Netwerkdetectie en -respons (NDR) uitgelegd

  • Key Takeaways:
  • Wat doet Network Detection and Response (NDR)?
    NDR analyseert voortdurend het netwerkverkeer, bouwt gedragsmodellen om afwijkingen te detecteren en automatiseert reacties met AI.
  • Hoe heeft NDR zich ontwikkeld vanuit NTA?
    Er werd een verschuiving gemaakt van basisverkeersmonitoring naar geavanceerde inspectie en geautomatiseerde reacties op basis van gedrags- en handtekeninganalyses.
  • Welke belangrijke functies biedt de NDR van Stellar Cyber?
    Diepe pakketinspectie, gedistribueerde sensoren, gecentraliseerd datameer, op AI gebaseerde bedreigingsdetectie en geautomatiseerde SOAR-integratie.
  • Hoe vermindert Stellar Cyber ​​het datavolume en verbetert het de detectie?
    Hiermee wordt tot 500x aan datareductie bereikt en worden gegevens verrijkt met informatie over bedreigingen. Dit maakt realtime AI-gestuurde correlatie en respons mogelijk.
  • Hoe helpt NDR bij het verenigen van beveiligingsoperaties?
    Stellar Cyber's NDR is geïntegreerd in Open XDRwaardoor een naadloze correlatie mogelijk wordt met SIEM, SOAR, en UEBA op één platform.

Network Detection and Response (NDR) biedt nieuwe inzichten in de netwerken van een organisatie door passief interne netwerkactiviteit te verwerken en te analyseren. Met de opkomst van LLM's en nieuwe eisen aan netwerkverdediging in de diepte, ontwikkelen NDR-tools zich al verder dan deze kernfunctionaliteit. Gartner's NDR-rapport beschrijft hoe de tools op de huidige markt de grenzen verleggen met LLM-uitbreiding, multimodale bedreigingsdetectie en IaaS-gebaseerde implementatie.

De impact van moderne NDR op de downstream is aanzienlijk: coherentere incidentrespons, scherpere analyses en sneller forensisch onderzoek. Deze gids biedt een uitgebreide, diepgaande duik in NDR.

#Image_Title

Gartner® Magic Quadrant™ NDR-oplossingen

Ontdek waarom wij de enige leverancier zijn met een plek in het Challenger-kwadrant...

Meer informatie
#Image_Title

Ervaar AI-aangedreven beveiliging in actie!

Ontdek de geavanceerde AI van Stellar Cyber ​​voor directe detectie van bedreigingen...

Plan een demo

Hoe werkt NDR

NDR's zijn uniek omdat ze continu netwerkpakketten en verkeersmetadata kunnen analyseren die plaatsvinden binnen oost-westverkeersstromen (intern) en tussen noord-zuidverkeer (interne netwerken en het openbare internet). Elke individuele netwerkactie vertegenwoordigt een belangrijk gegevenspunt dat door de NDR wordt verwerkt – elk punt wordt vervolgens gebruikt om een ​​model te bouwen van het dagelijkse gedrag van een intern netwerk.

Hierdoor kunnen afwijkingen direct worden gedetecteerd. Deze onnatuurlijke patronen worden in de vorm van een waarschuwing naar analisten gestuurd voor nader onderzoek; hier wordt het verkeer beoordeeld als een teken van een aanval, of als onschadelijk. Moderne NDR's met geautomatiseerde responsmogelijkheden kunnen automatisch corrigerende maatregelen nemen – zoals IP-blokkering – als reactie op een herkende bedreiging. Dit houdt een netwerk veilig terwijl de analist de legitimiteit ervan vaststelt.

De evolutie van NDR

De oorsprong van NDR kan worden teruggevoerd tot Netwerkverkeersanalyse (NTA)Deze oudere tool werd gezamenlijk gebruikt door beveiligings- en netwerkbeheerders: hiermee konden ze bijhouden welke apparaten netwerkverkeer ontvingen, hoe snel elke app of elk apparaat reageerde en hoeveel verkeer er van en naar bepaalde bronnen werd verzonden.

Naarmate het dreigingslandschap zich begin jaren 2010 ontwikkelde, ontdekten beveiligingsbeheerders echter dat netwerkvolumegegevens niet het hele verhaal vertelden. Alleen op NTA vertrouwen voor dreigingsdetectie vereiste een uiterst ervaren en scherpzinnige netwerkbeheerder; er werd veel aan het toeval overgelaten. Network Detection and Response legt de nadruk op universele netwerkgegevensverzameling, aangevuld met een extra analyselaag.

