Stellar Cyber ​​Open XDR-logo
Ontdek
Sluit dit zoekvak.
Stellar Cyber ​​Open XDR-logo
Stellar Cyber ​​Open XDR-logo

Wat is NDR? De definitieve gids

Tegenwoordig worden beveiligingsbeslissers geconfronteerd met een groot aantal keuzes als het gaat om het bouwen van een moderne beveiligingsstack. Een beveiligingscontrole die vaak over het hoofd wordt gezien, is Network Detection and Response, of NDR. NDR-cyberbeveiligingsoplossingen zijn niet nieuw. Vanwege de waargenomen complexiteit van implementatie, onderhoud en gebruik geven veel beveiligingseigenaren echter minder prioriteit aan deze technologie in hun beveiligingsstack, ervan uitgaande dat andere netwerkgerelateerde beveiligingsproducten kunnen voorkomen dat hun netwerken in gevaar komen. Deze gids biedt een uitgebreide NDR-definitie als moderne cyberbeveiligingsoplossing en het belang ervan bij het bestrijden van cyberaanvallen.

Hoe werkt NDR

Netwerkdetectie- en responstechnologieën zijn ontworpen om bedreigingen in uw netwerkinfrastructuur te identificeren en beveiligingsanalisten in staat te stellen snel beslissende responsacties te ondernemen om het risico op een schadelijke inbreuk te beperken. In tegenstelling tot andere netwerktechnologieën waarbij gebruikers semi-experts op het gebied van netwerken moeten zijn, kunnen beveiligingsanalisten met uiteenlopende expertise gemakkelijk NDR-producten gebruiken. Om beter te begrijpen hoe NDR-mogelijkheden houden een netwerk veiligmoeten we eerst uitpakken hoe ze worden ingezet en werken. 

Uw netwerk is het centrale zenuwstelsel van uw gehele organisatie. Of u nu uitsluitend ‘on-metal’ wordt ingezet, zonder aanwezigheid in de cloud, of ‘All-In’ bent gegaan bij een cloudprovider, het netwerk maakt essentiële communicatie mogelijk van het ene zakencentrum naar het andere. Historisch gezien werd gedacht dat het inzetten van een firewall voldoende beveiliging voor een netwerk bood. Leveranciers hebben echter nieuwe beveiligingsmaatregelen geïntroduceerd om het netwerk te beschermen en de vooruitgang in aanvalsmethoden tegen te gaan. Inbraakdetectie- of inbraakpreventiesystemen vergrootten het vermogen van de firewall om succesvolle cyberaanvallen te voorkomen. Gezien de afhankelijkheid van bekende netwerksignaturen van aanvallen, werden de meeste IDS/IPS-producten, wanneer aanvallers hun tactieken ook maar enigszins aanpasten, weinig meer dan hinderlijk voor aanvallers. leef ermee."

Wat is NDR? De definitieve gids - De evolutie van NDR

De evolutie van NDR

Zoals beveiligingsaanbieders vaak doen wanneer ze worden geconfronteerd met de zich ontwikkelende uitdagingen van aanvallers, werd een nieuw producttype geïntroduceerd, bekend als Netwerkverkeersanalyse (NTA). Zoals de naam al doet vermoeden, zouden NTA-producten de inhoud en statistieken van het verkeer tussen de activa van organisaties en het verkeer van en naar externe bronnen analyseren. Een analist zou zich kunnen verdiepen in de details van ongebruikelijke patronen om te bepalen of corrigerende maatregelen nodig zijn. Nu komt NDR in beeld. NDR combineert de beste IDS/IPS-, NTA- en andere netwerkbeveiligingsmogelijkheden in één enkele oplossing om een ​​netwerk te beschermen. NDR-producten bieden een holistisch beeld van beveiligingsbedreigingen in uw netwerk. Door gebruik te maken van een combinatie van bekende kwaadaardige netwerkhandtekeningen, beveiligingsanalyses en gedragsanalyses kunnen NDR's snel en met hoge efficiëntie bedreigingen detecteren. Om specifieker te zijn: NDR-producten kunnen niet alleen de inhoud van netwerkverkeer analyseren, maar ook afwijkende activiteiten identificeren door de metagegevens van het netwerkverkeer te analyseren (grootte/vorm van het verkeer). Deze mogelijkheid is voordelig bij het omgaan met gecodeerd verkeer, waarbij het voor het NDR-product mogelijk onmogelijk is om in realtime te decoderen. Typische NDR-producten bieden detectiemogelijkheden en de mogelijkheid om op een potentiële bedreiging te reageren.

