NDR مقابل EDR: الاختلافات الرئيسية
يُعدّ الكشف عن الشبكات والاستجابة لها (NDR) جزءًا لا يتجزأ من مجموعة أدوات الأمن السيبراني، إذ يوفر رؤيةً متعمقةً للأنشطة الداخلية للشبكة، ويكشف عن محتويات الحزم المتدفقة بين الأجهزة. أما الكشف عن نقاط النهاية والاستجابة لها (EDR)، فيركز كليًا على كشف العمليات الفردية التي تحدث داخل كل جهاز من أجهزة نقاط النهاية في المؤسسة.
على الرغم من اعتمادهما على آليات متشابهة لتحليل التهديدات وتحديد الملفات الشخصية، إلا أن استخداماتهما وتطبيقاتهما تختلف اختلافًا كبيرًا. ستتناول هذه المقالة الاختلافات، وتتناول كيفية استخدامهما معًا في كثير من الأحيان.
حلول Gartner® Magic Quadrant™ NDR
اكتشف لماذا نحن البائع الوحيد الموجود في ربع Challenger...
تجربة الأمن المدعوم بالذكاء الاصطناعي في العمل!
اكتشف الذكاء الاصطناعي المتطور من Stellar Cyber للكشف الفوري عن التهديدات...
ما هو NDR؟
NDR أداةٌ تُراقب التفاعلات بين الأجهزة على الشبكة الداخلية للمؤسسة. تنشر أجهزة استشعار عبر شبكات المؤسسة، وتراقب الأجهزة المتفاعلة معها، وتُحلل البيانات التي تُرسلها إلى الأجهزة الأخرى والخوادم الخارجية على حدٍ سواء.
قد يبدو هذا مشابهًا لجدار الحماية: فبينما يُحلل جدار الحماية حركة المرور الداخلة إلى الشبكة أو الخارجة منها - والتي تُسمى حركة المرور من الشمال إلى الجنوب - فإنه لا يُوفر أي رؤية لحركة المرور بين الأجهزة الداخلية. أما تقارير عدم الإفصاح (NDRs) فتتيح مراقبة حركة المرور الداخلية للشبكة، أو حركة المرور من الشرق إلى الغرب: فهي تُوفر رؤيةً أعمق للشبكة، دون الحاجة إلى إعدادات مُعقدة.
تتكون البيانات الخام التي تم جمعها بواسطة أنظمة NDR من الآتي:
- حزم الشبكة الخام: يتم التقاطها مباشرةً من حركة مرور الشبكة عبر منافذ SPAN أو نقاط الوصول (TAPs) أو أجهزة استشعار مخصصة. توفر هذه الحزم رؤية كاملة للمعاملات، بما في ذلك عناوين البروتوكول والبيانات الوصفية المتعلقة بالحمولة.
- سجلات التدفق: تنسيقات البيانات الوصفية مثل NetFlow أو IPFIX التي تلخص أنماط الاتصال، بما في ذلك عناوين IP المصدر والوجهة، وأرقام المنافذ، والبروتوكولات، وعدد البايتات.
- بيانات تعريف حركة المرور: يتم الحصول على ذلك من خلال تحليل الحزم، وهو يتضمن مدة الجلسة، وتكرار الاتصال، وأنماط سلوك الأجهزة، والبيانات من بروتوكولات طبقة التطبيق.
تُدخل جميع هذه البيانات بعد ذلك إلى محرك التحليل الخاص بأداة NDR، وتُعالَج للكشف عن أي دلائل على حركة مرور ضارة. ولتعظيم فرص الكشف الناجح عن التهديدات، تستخدم NDR استراتيجيتين للتحليل:
تحليل الشبكة القائم على التوقيع
بما أن كل نقطة بيانات شبكة تُجمع في رسم بياني زمني، يُمكن ربط أنشطة الأجهزة الفردية بالتهديدات المعروفة. يُدمج الكشف القائم على التوقيع سلوكيات الهجوم المحددة على مستوى الشبكة في مؤشرات الاختراق (IoCs)، والتي تُخزّن في قاعدة بيانات NDR.
يشير التوقيع إلى أي سمة قابلة للتحديد مرتبطة بهجوم إلكتروني معروف - قد يكون هذا مقتطفًا من شيفرة برمجية من نوع معين من البرامج الضارة أو سطر موضوع واضح من رسالة بريد إلكتروني للتصيد الاحتيالي. تفحص أدوات الكشف القائمة على التوقيع نشاط الشبكة بحثًا عن هذه الأنماط المعروفة، وتُصدر تنبيهات عند العثور على تطابقات.