De NDR-tools van vandaag Versterk deze kerngedragsanalyse met vergelijking van bestandssignaturen en implementatie van regels. Zodra een potentiële bedreiging wordt opgemerkt, kan NDR automatisch verdachte bestanden in quarantaine plaatsen, kritieke informatie markeren voor beveiligingsbeheerders en waarschuwingen correleren met hun bredere beveiligingsincidenten.

Wat is de rol van NDR in cyberbeveiliging

Traditioneel was de cyberbeveiliging van organisaties afhankelijk van statische hulpmiddelen voor het detecteren van bedreigingen, zoals antivirusprogramma's en firewalls. Deze maakten gebruik van detectie op basis van handtekeningen, waarbij de bestanden die in een netwerk werden geplaatst of via een netwerk werden gedeeld, werden beoordeeld op basis van de indicatoren van inbreuk in de database van elk hulpmiddel.

Deze opzet – nu perimetergebaseerde cybersecurity genoemd – kende echter een aantal inherente tekortkomingen. Als de firewall bijvoorbeeld niet continu wordt bijgewerkt, kan een aanvaller door de mazen van het net glippen. Zodra één apparaat of dienst is gecompromitteerd, wordt het inherente vertrouwen tussen apparaten op een intern netwerk misbruikt, doordat de aanvaller privilege-escalatie start.

NDR's maken gebruik van deze aanvalsketen en erkennen dat bijna elke aanval minstens één intern netwerk raakt. Cybersecurityteams kunnen een NDR-oplossing implementeren over zowel Noord-Zuid- als Oost-West-verkeer, waardoor ze inzicht krijgen in het verkeer dat de organisatie binnenkomt en dat tussen interne apparaten wordt gedeeld. Dit elimineert een van de grootste bedreigingen waar aanvallers op vertrouwen. Onze NDR-kopersgids beschrijft hoe deze verkeersgegevens worden verwerkt en geanalyseerd op mogelijke schadelijke activiteiten.

Wat is de rol van NDR in het Security Operations Center?SOC)?

Het moderne SOC Het moet overal tegelijk aanwezig zijn: met de wildgroei die inherent is aan moderne netwerken, is dat geen geringe opgave. Daarom speelt NDR een belangrijke rol in de efficiëntie van hedendaagse netwerken. SOCs, omdat het een gecentraliseerd detectieplatform is. De volgende mogelijkheden kunnen aan een SOC door een geschikte NDR.

Volledige netwerkzichtbaarheid

Een kernonderdeel van een SOC Het systeem kan bedreigingen detecteren en erop reageren op alle apparaten, gebruikers en services. Netwerkdata vormen een waardevolle bron van informatie, maar specialisten in het analyseren van bedreigingen en threat hunters worden vaak gehinderd door de enorme hoeveelheid data. De NDR-architectuur maakt het mogelijk om automatisch pakket-, flow- en loggegevens te verzamelen van netwerkinfrastructuur en firewalls. Het analyseert ook versleuteld verkeer, zonder dat dit hoeft te worden onderschept. Dit maakt een diepgaande analyse mogelijk met een breder scala aan bronnen, waardoor de systemen beter in staat zijn om bedreigingen te detecteren en erop te reageren. SOC een completer beeld van hun netwerken.

Verbonden waarschuwingen

Triagespecialisten spelen een belangrijke rol bij het afhandelen van beveiligingswaarschuwingen door ruwe data te verzamelen en inkomende alarmen te analyseren. Hun verantwoordelijkheden omvatten het valideren van waarschuwingen, het beoordelen of aanpassen van de ernst ervan, en het verrijken ervan met contextuele informatie. Moderne NDR's versnellen dit proces door te integreren met andere beveiligingstools en door automatisch netwerkafwijkingen te signaleren binnen hun bredere context – van phishingmails tot verdachte bestandsdownloads.

Snelle netwerkbewustwording

SOC Managers zijn zich ervan bewust hoe essentieel diepgaande netwerkexpertise is. Deze eis kan het aannemen en opleiden van nieuwe medewerkers bemoeilijken. SOC teamleden moeilijk en tijdrovend. Met NDR in SOCZelfs nieuwe teamleden zonder netwerkexpertise kunnen een NDR-oplossing implementeren en beginnen bedreigingen te identificeren.

Snelle netwerkrespons

De analytische kracht van NDR wordt analisten aangeboden via een intuïtief dashboard. Deze gebruikersinterface maakt het mogelijk om automatisch prioriteit te geven aan waarschuwingen en om handmatige netwerkresponsmogelijkheden veel sneller te starten.

