Belangrijkste kenmerken waarmee u rekening moet houden bij het kiezen van een NDR-oplossing
Gartner XDR Marktgids
XDR Het is een zich ontwikkelende technologie die geïntegreerde mogelijkheden biedt voor het voorkomen, detecteren en bestrijden van bedreigingen...
Ervaar AI-aangedreven beveiliging in actie!
Ontdek de geavanceerde AI van Stellar Cyber voor directe detectie van bedreigingen...
Waarom heeft u een NDR-oplossing nodig?
Netwerkbeveiliging is al jarenlang een van de moeilijkste uitdagingen om te beheersen. Zelfs relatief complexe netwerkconfiguraties zouden eenvoudig te beveiligen zijn met een eenvoudige firewall, ware het niet dat veel diensten tegenwoordig gedecentraliseerd zijn. Met zoveel apparaten buiten de traditionele perimeter is de kans op kwetsbaarheden groter dan ooit tevoren. En het zijn niet alleen diensten die buiten uw eigen verdediging vallen: medewerkers zijn voortdurend afhankelijk van draadloze netwerken die gevoeliger zijn voor afluisteren en ongeautoriseerde toegang. De inherente aard van draadloze communicatie betekent dat de beveiliging van deze netwerken constante waakzaamheid en geavanceerde beveiligingsprotocollen vereist.
Naast een veranderend netwerklandschap is er ook de steeds veranderende dreiging van winstgevende cybercriminelen waarmee we rekening moeten houden. Geavanceerde technieken worden steeds vaker in het wild aangetroffen, terwijl door staten gesponsorde aanvallen floreren onder de huidige geopolitieke spanningen. Deze bedreigingen maken vaak misbruik van de legitieme netwerktools en -configuraties die daadwerkelijke medewerkers met elkaar verbinden, waardoor ze moeilijker te detecteren en te bestrijden zijn.
Organisaties moeten daarom de verkeersstroom door hun technologiestacks in de gaten houden. Maak kennis met de NDR-oplossing: deze tools houden continu de netwerkactiviteit onder de motorkap bij met AI, waardoor u zorgwekkende ontwikkelingen veel sneller kunt detecteren en erop kunt reageren. Lees meer wat NDR is.
Wat zijn de belangrijkste kenmerken van NDR?
Deep Packet Inspection
Netwerkactiviteit neemt vele vormen aan, maar op applicatieniveau zijn pakketten koning. Wanneer gegevens via een netwerk worden verzonden, worden deze opgesplitst in beter beheersbare delen, pakketten genoemd. Net als een brief bevat elk pakket het adres waarnaar het wordt verzonden, evenals het daadwerkelijke bericht (of de gegevens) die worden verzonden. Traditionele pakketinspectie onderzocht alleen het headergedeelte van deze gegevens, dat alleen informatie over de bestemming en de afzender bevatte. Helaas kunnen aanvallers zelfs met eenvoudige spoofing van certificaten deze verdediging omzeilen – wat betekent dat tegenwoordig diepe pakketinspectie een minimumstandaard is voor veilige NDR-functies.
Diepe pakketinspectie is afhankelijk van een centraal verbindingspunt en een netwerktap: dit geeft volledige toegang tot pakketinformatie. Doordat u niet alleen de pakketheader kunt zien, maar ook de inhoud en het protocol dat daarbij hoort, krijgt u een veel diepere mate van inzicht in wat er via uw netwerk wordt verzonden. Weten welke applicatie, gebruiker en apparaat welke datapakketten overdraagt, biedt een manier om het netwerkbegrip en de optimalisatie te versnellen.
DPI heeft echter een aantal belangrijke nadelen. Aanvallers zijn zich hiervan al bewust. DPI vereist bijvoorbeeld veel verwerkingskracht, omdat het het datasegment van elk pakket grondig inspecteert. Ironisch genoeg is DPI daarom eigenlijk minder nuttig op netwerken met hoge bandbreedte, omdat het gewoon niet alle netwerkpakketten kan inspecteren.
Organisaties maken steeds vaker gebruik van encryptie als middel om hun netwerkcommunicatie en digitale interacties te beveiligen. Helaas zijn aanvallers dat ook. DPI heeft moeite om veel informatie uit gecodeerde netwerkgegevens te halen, wat betekent dat ze niet in staat zouden zijn om gecodeerde communicatie tussen een ransomware-trojan en zijn C2-server te onderscheppen.
Om dit tegen te gaan, moet uw NDR-tool veel meer dan DPI in de toolkit hebben.
Metadata-analyse
Metadata-analyse (MA) doet een stapje terug ten opzichte van de hyperspecifieke pakket-voor-pakket-aanpak van DPI, maar legt in plaats daarvan het volledige scala aan kenmerken vast van netwerkcommunicatie, applicaties en actoren – zonder in te zoomen op de volledige payload van elk pakket. Dit is hoe NDR het grootste deel van zijn beste kan bereiken NDR-gebruiksscenario's.