Wat is de rol van NDR in cyberbeveiliging

Moderne aanvallers zoeken naar zwakke plekken in de omgeving van een organisatie die ze kunnen misbruiken. Hoewel eindpunten voor de meeste aanvallers een populair aanvalsoppervlak zijn, zoeken ze steeds vaker naar manieren om hun cyberdreigingen binnen het reguliere netwerkverkeer te maskeren. Deze aanpak wint aan populariteit vanwege de waargenomen complexiteit die gepaard gaat met het monitoren, analyseren en detecteren van bedreigingen terwijl ze het netwerk doorkruisen. In het niet zo verre verleden waren voor het identificeren van bedreigingen in netwerkverkeer middelen nodig met uitgebreide ervaring in het configureren, onderhouden en monitoren van netwerkverkeer. Tegenwoordig is het cyberbeveiligingslandschap echter enorm anders, waardoor de bescherming van een netwerk veel toegankelijker is voor alle beveiligingsprofessionals, en niet alleen voor degenen die netwerkexperts zijn. 

Zoals de meeste cybersecurityprofessionals het erover eens zijn, raken de meeste aanvallen het netwerk op de een of andere manier. Uit recente onderzoeken blijkt dat 99% van de succesvolle aanvallen in het netwerkverkeer kunnen worden gedetecteerd. Veel daarvan kunnen worden geïdentificeerd en verholpen voordat de aanvaller zijn payloads inzet. Moderne netwerkbeveiligingsoplossingen maken het beveiligen van netwerken veel toegankelijker voor elke beveiligingsprofessional, omdat de mogelijkheden ervan eenvoudig te gebruiken zijn. Gecombineerd met de toename van de geautomatiseerde mogelijkheden die in de meeste oplossingen zijn opgenomen, is het identificeren van bedreigingen binnen een netwerk nu meer ‘hands-off’ dan ooit tevoren. Voor de meeste beveiligingsteams geldt dat zelfs voor degenen die geen netwerkexpertise hebben een NDR-oplossing implementeren in hun beveiligingsstack en beginnen bedreigingen te identificeren terwijl ze zich tussen netwerkmiddelen en in en uit het netwerk verplaatsen, met weinig menselijke tussenkomst. Door een NDR in een beveiligingsstack op te nemen, kunnen beveiligingsteams ook enorme strategische en tactische voordelen zien die verder gaan dan het simpelweg identificeren van bedreigingen op het netwerk.

Verdediging in de diepte

Ten eerste volgt u, door NDR op te nemen in uw beveiligingsstack, de best practice van de ‘diepgaande verdediging’-benadering van beveiliging. Hoewel eindpuntbeschermingsplatforms en eindpuntdetectie- en responsoplossingen zijn ontworpen om bijvoorbeeld bedreigingen op de eindpunten te identificeren, zijn ze over het algemeen blind voor bedreigingen terwijl ze zich over het netwerk verspreiden. Op dezelfde manier zijn producten ter voorkoming van gegevensverlies zeer goed in het identificeren wanneer belangrijke gegevens van een bepaalde locatie worden verplaatst. Ze zijn echter niet zo goed in het oppikken van deze kritieke informatie die het netwerk doorkruist, vooral als deze verborgen is in het reguliere netwerkverkeer. In deze situatie hebben NDR-beveiligingsproducten het potentieel om het vermogen van een beveiligingsteam te verbeteren om het risico op een succesvolle cyberaanval te verminderen. Net zoals de andere genoemde producten gericht zijn op het detecteren van bedreigingen in een specifiek asset of datatype, is de NDR uitsluitend gericht op het begrijpen van netwerkverkeer op een manier die geen enkel ander beveiligingsproduct kan. Door een snelle analyse van realtime netwerkverkeer mogelijk te maken, kunnen NDR-beveiligingsproducten potentiële bedreigingen in het netwerkverkeer aan het licht brengen die mogelijk onopgemerkt zijn gebleven.