NDR versus Endpoint Detection and Response (EDR)

Moderne cybersecurity vereist inzicht in meer dan alleen netwerkactiviteiten – EDR is de bijbehorende oplossing die zich richt op endpointgedrag. Netwerk- versus endpointdetectie is vrij eenvoudig: net zoals NDR elke actie op een netwerk registreert en deze in een bredere trendgrafiek plaatst, analyseert EDR elke actie op apparaatniveau in relatie tot het historische of rolspecifieke gedrag.

EDR-producten worden doorgaans geleverd via een implementeerbare endpoint-agent op elk endpoint. Dankzij de lokale aanwezigheid kan EDR procesinformatie verwerken, wat helpt bij het identificeren van potentieel schadelijke programma's door te monitoren welke processen er op het systeem actief zijn. Bestandsinformatie wordt ook onderzocht om de integriteit van bestanden te valideren, terwijl gebruikersinformatie de legitimiteit van elk account verifieert. Tot slot wordt systeeminformatie verzameld om een ​​volledig beeld te krijgen van de endpoint-status.

In plaats van NDR versus EDR, zetten de meeste organisaties NDR naast EDR in. Dit maakt het mogelijk om een ​​complete aanvalsketen te volgen en te monitoren. Van de eerste accountcompromis tot privilege-escalatie op netwerkniveau en de uiteindelijke verspreiding van malware, kan de volledige complexiteit van aanvallen vroegtijdig worden opgespoord. Gezien het potentieel hiervan zijn sommige cybersecurityleveranciers begonnen met het aanbieden van een extra analyse- en orchestratielaag tussen de twee: uitgebreide detectie en respons (EDR).XDR).

Hoe verhoudt NDR zich tot EDR? XDR?

NDR, EDR en XDR Het zijn subtiel verschillende technologieën, die elk gericht zijn op verschillende aspecten van de processen voor het identificeren en bestrijden van bedreigingen. Ze hebben ook verschillende reikwijdtes – van netwerkspecifiek tot het gehele aanvalsoppervlak van de organisatie.

NDR (netwerkdetectie en respons)

EDR (eindpuntdetectie en respons)

XDR (Uitgebreide detectie en respons)
strekking Netwerkverkeer. Eindpunten (laptops, servers, apparaten). Alles (eindpunten, netwerk, cloud).
Primaire gegevensbronnen Netwerkmetadata, verkeersstromen. Eindpunttelemetrie, bestand- en procesgedrag. Geaggregeerde telemetrie over meerdere domeinen.
Reactiemogelijkheden Beperkt tot acties op netwerkniveau, waarbij steeds vaker geautomatiseerde reacties worden aangeboden. Geïsoleerd tot eindpuntspecifieke reacties, zoals quarantaine. Biedt volledige vrijheid van geautomatiseerde reacties op meerdere platforms.
Implementatiecomplexiteit Gemiddeld (vereist netwerkintegratie). Gemiddeld (vereist agentinstallatie op eindpunten). Hoog (vereist integratie op alle beveiligingsplatforms of primaire gegevensbronnen).
Beste gebruiksgeval Detectie van laterale bewegingen en sluipende bedreigingen. Identificeren van gecompromitteerde eindpunten. Uitgebreide detectie en reactie op bedreigingen.

Technieken gebruikt in NDR-oplossingen

Omdat NDR's voortdurend grote hoeveelheden data verwerken en analyseren, is het belangrijk om de verschillende strategieën te begrijpen die zij inzetten tegen complexe bedreigingen.

Gecodeerde verkeersanalyse

Het beveiligen van versleuteld verkeer is van oudsher een heikel onderwerp: en aangezien het overgrote deel van het huidige verkeer versleuteld is, kan het niet adequaat kunnen analyseren van versleuteld verkeer een grote misser zijn. Het ontsleutelen van alle netwerkpakketten tijdens de overdracht kan echter het risico op data- en tokenblootstelling drastisch verhogen.

Om dit te omzeilen, maken toonaangevende tools vaak gebruik van een reeks NDR-technieken. Om lekken van tokens of gedecodeerde data te voorkomen, kunnen sensoren achter proxyservers worden geplaatst. Dit maakt gebruik van detectie van versleuteld verkeer en routeert dit via een proxy: het verkeer wordt zoals gebruikelijk gedecodeerd en de sensoren sturen vervolgens alle informatie door naar de centrale NDR-engine. Meer informatie over onze NDR-mogelijkheden vindt u hier.

