلام (DPI) لجمع الكثير من المعلومات من بيانات الشبكة المشفرة، مما يعني أنها لن تكون قادرة على التقاط الاتصالات المشفرة بين حصان طروادة لبرنامج الفدية وخادم C2 الخاص به.
لمكافحة ذلك، تحتاج أداة NDR الخاصة بك إلى أكثر بكثير من DPI في مجموعة أدواتها.
تحليل البيانات الوصفية
يأخذ تحليل البيانات الوصفية (MA) خطوة إلى الوراء من نهج DPI شديد التحديد لكل حزمة على حدة، بدلاً من التقاط مجموعة كاملة من السمات حول اتصالات الشبكة والتطبيقات والجهات الفاعلة - دون التعمق في الحمولة النافعة الكاملة لكل حزمة. هذه هي الطريقة التي يمكن بها لـ NDR تحقيق غالبية أفضل ما لديها حالات استخدام NDR
لكل جلسة تعبر الشبكة، يتم تسجيل بيانات وصفية شاملة؛ تمتد هذه البيانات الوصفية لتشمل مجموعة متنوعة من السمات المهمة التي يمكنها تحديد الهجوم الإلكتروني في الوقت المناسب. في أبسط مستوياته، يتضمن ذلك عناوين IP للمضيف والخادم وأرقام المنافذ وتفاصيل الموقع الجغرافي لكل اتصال. لكن البيانات الوصفية توفر ثروة أكبر من المعلومات أكثر من ذلك: تساعد سجلات DNS وDHCP على تعيين الأجهزة إلى عناوين IP، بينما يمكن لمزيد من التفاصيل حول الوصول إلى صفحة الويب أن تنشئ صورة أوضح عن الاتصالات التي تتم. تساعد سجلات وحدة تحكم المجال في ربط المستخدم بالأنظمة التي قد يكون لديه حق الوصول إليها. يتم إحباط مشكلة التشفير DPI بفضل وجود البيانات الوصفية حتى على صفحات الويب المشفرة: من نوع التشفير، والتشفير، والتجزئة؛ إلى أسماء النطاقات المؤهلة بالكامل للعميل والخادم؛ وتجزئة الكائنات المختلفة مثل JavaScript والصور، يمكن تحويل كل بيانات الشبكة هذه إلى تقارير عدم التسليم (NDRs) الحديثة.
يمنح تحليل البيانات التعريفية إمكانية الرؤية في الشبكة بأكملها، مما يجعل MA مثاليًا للشبكات غير المؤمنة بواسطة DPI. وهي شبكات النطاق الترددي العالي الأكثر توزيعًا. وفي الوقت نفسه، لاحظ أن MA لا يتأثر بالتشفير: وهذا يسمح له باكتشاف ومنع الهجمات الإلكترونية المتقدمة التي تختبئ خلف عمليات تشفير حركة المرور. يعد التركيز على معلومات الشبكة متعددة المصادر أكثر ملاءمة لمجموعات الأمان الحالية متعددة الوظائف والمتكاملة بإحكام.
التحليل السلوكي
لقد تناولنا ما هي البيانات التي ينبغي جمعها ولماذا - ولكن ليس كيفية استخدامها لتأمين شبكاتك بشكل أفضل. في الماضي، ركزت محاولات حماية الشبكة على مواءمة معلومات الحزمة مع التوقيعات الموجودة في هجمات البرامج الضارة المعروفة. ورغم أن هذا النهج أفضل من لا شيء، إلا أنه يترك شبكاتك مفتوحة على مصراعيها أمام الهجمات الجديدة. إن هجمات اليوم لا تترك مجالاً للخطأ – كما أثبت ذلك هجوم برنامج الفدية الأخير الذي بلغت قيمته 22 مليون دولار على شركة Change Healthcare، وما زال هناك المزيد في المستقبل.