Het delen van informatie

Zodra de bedreigingen zijn gedetecteerd, kan die informatie eenvoudig worden gedeeld op een SIEM- of XDR-platform om te correleren met andere bedreigingen, waarvan sommige als een zwak signaal kunnen worden beschouwd. Nu er een constante stroom netwerkbedreigingen wordt geanalyseerd met andere voor de beveiliging relevante gegevens, zullen beveiligingsteams profiteren van een meer holistische kijk op bedreigingen in hun gehele netwerkomgeving. Het is bijvoorbeeld gebruikelijk dat aanvallers multi-vectoraanvallen op hun doelwitten inzetten, zoals het starten van een phishing-e-mailcampagne tegen meerdere werknemers, terwijl ze tegelijkertijd proberen misbruik te maken van een bekende kwetsbaarheid die ergens in het netwerk is ontdekt. Wanneer ze afzonderlijk worden onderzocht, kunnen ze als een lagere prioriteit worden beschouwd dan wanneer ze worden beschouwd als onderdeel van een gerichte aanval. Nu NDR is geïnstalleerd, in combinatie met een XDR, worden deze aanvallen niet langer afzonderlijk onderzocht. In plaats daarvan kunnen ze worden gecorreleerd en aangevuld met relevante contextuele informatie, waardoor het veel gemakkelijker wordt om te bepalen of ze met elkaar verband houden. Deze extra stap, die in de meeste gevallen automatisch kan plaatsvinden, betekent dat beveiligingsanalisten productiever en efficiënter worden zonder dat ze meer moeite hoeven te doen. Voor aanvullende informatie over de strategische voordelen van NDR kunt u de NDR-kopersgids.

Hoe verhoudt NDR zich tot EDR en XDR?

Omdat zoveel cyberbeveiligingsproducten en -diensten beweren vergelijkbare voordelen te bieden, kan het voor sommige beveiligingsbeslissers moeilijk zijn om te bepalen welke producten ze moeten inzetten om extra voordelen te behalen. NDR is niet immuun voor deze verwarring. Om besluitvormers te helpen de overeenkomsten en verschillen tussen standaardbeveiligingsmaatregelen te begrijpen, worden hieronder de verschillen tussen NDR, EDR en XDR uiteengezet.

NDR-vereisten

Om een ​​basisbegrip te krijgen van de focus van deze handleiding, NDR, volgen hier eerst de standaard table-stake-mogelijkheden van een NDR-oplossing:
  • NDR-producten moet netwerkverkeersinformatie in realtime verzamelen en de verzamelde gegevens opslaan om geautomatiseerde analyse mogelijk te maken.
  • NDR-producten moet de verzamelde gegevens kunnen normaliseren en verrijken met contextueel relevante informatie om uitgebreide analyses mogelijk te maken
  • NDR-producten moet ook een basislijn van regulier netwerkverkeer vaststellen, meestal met behulp van machine learning-algoritmen. Zodra de basislijn is vastgesteld, moet het NDR-product snel gevallen aan het licht brengen wanneer het waargenomen netwerkverkeer buiten de typische verkeerspatronen valt, waardoor beveiligingsanalisten in realtime op de hoogte worden gesteld van de afwijking. 
  • NDR-producten moet zowel on-premise als cloud-activa omvatten.
  • NDR-producten zou eraan moeten werken om gerelateerde waarschuwingen samen te voegen tot bruikbare onderzoeksbuckets, waardoor het voor beveiligingsanalisten gemakkelijk wordt om 1) de omvang van een aanval te begrijpen en 2) reactieacties te ondernemen
  • NDR-producten moet een geautomatiseerd middel bieden om passende reactieacties te ondernemen wanneer deze vanwege de aard en omvang van een aanval noodzakelijk worden geacht