Als proxyservers niet geschikt zijn voor een specifieke use case, is het mogelijk om de legitimiteit van verkeer nauwkeurig te detecteren aan de hand van de patronen. Volledig versleuteld verkeer kan worden gecontroleerd op malware met behulp van JA3-fingerprinting, zonder de versleuteling te kraken. Bovendien kunnen patronen en metadata worden gecombineerd om de intentie achter een versleuteld pakket te detecteren, aangezien de sensor nog steeds het servercertificaat, IP-adressen, domeinnamen, sessieduur en byte-aantallen uit de pakketheader en TLS/SSL-handshaking kan halen.

Als verkeersontsleuteling absoluut noodzakelijk is, kunnen moderne NDR's worden geïntegreerd met pakketontsleutelingsdiensten. De resulterende netwerkgegevens worden vervolgens zoals gebruikelijk naar de centrale analyse-engine verzonden.

Geautomatiseerde activadetectie

Weten welke apparaten data van en naar een netwerk overbrengen, is essentieel. NDR's volgen en voegen assets automatisch toe aan het assetmanagementdashboard, op basis van het bijbehorende MAC-adres, IP-adres en hostnaam. Dit maakt het vervolgens mogelijk om risico's op netwerkniveau weer te geven op basis van de getroffen assets.

Protocol decodering

Netwerkprotocollen zijn vastgelegde sets regels die definiëren hoe gegevens worden geformatteerd, verzonden, ontvangen en geïnterpreteerd tussen apparaten in een netwerk. Dit zijn essentiële stukjes van de contextuele puzzel; NDR's reconstrueren in wezen de ruwe data die ze hebben om het juiste protocol te bepalen. Vervolgens vergelijken ze de echte netwerkgegevens met dit verwachte protocol, waardoor eventuele afwijkingen in het verkeer snel kunnen worden gedetecteerd.

Gedragsanalyse

Naast de protocollen achter elke verkeersstroom kunnen NDR's een model bouwen van hoe elk netwerk dagelijks functioneert. Zo kan het bijvoorbeeld over een aantal maanden zien dat een medewerker om 10 uur 's ochtends via SFTP naar een specifieke site uploadt. Wanneer die medewerker dan plotseling om 5 uur 's nachts een bestand uploadt naar 2 andere interne apparaten, weet het dat deze verdachte actie moet worden gemarkeerd voor verdere analyse.

Hoe u netwerkdetectie en -respons implementeert

De implementatie van een NDR moet alle netwerken bestrijken waar uw organisatie afhankelijk van is – of dat nu cloudgebaseerd, volledig on-premises of een combinatie van beide is. De volgende implementatiemethoden geven u een gedetailleerd beeld van hoe NDR's technisch worden geïmplementeerd binnen een organisatie.

Sensorimplementatie

NDR vereist dat sensoren worden ingezet in elk te monitoren netwerk. Er zijn echter specifieke sensoren voor verschillende toepassingen en een succesvolle implementatie vereist de juiste sensor voor de taak. Linux-distributieomgevingen hebben bijvoorbeeld een Linux-serversensor nodig. Deze worden vaak ingezet met een vooraf ingestelde hoeveelheid beschikbare CPU-bronnen die ze op elk moment kunnen gebruiken, om de serverkwaliteit te beschermen en tegelijkertijd opdrachtuitvoeringen en logs te verzamelen. Windows-servers vereisen ook een eigen type sensor; deze verzamelen de volledige reikwijdte van Windows. gebeurtenistypen.

Modulaire sensoren vormen een ander type: deze maken het mogelijk om aanpasbare functies samen met de sensor te leveren. Dit kan bijvoorbeeld logforwarding omvatten – mocht er behoefte zijn aan implementatie met een SIEM of een ander beveiligingshulpmiddel – en het verwerken van netwerkverkeer – zoals vereist door de NDR. Voor zwaardere beveiligingsvereisten kunnen ook modulaire sensoren worden ingezet met sandbox- en inbraakdetectiesystemen.

Nu de juiste sensoren voor elke implementatie zijn geïdentificeerd, is het belangrijk om ze correct in te stellen. Hiervoor zijn talloze implementatiemethoden beschikbaar: een SPAN-poort is een van de meest voorkomende en werkt door netwerkverkeer op een netwerkswitch te spiegelen naar de poort met de NDR-sensor. Hierdoor kan de NDR-tool passief al het verkeer dat naar die poort gaat, vastleggen.

