Belangrijkste kenmerken waarmee u rekening moet houden bij het kiezen van een NDR-oplossing

Weten wat er in het hele netwerk van uw organisatie gebeurt, is van cruciaal belang om de veiligheid van gebruikers, apparaten en servers te garanderen. In dit artikel wordt besproken hoe op AI gebaseerde Network Detection and Response (NDR)-technologie zichzelf profileert als de toekomst van netwerkbeveiliging – en welke specifieke functies het prijskaartje het meest waard blijken te zijn.

Waarom heeft u een NDR-oplossing nodig?

Netwerkbeveiliging is consequent een van de moeilijkste grenzen gebleken om grip op te krijgen. Zelfs relatief complexe netwerkindelingen zouden gemakkelijk te beveiligen zijn met een eenvoudige firewall, ware het niet dat veel diensten tegenwoordig gedecentraliseerd zijn. Met zoveel apparaten buiten de traditionele perimeter is de kans op kwetsbaarheden groter dan ooit tevoren. En het zijn niet alleen diensten die buiten uw eigen verdedigingsmechanismen worden gehouden: werknemers zijn steeds afhankelijker van draadloze netwerken die gevoeliger zijn voor afluisteren en ongeoorloofde toegang. De inherente aard van draadloze communicatie betekent dat het beveiligen van deze netwerken constante waakzaamheid en geavanceerde beveiligingsprotocollen vereist.

Naast een veranderend netwerklandschap is er ook de steeds evoluerende dreiging van op winst gerichte cybercriminelen. Geavanceerde technieken worden steeds vaker in het wild waargenomen, terwijl door de staat gesponsorde aanvallen floreren onder de huidige geopolitieke spanningen. Deze bedreigingen maken vaak misbruik van de legitieme netwerktools en -configuraties die daadwerkelijke werknemers verbonden houden, waardoor ze moeilijker te detecteren en zich ertegen te verdedigen zijn.

Daarom moeten organisaties het verkeer dat door hun tech-stacks stroomt in de gaten houden. Maak kennis met de NDR-oplossing: deze tools houden voortdurend de netwerkactiviteit onder de motorkap bij met AI, waardoor u veel sneller relevante ontwikkelingen kunt detecteren en erop kunt reageren. Leren over wat NDR is.

Wat zijn de belangrijkste kenmerken van NDR?

Gezien het cruciale belang van NDR bij het veilig houden van de communicatie tussen apparaten, is het van cruciaal belang dat uw favoriete tool over een reeks functies beschikt die zelfs in de moeilijk bereikbare hoeken van uw netwerken licht werpt. Weten welke belangrijk zijn, vereist echter een dieper inzicht in hoe NDR uw verdediging in stand houdt.

Deep Packet Inspection

Netwerkactiviteit neemt vele vormen aan, maar op applicatieniveau zijn pakketten koning. Wanneer gegevens via een netwerk worden verzonden, worden deze opgesplitst in beter beheersbare delen, pakketten genoemd. Net als een brief bevat elk pakket het adres waarnaar het wordt verzonden, evenals het daadwerkelijke bericht (of de gegevens) die worden verzonden. Traditionele pakketinspectie onderzocht alleen het headergedeelte van deze gegevens, dat alleen informatie over de bestemming en de afzender bevatte. Helaas kunnen aanvallers zelfs met eenvoudige spoofing van certificaten deze verdediging omzeilen – wat betekent dat tegenwoordig diepe pakketinspectie een minimumstandaard is voor veilige NDR-functies.

Diepe pakketinspectie is afhankelijk van een centraal verbindingspunt en een netwerktap: dit geeft volledige toegang tot pakketinformatie. Doordat u niet alleen de pakketheader kunt zien, maar ook de inhoud en het protocol dat daarbij hoort, krijgt u een veel diepere mate van inzicht in wat er via uw netwerk wordt verzonden. Weten welke applicatie, gebruiker en apparaat welke datapakketten overdraagt, biedt een manier om het netwerkbegrip en de optimalisatie te versnellen.

DPI heeft echter een aantal belangrijke nadelen. Aanvallers zijn zich hiervan al bewust. DPI vereist bijvoorbeeld veel verwerkingskracht, omdat het het datasegment van elk pakket grondig inspecteert. Ironisch genoeg is DPI daarom eigenlijk minder nuttig op netwerken met hoge bandbreedte, omdat het gewoon niet alle netwerkpakketten kan inspecteren.

Organisaties maken steeds vaker gebruik van encryptie als middel om hun netwerkcommunicatie en digitale interacties te beveiligen. Helaas zijn aanvallers dat ook. DPI heeft moeite om veel informatie uit gecodeerde netwerkgegevens te halen, wat betekent dat ze niet in staat zouden zijn om gecodeerde communicatie tussen een ransomware-trojan en zijn C2-server te onderscheppen.

Om dit tegen te gaan, moet uw NDR-tool veel meer dan DPI in de toolkit hebben.

Metadata-analyse

Metadata-analyse (MA) doet een stapje terug ten opzichte van de hyperspecifieke pakket-voor-pakket-aanpak van DPI, maar legt in plaats daarvan het volledige scala aan kenmerken vast van netwerkcommunicatie, applicaties en actoren – zonder in te zoomen op de volledige payload van elk pakket. Dit is hoe NDR het grootste deel van zijn beste kan bereiken NDR-gebruiksscenario's.

Voor elke sessie die het netwerk doorkruist, worden uitgebreide metadata vastgelegd; deze metadata strekt zich uit tot het vastleggen van een verscheidenheid aan kritische kenmerken die een cyberaanval just-in-time kunnen identificeren. Op het meest basale niveau omvat dit de host- en server-IP-adressen, poortnummers en geolocatiegegevens van elke verbinding. Maar metadata bieden een grotere schat aan informatie dan alleen dat: DNS- en DHCP-logboeken helpen apparaten aan IP-adressen toe te wijzen, terwijl verdere details over de toegang tot webpagina's een duidelijker beeld kunnen geven van de verbindingen die zich ontwikkelen. Domeincontrollerlogboeken helpen de gebruiker te koppelen aan de systemen waartoe hij mogelijk toegang heeft. Het DPI-probleem van encryptie wordt verijdeld dankzij de aanwezigheid van metadata, zelfs op gecodeerde webpagina's: van het type encryptie, cijfer, hash; op de volledig gekwalificeerde domeinnamen van de client en server; en de hashes van verschillende objecten zoals JavaScript en afbeeldingen, kunnen al deze netwerkgegevens naar moderne NDR's worden gesluisd.

Metadata-analyse biedt inzicht in een heel netwerk, waardoor MA optimaal is voor de netwerken die niet door DPI zijn beveiligd. Namelijk netwerken met hoge bandbreedte die meer gedistribueerd zijn. Houd er tegelijkertijd rekening mee dat MA niet word