مراقبة مؤشرات الاختراق (IOCs) عملية تفاعلية بطبيعتها. عند اكتشاف مؤشر اختراق، يُشير ذلك عادةً إلى حدوث اختراق بالفعل. ومع ذلك، إذا كان النشاط الخبيث لا يزال مستمرًا، فإن الكشف المبكر عن مؤشر الاختراق يُمكن أن يلعب دورًا حاسمًا في إيقاف الهجوم، مما يسمح باحتواء أسرع وتقليل الأضرار المحتملة للمؤسسة.
تحليل الشبكة السلوكية
إلى جانب الكشف القائم على التوقيع، تُقدّم مُعظم تقارير عدم الإخطار (NDRs) تحليلًا سلوكيًا. يستوعب هذا التحليل جميع نقاط البيانات، ولكن بدلًا من مُقارنتها بشكل ثابت بقاعدة بيانات خارجية للمخاطر، يستخدمها لبناء خط أساس سلوكي.
يمثل هذا الخط الأساسي النشاط الطبيعي: فهو يُرتب الأجهزة والمستخدمين وفقًا لتردد اتصالاتهم، وحجم بياناتهم، واستخدامهم للبروتوكول. بمجرد تحديد أنماط السلوك المتوقعة، تستطيع حلول NDR تحديد الانحرافات التي قد تُشير إلى تهديد محتمل بفعالية. قد تكون هناك اختلافات بين سلوك البروتوكول المتوقع والفعلي، ونشاط غير اعتيادي للتطبيقات خارج أوقات العمل. كما يمكن لـ NDR التكامل مع أدوات أمنية أخرى، للحصول على صورة أشمل لنشاط الشبكة الطبيعي للمؤسسة.
بشكل جماعي، يسمح الكشف عن التهديدات السلوكية والمبنية على التوقيع لـ NDR بتوفير ليس فقط رؤية كاملة من الشرق إلى الغرب - ولكن الكشف الكامل عن التهديدات على مستوى الشبكة.
ما هو إي دي آر؟
- بيانات تنفيذ العملية: تفاصيل جميع العمليات الجارية، بما في ذلك علاقات الوالد والطفل، وحجج سطر الأوامر، وطوابع زمنية للتنفيذ.
- تغيير نظام الملفات : إنشاء الملفات وتعديلها وحذفها والتحقق من سلامتها (بما في ذلك تجزئات الملفات ومصادر التنزيل).
- تعديلات التسجيل : تغييرات على مفاتيح تسجيل Windows وإعدادات التكوين المهمة لسلوك النظام.
- حسابات المستخدم : جميع حسابات المستخدمين التي سجلت الدخول، سواء بشكل مباشر أو عن بعد
- تكوينات النظام : التطبيقات المثبتة وحالات الخدمة وبيانات الامتثال لسياسة الأمان.
مثل أجهزة استشعار NDR، تعمل وكلاء EDR على بث البيانات الخام بشكل مستمر إلى منصة مركزية، حيث تقوم نماذج التعلم الآلي بتحليلها بحثًا عن أي شذوذ مثل سلاسل العمليات غير المصرح بها، أو اتصالات الشبكة المشبوهة، أو تغييرات السجل المرتبطة بتقنيات الهجوم المعروفة.
EDR مقابل NDR: حالات استخدام مختلفة
إنترنت الأشياء الأمن
غالبًا ما تعتمد أجهزة استشعار NDR على منافذ SPAN، حيث تعمل هذه المنافذ بإنشاء نسخ من كل حزمة تمر عبر شبكتها. ثم تُرسَل هذه النسخ إلى أدوات مراقبة NDR. هذه العملية المتمثلة في نسخ معلومات الحزمة، بدلاً من توجيه جميع الحزم الأصلية إلى محرك التحليل، تمنع أي تداخل مع الشبكة المضيفة.
إلى جانب حماية الشبكات الحساسة، يسمح هذا الإعداد بتتبع أنشطة شبكة أجهزة إنترنت الأشياء (IoT) وتأمينها. غالبًا ما تكون أجهزة إنترنت الأشياء خفيفة الوزن وكثيفة للغاية بحيث لا يمكن تثبيت برامج تشغيل عليها، مما يجعلها الآن تهديدًا أمنيًا معروفًا. جعلت كلمات المرور الضعيفة، والإعدادات الافتراضية غير الملائمة، والنقص الحاد في خيارات إدارة الأجهزة من الصعب للغاية الحفاظ على أمان أجهزة إنترنت الأشياء - ولكن لأن أدوات NDR تلتقط جميع اتصالات الشبكة، يمكن مراقبة سلوك إنترنت الأشياء المتغير. علاوة على ذلك، نظرًا لإمكانية ربط حركة المرور المشبوهة بين أجهزة إنترنت الأشياء وشبكتها الأوسع بالتهديدات المعروفة، فإن متوسط وقت الاستجابة يتسارع بشكل كبير.