Voor elke sessie die het netwerk doorkruist, worden uitgebreide metadata vastgelegd; deze metadata strekt zich uit tot het vastleggen van een verscheidenheid aan kritische kenmerken die een cyberaanval just-in-time kunnen identificeren. Op het meest basale niveau omvat dit de host- en server-IP-adressen, poortnummers en geolocatiegegevens van elke verbinding. Maar metadata bieden een grotere schat aan informatie dan alleen dat: DNS- en DHCP-logboeken helpen apparaten aan IP-adressen toe te wijzen, terwijl verdere details over de toegang tot webpagina's een duidelijker beeld kunnen geven van de verbindingen die zich ontwikkelen. Domeincontrollerlogboeken helpen de gebruiker te koppelen aan de systemen waartoe hij mogelijk toegang heeft. Het DPI-probleem van encryptie wordt verijdeld dankzij de aanwezigheid van metadata, zelfs op gecodeerde webpagina's: van het type encryptie, cijfer, hash; op de volledig gekwalificeerde domeinnamen van de client en server; en de hashes van verschillende objecten zoals JavaScript en afbeeldingen, kunnen al deze netwerkgegevens naar moderne NDR's worden gesluisd.
Metadata-analyse biedt inzicht in een heel netwerk, waardoor MA optimaal is voor de netwerken die niet door DPI zijn beveiligd. Namelijk netwerken met hoge bandbreedte die meer gedistribueerd zijn. Houd er tegelijkertijd rekening mee dat MA niet wordt beïnvloed door encryptie: hierdoor kan het geavanceerde cyberaanvallen detecteren en voorkomen die zich verschuilen achter verkeersversleutelingsprocessen. De focus op netwerkinformatie uit meerdere bronnen past veel beter bij de huidige cross-functionele en nauw geïntegreerde beveiligingsstacks.
Gedragsanalyse
We hebben besproken welke gegevens moeten worden verzameld en waarom, maar niet hoe deze worden gebruikt om uw netwerken beter te beveiligen. In het verleden hebben pogingen tot netwerkbescherming zich geconcentreerd op het afstemmen van pakketinformatie op de handtekeningen die aanwezig zijn in bekende malware-aanvallen. Hoewel het beter is dan niets, zorgt deze aanpak ervoor dat uw netwerken wijd openstaan voor nieuwe aanvallen. De hedendaagse aanvallen laten geen ruimte voor fouten – zoals bewezen door de recente ransomware-aanval van $22 miljoen op Change Healthcare, en er zullen er nog meer volgen.
Gedragsanalyse is het antwoord van de industrie op de steeds nieuwere en gedistribueerde aanvallen van vandaag. Dankzij Machine Learning-algoritmen kunnen al deze metadata en pakketinformatie worden gegroepeerd in bredere gedragspatronen. Dit wordt op twee verschillende manieren bereikt: begeleide en onbewaakte leertechnieken. Machine learning onder toezicht brengt fundamenteel gedrag in kaart dat gemeenschappelijk is voor verschillende varianten van bedreigingen (zoals het feit dat nieuw geïmplementeerde malware meestal een C2-server zal bereiken), waardoor consistente detectie in verschillende scenario's mogelijk wordt. Aan de andere kant doorzoeken machine learning-algoritmen zonder toezicht bedrijfsgegevens op een veel grotere schaal, waarbij ze miljarden op waarschijnlijkheid gebaseerde berekeningen uitvoeren op basis van waargenomen gegevens. Deze algoritmen vertrouwen niet op eerdere kennis van dreigingen, maar categoriseren gegevens onafhankelijk en identificeren significante patronen.
In essentie stellen onbegeleide algoritmen NDR-tools in staat om een basislijn vast te stellen van wat normaal is voor uw netwerk. Vervolgens stellen ze u in staat om uw SOC Het team moet letten op ongebruikelijke verbindingen die plotseling opduiken: dit kunnen indicatoren zijn van een aanval op de toeleveringsketen als ze plotseling vanuit één bron ontstaan; of, als er meer data dan gemiddeld naar een extern apparaat wordt verzonden, kan dit wijzen op een kwaadwillende of gecompromitteerde gebruiker. Zowel supervised als unsupervised learning-modellen zijn belangrijk, omdat ze samen de volledige gedragsanalyse bestrijken die uw netwerken nodig hebben.
Bedreiging Intelligentie
Door de integratie met feeds voor bedreigingsinformatie kan het NDR-systeem netwerkactiviteiten vergelijken met bekende bedreigingen, kwaadaardige IP-adressen en indicatoren van compromissen (IoC's). Dit helpt de NDR-oplossing bij het identificeren en detecteren van bedreigingen die zijn waargenomen en gedocumenteerd door de bredere beveiligingsgemeenschap. In combinatie met NDR-oplossingen fungeren bedreigingsinformatiefeeds als snelle en nauwkeurige contextaanbieders. Dit gaat veel verder dan de standaard malware-signaturen van weleer, met toonaangevende informatiefeeds over bedreigingen, inclusief de tactieken, technieken en procedures van de meest recente aanvallen, evenals de impact daarvan.