التحليل السلوكي هو رد الصناعة على الهجمات الجديدة والموزعة بشكل متزايد اليوم. تسمح خوارزميات التعلم الآلي بتجميع كل هذه البيانات التعريفية ومعلومات الحزمة في أنماط سلوكية أوسع. ويتم تحقيق ذلك بطريقتين مختلفتين: تقنيات التعلم الخاضعة للإشراف وغير الخاضعة للإشراف. يحدد التعلم الآلي الخاضع للإشراف السلوكيات الأساسية الشائعة لمختلف أنواع التهديدات (مثل حقيقة أن البرامج الضارة المنشورة حديثًا ستصل عادةً إلى خادم C2)، مما يسمح باكتشاف متسق عبر سيناريوهات مختلفة. ومن ناحية أخرى، تقوم خوارزميات التعلم الآلي غير الخاضعة للرقابة بغربلة بيانات المؤسسة على نطاق أوسع بكثير، وإجراء مليارات الحسابات القائمة على الاحتمالات من البيانات المرصودة. لا تعتمد هذه الخوارزميات على المعرفة السابقة بالتهديدات ولكنها تصنف البيانات بشكل مستقل وتحدد الأنماط المهمة.
بشكل أساسي، تسمح الخوارزميات غير الخاضعة للإشراف لأدوات NDR بوضع خط أساس لما هو طبيعي لشبكتك. ثم تسمح لك SOC يجب على الفريق رصد أي اتصالات غير معتادة تظهر فجأة: فقد تشير هذه الاتصالات إلى هجوم على سلسلة التوريد إذا ما انطلقت فجأة من مصدر واحد؛ أو إذا تم إرسال بيانات أكثر من المتوسط إلى جهاز خارجي، فقد يكون ذلك دليلاً على وجود مستخدم خبيث أو مخترق. تُعدّ نماذج التعلّم الخاضع للإشراف وغير الخاضع للإشراف مهمة، إذ تُغطي مجتمعةً كامل نطاق تحليل السلوك الذي تحتاجه شبكاتك.
الاستخبارات التهديد
يتيح التكامل مع موجز معلومات التهديدات لنظام NDR إمكانية إسناد نشاط الشبكة ضد التهديدات المعروفة وعناوين IP الضارة ومؤشرات التسوية (IoCs). وهذا يساعد حل NDR على تحديد واكتشاف التهديدات التي تمت ملاحظتها وتوثيقها من قبل مجتمع الأمان الأوسع. عند اقترانها بحلول NDR، تعمل خلاصات معلومات التهديدات كموفري سياق سريع ودقيق. ويتجاوز هذا بكثير التوقيعات الأساسية للبرامج الضارة القديمة، مع خلاصات المعلومات المتعلقة بالتهديدات الرائدة في السوق، بما في ذلك التكتيكات والتقنيات والإجراءات الخاصة بأحدث الهجمات، فضلاً عن تأثيرها.
تساعد هذه المعلومات السياقية حل NDR على فهم طبيعة كل حالة شاذة تم اكتشافها بشكل أفضل واتخاذ قرارات أكثر استنارة بشأن الاستجابة المناسبة. يمكن تعميق هذا الدعم للمحللين من خلال المزيد من التكامل مع إطار عمل MITRE ATT&CK، بالإضافة إلى بعض الدعم الإضافي من الأدوات التي تحافظ بالفعل على أمان بقية مؤسستك.
تكامل مكدس تكنولوجيا الأمان
لن تحصر محلل الأمن في منصة واحدة فقط - فكما توفر مصادر المعلومات الاستخباراتية الخارجية سياقًا حول التهديدات الموجودة، يمكن لمجموعة التقنيات الأوسع لديك أن تقدم رؤية مخصصة لبيئتك الخاصة. عندما يتكامل نظام الكشف والاستجابة للشبكة (NDR) مع نظام الكشف والاستجابة لنقاط النهاية (EDR) ونظام إدارة معلومات وأحداث الأمان (SIEM) الأدوات التي لديك بالفعل، فرقك قادرة على الأداء على نفس المستوى متعدد الأوجه مثل المهاجمين.
لنأخذ إطار عمل MITRE ATT&CK: على الرغم من أنه تم تطويره بشكل صريح لتحديد التكتيكات والتقنيات والإجراءات (TTPs)، إلا أن MITRE ATT&CK يحمل تحيزًا كبيرًا تجاه تكتيكات نقطة النهاية. وبفضل هذا، شهدت EDR مرحلة من الاستثمار الكبير في مختلف الصناعات. وهذا أمر مفهوم تمامًا: تعد مطابقة أدواتك مع الأطر الرائدة في الصناعة خطوة في الاتجاه الصحيح. وعلى الرغم من ذلك، فمن الضروري مراقبة حقيقة استغلال الثغرات الأمنية. عندما تكون حملة الهجوم على وشك الانتهاء، يكون من الأسهل في الواقع اكتشاف العديد من التقنيات المهمة من منظور الشبكة. في هذا الإطار الزمني نفسه للهجوم في مرحلة متأخرة، تمر الدقائق بسرعة مذهلة - من خلال تقليل أهمية أنشطة الشبكة، تعمل بعض المؤسسات في الواقع على إضعاف إمكانات الاستجابة الأمنية الخاصة بها في الوقت الأكثر أهمية. يتيح تحليل البيانات وربطها من نقاط النهاية ومصادر الشبكة للمحللين نطاقًا كاملاً من الرؤية.