حماية الموظفين عن بعد
يوفر نظام EDR مراقبة مستمرة، وكشفًا للتهديدات، واستجابة آلية مباشرة عند نقطة النهاية. ويكتسب هذا أهمية خاصة نظرًا لأنه لا يمكن دائمًا حصر نقاط النهاية البعيدة في شبكات وأجهزة طرفية محددة. وبدون هذه الحماية، يُعرّض الموظفون الهجينون أنفسهم لخطر أن يصبحوا ناقلين للعدوى عند إعادة توصيل أجهزتهم البعيدة بشبكات المؤسسة.
علاوةً على ذلك، عند اكتشاف حدث أمني على جهاز بعيد، يُمكن لـ EDR بدء تشغيل دليل الاستجابة وفقًا للعوامل المحيطة به. على سبيل المثال، إذا تم العثور على مجموعة من مؤشرات الاختراق التي تُشير إلى وجود برنامج فدية، يُمكن لـ EDR عزل الأجهزة المتأثرة قبل انتشاره.
كشف الحركة الجانبية
NDR مقابل EDR: الاختلافات في لمحة
|
الميزة / القدرة |
NDR |
EDR |
| منطقة التركيز |
مراقبة حركة الشبكة والاتصالات. |
يقوم بمراقبة أجهزة نقاط النهاية الفردية (على سبيل المثال، أجهزة الكمبيوتر المحمولة، والخوادم). |
| مصادر البيانات | حزم الشبكة، وسجلات التدفق (NetFlow/IPFIX)، والبيانات الوصفية. | سجلات النظام، نشاط الملف، سلوك العملية، تغييرات التسجيل. |
| نطاق الرؤية | رؤية واسعة النطاق على مستوى الشبكة. | رؤية عميقة على مستوى الجهاز. |
| طرق الكشف عن التهديدات | اكتشاف الشذوذ، والتحليلات السلوكية، وتفتيش حركة المرور المشفرة. | تحليل الملفات، ومراقبة السلوك، والكشف المبني على التوقيع. |
| استخدم حالات | الحركة الجانبية، وحركة القيادة والتحكم، واستخراج البيانات. | عدوى البرامج الضارة والتهديدات الداخلية ومحاولات الاستغلال. |
| قدرات الاستجابة | التنبيهات والتكاملات مع SIEM/SOAR؛ معالجة مباشرة محدودة. | احتواء التهديدات تلقائيًا (على سبيل المثال، قتل العملية، وعزل الجهاز). |
| سيناريو النشر | شبكات المؤسسات مع العديد من الأجهزة المتصلة. | القوى العاملة عن بعد، وبيئات BYOD، ونقاط النهاية عالية المخاطر. |
| متطلبات النشر | عادةً ما تكون بدون وكيل؛ وتستخدم أجهزة استشعار الشبكة مثل الصنابير ومنافذ SPAN. | يتطلب تثبيت الوكلاء على كل جهاز نقطة نهاية يتم مراقبته. |
دمج EDR مع NDR عبر Stellar Cyber
نظرًا لكفاءة عمل الأداتين، غالبًا ما يتم استخدامهما معًا. وهذا يزيد من أهمية قدرات تكامل كل أداة، إذ يمكن للمعلومات المكتسبة من كل منهما تسريع متوسط زمن الإصلاح بشكل كبير. تُجسّد Stellar Cyber هذه القدرة المشتركة من خلال ساعات العملXDR المنتج - من خلال التكامل مع أي EDR، فإنه يجري فحصًا عميقًا للحزم (DPI) إلى جانب حماية البرامج الضارة من أجل الكشف عن البرامج الضارة والوقاية منها دائمًا وفي يوم الصفر.
ساعات العملXDR يربط نظام Stellar التنبيهات على مستوى الشبكة بتلك الصادرة عن مجموعة أدوات الأمان الخاصة بالمؤسسة، مما يُسهّل الوصول إلى الحوادث. وبدلاً من إثقال كاهل المحللين بتنبيهات لا حصر لها، يقوم Stellar بفرزها وتصفيتها بشكل استباقي لتحديد متطلبات العمل الفوري. اكتشف كيف يعمل Open.XDR يمكن أن يمنح فريق الأمن الخاص بك قدرات استجابة استباقية مع عرض توضيحي اليوم.