Deze contextuele informatie helpt een NDR-oplossing de aard van elke gedetecteerde afwijking beter te begrijpen en beter geïnformeerde beslissingen te nemen over de juiste reactie. Deze ondersteuning voor uw analisten kan worden verdiept door verdere integratie met het MITRE ATT&CK-framework, evenals wat extra ondersteuning van de tools die de rest van uw organisatie al veilig houden.
Beveiligingstechnologie Stack-integratie
Je zou een beveiligingsanalist niet beperken tot slechts één platform – net zoals externe inlichtingenbronnen context bieden over de bestaande dreigingen, kan je bredere technologie-stack een op maat gemaakt beeld geven van je eigen omgeving. Wanneer NDR integreert met Endpoint Detection and Response (EDR) en Security Information and Event Management (SIEM)SIEM) Met de tools die je al hebt, kunnen je teams op hetzelfde veelzijdige niveau presteren als aanvallers.
Neem het MITRE ATT&CK-framework: hoewel het expliciet is ontwikkeld om tactieken, technieken en procedures (TTP's) te identificeren, heeft MITRE ATT&CK een aanzienlijke voorkeur voor eindpunttactieken. Dankzij dit heeft EDR een fase van aanzienlijke investeringen in alle sectoren doorgemaakt. Dit is volkomen begrijpelijk: het afstemmen van uw tooling op de toonaangevende raamwerken in de branche is een stap in de goede richting. Desondanks is het van cruciaal belang om de realiteit van misbruik van kwetsbaarheden in de gaten te houden. Wanneer een aanvalscampagne ten einde loopt, zijn veel kritische technieken vanuit een netwerkperspectief feitelijk gemakkelijker te detecteren. In hetzelfde tijdsbestek van een aanval in een laat stadium glijden de minuten met ongelooflijke snelheid voorbij. Door het belang van netwerkactiviteiten te verminderen, beperken sommige organisaties feitelijk hun beveiligingsreactiepotentieel op het moment dat dit het meest kritiek is. Door gegevens uit zowel eindpunten als netwerkbronnen te analyseren en te correleren, krijgen analisten het volledige spectrum van zichtbaarheid.
Automatiseer netwerkdetectie en -respons met Stellar Cyber
Wanneer NDR verdachte of kwaadaardige activiteiten binnen het netwerk detecteert, moeten deze gegevens met maximale duidelijkheid en efficiëntie naar uw beveiligingsteam worden geleid. Bij kritieke beveiligingsgebeurtenissen is elke seconde van belang. Traditioneel werden netwerkgebaseerde waarschuwingen naar dezelfde waarschuwingslijsten gestuurd als al het andere, wat leidde tot kilometerslange achterstanden die steeds meer kostbare tijd in beslag namen van de beperkte uren van uw beveiligingsanalisten. Moderne NDR's erkennen dat eindeloze waarschuwingsstromen op hun eigen manier de veiligheid van de organisatie schaden: in plaats daarvan streven ze ernaar individuele problemen samen te brengen in bredere, contextuele waarschuwingen.
Door verbinding te maken met uw bredere pakket verdedigingstools kan een geautomatiseerde NDR-oplossing een deel van het drukke werk overnemen dat uw beveiligingsteams vandaag de dag vertraagt. Geautomatiseerde handmatige triaging is nog steeds schokkend lineair – en traag. Dus hoewel een veelzijdige reactie de detectie van bedreigingen naar nieuwe hoogten kan tillen, blijft de zwakke schakel nog steeds het feit dat analisten maar een beperkte hoeveelheid informatie tegelijk kunnen verwerken. Enter, algoritmen.
Deze steeds holistischere benadering van beveiliging vormt de basis van Extended Detection and Response. In plaats van analisten te overladen met steeds meer tools, dashboards en waarschuwingen, is de nieuwe fase van cyberbeveiliging erop gericht gebruik te maken van de grote hoeveelheid informatie die al binnen handbereik is via automatisering.
Stellaire Cyber's Open XDR Het platform combineert de mogelijkheden van geïsoleerde NDR met EDR en automatiseringsalgoritmen. Op deze manier is uw beveiliging meer dan een oppervlakkige analyse van elk afzonderlijk onderdeel van uw technologie-stack: een waarschuwing van één apparaat kan worden vergeleken met de bijbehorende netwerkactiviteit. Meer informatie helpt een beveiligingsanalist niet alleen om de aard en de potentiële impact van de gedetecteerde dreiging volledig te begrijpen, maar dankzij geavanceerde analyses kan elk aspect de ernst van een waarschuwing beïnvloeden.
Door vooraf een waarschuwing te genereren met de bijbehorende kritieke prioriteit, kan Stellar Cyber XDR Met behulp van tools kan snel en eenvoudig de potentiële impact en de kans op misbruik worden vastgesteld. Deze automatisering is essentieel, niet alleen voor het verwerken van enorme hoeveelheden netwerkdata, maar ook voor het identificeren van afwijkingen en problemen die daadwerkelijk moeten worden aangepakt. Herzie vandaag nog de relatie van uw organisatie met netwerkwaarschuwingen en zie hoe Stellar beveiligingsteams naar snellere oplossingstijden leidt dan ooit tevoren.