EDR-vereisten

Endpoint Detection and Response (EDR)-producten moeten de volgende mogelijkheden bieden om de noodzakelijke bescherming te bieden van hun aandachtsgebied, eindpuntapparaten:
  • EDR-producten moeten beveiligingsteams de middelen bieden om eindpuntgegevens in realtime te verzamelen en te analyseren. Meestal wordt dit geleverd via een inzetbare eindpuntagent die eenvoudig kan worden gedistribueerd via de tool van de organisatie naar keuze. Deze eindpuntagenten moeten centraal worden beheerd en eenvoudig worden bijgewerkt zonder dat het apparaat opnieuw hoeft te worden opgestart. 
  • EDR-producten moeten applicaties en services in realtime kunnen analyseren om potentieel kwaadaardige bestanden en services uit te roeien. Wanneer ontdekt, zou het mogelijk moeten zijn om de verdachte bestanden en services automatisch in quarantaine te plaatsen. 
  • EDR-producten zou een aanpasbare engine voor correlatieregels moeten bevatten waarmee beveiligingsteams een reeks openbaar beschikbare correlatieregels kunnen uploaden of hun eigen regels helemaal opnieuw kunnen maken. Deze regels moeten de mogelijkheid omvatten om een ​​bedreiging te detecteren en een manier om indien nodig geautomatiseerd te reageren. 
  • EDR-producten moet vanuit dataperspectief eenvoudig worden geïntegreerd in een ander beveiligingsproduct, zoals een SIEM- of XDR-platform, zodat de rijke verzamelde gegevens kunnen worden geanalyseerd binnen de context van andere beveiligingsrelevante informatie. 
  • EDR-producten zou implementaties op Microsoft Windows-apparaten en verschillende smaken Linux-apparaten moeten ondersteunen. 
  • Moderne EDR producten kunnen ook worden ingezet op bepaalde cloudgebaseerde platforms en andere door de cloud geleverde applicaties zoals Microsoft Office 365. 

XDR-vereisten

Uitgebreide detectie en respons (XDR) producten zijn een van de nieuwste technologieën op de markt, ontstaan ​​uit de behoefte om het voor gestroomlijnde beveiligingsteams gemakkelijker te maken om continue beveiligingsresultaten in hun hele onderneming te leveren. XDR-producten moeten de volgende mogelijkheden bieden om de voordelen te bieden die de meeste beveiligingsteams verwachten. 

  • XDR-producten moet gegevens opnemen uit elke beschikbare gegevensbron. Deze gegevens kunnen bestaan ​​uit 1) waarschuwingen van elke geïmplementeerde beveiligingscontrole, 2) loggegevens van elke dienst die door een organisatie wordt gebruikt, zoals de logs die zijn gemaakt door het identiteitsbeheersysteem van de organisatie, en 3) log- en activiteitsgerelateerde informatie uit elke cloud omgeving en applicatie, zoals activiteitsinformatie verzameld via een Cloud Access Security Broker (CASB)-oplossing.
  • XDR-producten zou idealiter alle verzamelde gegevens moeten normaliseren om uitgebreide analyse op schaal mogelijk te maken.
  • XDR-producten moeten machine learning en kunstmatige intelligentie (AI) gebruiken om ogenschijnlijk uiteenlopende, niet-gerelateerde waarschuwings- en activiteitsgegevens te correleren tot gemakkelijk te onderzoeken veiligheidsincidenten/-gevallen. 
  • XDR-producten zou alle verzamelde gegevens automatisch moeten contextualiseren met belangrijke informatie, waardoor het voor beveiligingsanalisten gemakkelijk wordt om onderzoeken snel af te ronden.
  • XDR-producten moet de inspanningen van beveiligingsanalisten sturen door vermoedelijke beveiligingsincidenten prioriteit te geven op basis van hun potentiële impact op de organisatie.
  • XDR-producten moet een geautomatiseerd reactievermogen bieden dat kan worden geïnitieerd zonder menselijke tussenkomst op basis van de ernst/impact van een potentiële dreiging. 

Samenvattend vormen zowel NDR- als EDR-producten uiteindelijk input voor een XDR-platform waarmee beveiligingsanalisten cyberbeveiligingsonderzoeken sneller en effectiever dan ooit kunnen voltooien. 