أتمتة اكتشاف الشبكة والاستجابة لها باستخدام Stellar Cyber
عندما يكتشف NDR نشاطًا مشبوهًا أو ضارًا داخل الشبكة، يجب نقل هذه البيانات إلى فريق الأمان الخاص بك بأقصى قدر من الوضوح والكفاءة. في الأحداث الأمنية الحرجة، كل ثانية مهمة. تقليديًا، يتم إرسال التنبيهات المستندة إلى الشبكة إلى قوائم التنبيه نفسها مثل أي شيء آخر، مما يؤدي إلى تراكم أميال طويلة مما يؤدي إلى استهلاك المزيد والمزيد من الوقت الثمين من الساعات المحدودة لمحللي الأمن لديك. تدرك تقارير عدم التسليم الحديثة أن تدفقات التنبيهات التي لا نهاية لها تلحق الضرر بالأمن التنظيمي بطريقتها الخاصة: وبدلاً من ذلك، تهدف إلى جمع المشكلات الفردية في تنبيهات سياقية أوسع.
من خلال الاتصال بمجموعة أدوات الدفاع الأوسع لديك، يمكن أن يتولى حل NDR الآلي بعض الأعمال المزدحمة التي تؤدي إلى إبطاء فرق الأمان لديك اليوم. لا يزال الفرز اليدوي الآلي خطيًا وبطيئًا بشكل مثير للصدمة. لذا، في حين أن الاستجابة متعددة الأوجه قادرة على دفع اكتشاف التهديدات إلى آفاق جديدة، فإن الحلقة الضعيفة لا تزال تتمثل في حقيقة أن المحللين لا يمكنهم معالجة سوى قدر كبير من المعلومات في وقت واحد. أدخل، الخوارزميات.
يعد هذا النهج الشامل بشكل متزايد للأمن أساس الكشف والاستجابة الموسعة. بدلاً من تزويد المحللين بالمزيد والمزيد من الأدوات ولوحات المعلومات والتنبيهات، تهدف المرحلة الجديدة من الأمن السيبراني إلى الاستفادة من مساحات واسعة من المعلومات الموجودة بالفعل في متناول يدك عبر الأتمتة.
ممتاز سايبر Open XDR تجمع هذه المنصة بين إمكانيات أنظمة الكشف والاستجابة للشبكات المعزولة (NDR) وأنظمة الكشف والاستجابة لنقاط النهاية (EDR) وخوارزميات التشغيل الآلي. وبهذه الطريقة، يصبح أمنك أكثر من مجرد تحليل سطحي لكل جزء معزول من بنيتك التقنية؛ إذ يُمكن مقارنة أي تنبيه من جهاز ما بنشاط الشبكة المرتبط به وتحليله. ولا تقتصر فائدة هذه المعلومات الإضافية على مساعدة محلل الأمن في فهم طبيعة التهديد المكتشف وتأثيره المحتمل فهمًا شاملًا، بل إن الاعتماد على التحليلات المتقدمة يسمح لكل جانب بالتأثير على مستوى خطورة التنبيه.
من خلال إعداد تنبيه مسبقًا مع تحديد مدى خطورته، فإن شركة ستيلر سايبر XDR تتيح الأدوات رؤية التأثير المحتمل واحتمالية الاستغلال بسرعة وسهولة. هذه الأتمتة أساسية ليس فقط للتعامل مع كميات هائلة من بيانات الشبكة، بل لتحديد الحالات الشاذة والمخاوف التي تتطلب معالجة حقيقية. أعد تقييم علاقة مؤسستك بتنبيهات الشبكة اليوم. تعرف على كيفية قيام Stellar بتوجيه فرق الأمان إلى أوقات حل أسرع من أي وقت مضى.