Virtuele omgevingen zijn afhankelijk van de implementatie van virtuele taps, die kopieën vastleggen van de data die tussen virtuele machines binnen de host stroomt; fysieke TAPs slaan dit verkeer over, omdat het nooit over fysieke netwerkkabels gaat. De netwerkactiviteit van externe eindpunten kan worden bewaakt met agentgebaseerde collectors; lichtgewicht collectors die rechtstreeks op een apparaat worden geïnstalleerd.

Gegevensopname

Omdat alle gegevens continu door sensoren worden gemonitord, moeten ze vervolgens worden verwerkt en geanalyseerd door de centrale analyse-engine van de NDR. Dit gebeurt via twee processen: ontvangers en connectoren. De eerste is een actieve taak die sensorinvoer verwerkt en verspreidt tussen de IP-adressen of poortnummers die worden gecontacteerd – en de tweede analyseert de bijbehorende ruwe netwerkpakketgegevens.

Downloaden en installeren

Het downloaden en configureren van de NDR-beheerconsole is afhankelijk van de gekozen provider, maar vereist in alle gevallen een initiële vaststelling van beheerdersrollen, waarschuwingsdrempels en meldingsprotocollen. Een training van een week of twee is meestal een minimale vereiste wanneer een nieuwe tool voor het eerst wordt geïmplementeerd; dit helpt om te bepalen hoe deze integreert met de workflows van analisten.

Geautomatiseerde reacties inschakelen en afstemmen

Geautomatiseerde reacties zijn een belangrijke functie van moderne NDR-tools: ze bieden ook een aanzienlijke tijdsbesparing tegen potentiële aanvallen. Afhankelijk van de NDR moeten de geautomatiseerde reacties, zoals TCP-sessiebeëindiging, dynamische netwerksegmentatie of verkeersbeperking, worden geconfigureerd, samen met het gedragsprofiel dat elke actie moet activeren. Meer informatie over het implementeren van een NDR vindt u hier.

NDR integreren met andere beveiligingstools

Het vermogen van NDR om heuristische modellen van normaal netwerkgedrag te bouwen – en daarmee afwijkingen daarvan te detecteren – vormt een geweldige aanvulling op de informatie die andere beveiligingstechnologieën bieden. Als deze technologieën geïntegreerd kunnen worden, kan in elke waarschuwing een bewustzijn op netwerkniveau worden geïntroduceerd. De volgende beveiligingstools worden vaak en succesvol geïntegreerd met NDR.

EDR

Door EDR met NDR te integreren, is het mogelijk om niet alleen een volledig inzicht te krijgen in de aanvalsketen, maar ook om automatisch te reageren op bedreigingen via het EDR-apparaat. Wanneer malware bijvoorbeeld aan een apparaat wordt gekoppeld, kan een gezamenlijke EDR/NDR-oplossing deze automatisch isoleren van het netwerk. Deze inperking voorkomt dat de bedreiging zich verspreidt en geeft beveiligingsteams de mogelijkheid om het incident te onderzoeken en de nodige herstelmaatregelen te nemen.

SIEM

SIEMLogboeken zijn alomtegenwoordig in beveiligingsteams – ze maken loganalyse en detectie mogelijk en zijn de voorlopers van modern dreigingsbeheer. Omdat echter SIEMs verwerken zoveel logbestanden – en logbestanden alleen bieden niet het meest diepgaande inzicht in bedreigingen – SIEMDeze systemen zijn zeer gevoelig voor valse positieven. Het resultaat is duizenden meldingen per dag, die praktisch onmogelijk handmatig te controleren zijn.

NDR's maken het mogelijk om een ​​extra authenticatielaag te creëren – telkens wanneer de SIEM Wanneer een potentieel incident wordt gedetecteerd, kunnen de bijbehorende netwerkgegevens worden geanalyseerd. Als beide gegevensbronnen wijzen op een aanval, kan de waarschuwing worden gegenereerd via het centrale dashboard van de NDR. Dit helpt niet alleen bij het filteren van onjuiste waarschuwingen, maar geeft de beoordelende analist ook een betere basis om mee te werken.

firewalls

NDR verbetert de informatie over firewallbedreigingen door ongebruikelijk of kwaadaardig netwerkgedrag te detecteren. Omdat het gedrag wordt herleid tot een specifiek IP-adres, kan deze realtime informatie vervolgens worden verzonden naar de firewall die rond elk netwerk of subnetwerk is geïmplementeerd. Deze firewall stelt vervolgens automatisch een relevant beleid op en handhaaft dit, waardoor verdacht verkeer wordt geblokkeerd.

Klinkt te mooi om waar te zijn
waar zijn?
Zie het zelf!

Boek een adviesgesprek
Scroll naar boven
Meld u aan voor nieuwsbrieven