Veelvoorkomende NDR-gebruiksscenario's

Het mag duidelijk zijn dat NDR-producten gericht zijn op het identificeren van beveiligingsbedreigingen terwijl deze de netwerkinfrastructuur van een organisatie doorkruisen. Dat gezegd hebbende, kan het voor beveiligingsbeslissers gemakkelijker zijn om de voordelen van een NDR-product te begrijpen door een use case-lens op de discussie toe te passen. In de volgende discussie worden een aantal veelvoorkomende beveiligingsgebruiksscenario's beschreven die een NDR-product kan helpen een beveiligingsteam te ontmoeten.

Zijwaartse beweging

Een veel voorkomende uitdaging voor een beveiligingsteam is begrijpen wanneer een aanvaller zich zijdelings door de omgeving beweegt. Wanneer een aanvaller bijvoorbeeld zonder detectie met succes een gebruikersaccount of een eindpunt binnendringt, is de volgende logische stap dat de aanvaller probeert verder de omgeving in te gaan. Stel dat ze in stealth-modus van het ene apparaat naar het andere kunnen gaan. In dat geval ontdekken ze mogelijk waar zich gevoelige informatie in de omgeving bevindt, waardoor hun aanval in het geval van ransomware een grotere impact heeft.

Door zich over het netwerk te verplaatsen, kunnen ze ook een kwetsbare applicatie of dienst identificeren waarmee ze later een ‘achterdeur’ kunnen openen om naar believen opnieuw de omgeving te betreden. Om de persistentie in een omgeving te behouden, zullen veel aanvallers proberen de rechten van een gecompromitteerd gebruikersaccount op te schalen naar beheerdersrechten, waardoor ze carte blanche krijgen bij het aanbrengen van wijzigingen in de omgeving, het mogelijk uitschakelen van bepaalde beveiligingsfuncties, het verwijderen van logs die kunnen broodkruimels achterlaten die beveiligingsteams kunnen gebruiken om hun onderzoek af te ronden. Met een NDR die de netwerkactiviteit in realtime bewaakt, kunnen beveiligingsteams snel verdachte activiteiten tussen netwerkmiddelen en abnormale verkeerspatronen van hun netwerk naar de buitenwereld identificeren. NDR-producten correleren deze abnormale activiteit met gebruikersacties, die kunnen benadrukken wanneer een aanvaller zich vrijelijk over zijn netwerkmiddelen beweegt.

Gecompromitteerde inloggegevens

Een ander dagelijks beveiligingsgebruik waar NDR-producten aan kunnen voldoen, houdt verband met gecompromitteerde inloggegevens. Helaas kan een aanvaller tegenwoordig op veel manieren geldige gebruikersgegevens verkrijgen, van het kopen van deze op het dark web tot het overhalen van een onwetende medewerker om zijn of haar inloggegevens vrijwillig te verstrekken als reactie op een frauduleuze e-mail of via een kwaadwillende website. Zodra de aanvaller de inloggegevens heeft verkregen, wordt het voor de aanvaller gemakkelijk om toegang te krijgen tot de omgeving. Eenmaal binnen de organisatie kan de aanvaller allerlei kwaadaardige activiteiten uitvoeren, zoals het inzetten van slopende ransomware, het verwijderen van bedrijfskritische gegevens of het blootstellen van vertrouwelijke bedrijfsinformatie aan de buitenwereld om grote schade aan te richten. NDR-producten maken de detectie van gecompromitteerde inloggegevens eenvoudiger vanwege de aard van de manier waarop een NDR werkt. Als bijvoorbeeld wordt gedetecteerd dat een in Noord-Amerika gevestigde werknemer inlogt vanuit China. In dat geval zal het NDR-product deze afwijking detecteren en een waarschuwing genereren die een beveiligingsanalist snel kan onderzoeken. Omdat het NDR-product de waarschuwing automatisch contextualiseert, kan de beveiligingsanalist snel vaststellen of deze afwijking een bedreiging is en binnen enkele seconden een geautomatiseerd antwoord initiëren, zoals het beperken van de toegang van de gebruiker tot alle netwerkomgevingen en het forceren van een wachtwoordreset. Ze kunnen er ook voor zorgen dat de toegang van de gebruiker tot cloudgebaseerde applicaties en netwerkmiddelen wordt uitgeschakeld via een integratie met een CASB-product.
Scroll naar boven