Wat is NDR?
Gartner-marktgids voor netwerkdetectie en respons (NDR)
In recente Gartner®-rapporten over Network Detection and Response (NDR) merkt Gartner op dat OT- en IT-omgevingen...
Ervaar AI-aangedreven beveiliging in actie!
Ontdek de geavanceerde AI van Stellar Cyber voor onmiddellijke detectie en reactie op bedreigingen. Plan vandaag nog uw demo!
Hoe werkt NDR
Uw netwerk is het centrale zenuwstelsel van uw gehele organisatie. Of u nu uitsluitend ‘on-metal’ wordt ingezet, zonder aanwezigheid in de cloud, of ‘All-In’ bent gegaan bij een cloudprovider, het netwerk maakt essentiële communicatie mogelijk van het ene zakencentrum naar het andere. Historisch gezien werd gedacht dat het inzetten van een firewall voldoende beveiliging voor een netwerk bood. Leveranciers hebben echter nieuwe beveiligingsmaatregelen geïntroduceerd om het netwerk te beschermen en de vooruitgang in aanvalsmethoden tegen te gaan. Inbraakdetectie- of inbraakpreventiesystemen vergrootten het vermogen van de firewall om succesvolle cyberaanvallen te voorkomen. Gezien de afhankelijkheid van bekende netwerksignaturen van aanvallen, werden de meeste IDS/IPS-producten, wanneer aanvallers hun tactieken ook maar enigszins aanpasten, weinig meer dan hinderlijk voor aanvallers. leef ermee."
![| Stellaire cyber Wat is NDR? De definitieve gids - De evolutie van NDR](https://stellarcyber.ai/wp-content/uploads/2023/10/ndr-evolution.jpg.webp)
De evolutie van NDR
Zoals beveiligingsaanbieders vaak doen wanneer ze worden geconfronteerd met de zich ontwikkelende uitdagingen van aanvallers, werd een nieuw producttype geïntroduceerd, bekend als Netwerkverkeersanalyse (NTA). Zoals de naam al doet vermoeden, zouden NTA-producten de inhoud en statistieken van het verkeer tussen de activa van organisaties en het verkeer van en naar externe bronnen analyseren. Een analist zou zich kunnen verdiepen in de details van ongebruikelijke patronen om te bepalen of corrigerende maatregelen nodig zijn. Nu komt NDR in beeld. NDR combineert de beste IDS/IPS-, NTA- en andere netwerkbeveiligingsmogelijkheden in één enkele oplossing om een netwerk te beschermen. NDR-producten bieden een holistisch beeld van beveiligingsbedreigingen in uw netwerk. Door gebruik te maken van een combinatie van bekende kwaadaardige netwerkhandtekeningen, beveiligingsanalyses en gedragsanalyses kunnen NDR's snel en met hoge efficiëntie bedreigingen detecteren. Om specifieker te zijn: NDR-producten kunnen niet alleen de inhoud van netwerkverkeer analyseren, maar ook afwijkende activiteiten identificeren door de metagegevens van het netwerkverkeer te analyseren (grootte/vorm van het verkeer). Deze mogelijkheid is voordelig bij het omgaan met gecodeerd verkeer, waarbij het voor het NDR-product mogelijk onmogelijk is om in realtime te decoderen. Typische NDR-producten bieden detectiemogelijkheden en de mogelijkheid om op een potentiële bedreiging te reageren.
Wat is de rol van NDR in cyberbeveiliging
Zoals de meeste cybersecurityprofessionals het erover eens zijn, raken de meeste aanvallen het netwerk op de een of andere manier. Uit recente onderzoeken blijkt dat 99% van de succesvolle aanvallen in het netwerkverkeer kunnen worden gedetecteerd. Veel daarvan kunnen worden geïdentificeerd en verholpen voordat de aanvaller zijn payloads inzet. Moderne netwerkbeveiligingsoplossingen maken het beveiligen van netwerken veel toegankelijker voor elke beveiligingsprofessional, omdat de mogelijkheden ervan eenvoudig te gebruiken zijn. Gecombineerd met de toename van de geautomatiseerde mogelijkheden die in de meeste oplossingen zijn opgenomen, is het identificeren van bedreigingen binnen een netwerk nu meer ‘hands-off’ dan ooit tevoren. Voor de meeste beveiligingsteams geldt dat zelfs voor degenen die geen netwerkexpertise hebben een NDR-oplossing implementeren in hun beveiligingsstack en beginnen bedreigingen te identificeren terwijl ze zich tussen netwerkmiddelen en in en uit het netwerk verplaatsen, met weinig menselijke tussenkomst. Door een NDR in een beveiligingsstack op te nemen, kunnen beveiligingsteams ook enorme strategische en tactische voordelen zien die verder gaan dan het simpelweg identificeren van bedreigingen op het netwerk.
Verdediging in de diepte
Het delen van informatie
Zodra de bedreigingen zijn gedetecteerd, kan die informatie eenvoudig worden gedeeld op een SIEM- of XDR-platform om te correleren met andere bedreigingen, waarvan sommige als een zwak signaal kunnen worden beschouwd. Nu er een constante stroom netwerkbedreigingen wordt geanalyseerd met andere voor de beveiliging relevante gegevens, zullen beveiligingsteams profiteren van een meer holistische kijk op bedreigingen in hun gehele netwerkomgeving. Het is bijvoorbeeld gebruikelijk dat aanvallers multi-vectoraanvallen op hun doelwitten inzetten, zoals het starten van een phishing-e-mailcampagne tegen meerdere werknemers, terwijl ze tegelijkertijd proberen misbruik te maken van een bekende kwetsbaarheid die ergens in het netwerk is ontdekt. Wanneer ze afzonderlijk worden onderzocht, kunnen ze als een lagere prioriteit worden beschouwd dan wanneer ze worden beschouwd als onderdeel van een gerichte aanval. Nu NDR is geïnstalleerd, in combinatie met een XDR, worden deze aanvallen niet langer afzonderlijk onderzocht. In plaats daarvan kunnen ze worden gecorreleerd en aangevuld met relevante contextuele informatie, waardoor het veel gemakkelijker wordt om te bepalen of ze met elkaar verband houden. Deze extra stap, die in de meeste gevallen automatisch kan plaatsvinden, betekent dat beveiligingsanalisten productiever en efficiënter worden zonder dat ze meer moeite hoeven te doen. Voor aanvullende informatie over de strategische voordelen van NDR kunt u de NDR-kopersgids.
Hoe verhoudt NDR zich tot EDR en XDR?
NDR-vereisten
- NDR-producten moet netwerkverkeersinformatie in realtime verzamelen en de verzamelde gegevens opslaan om geautomatiseerde analyse mogelijk te maken.
- NDR-producten moet de verzamelde gegevens kunnen normaliseren en verrijken met contextueel relevante informatie om uitgebreide analyses mogelijk te maken
- NDR-producten moet ook een basislijn van regulier netwerkverkeer vaststellen, meestal met behulp van machine learning-algoritmen. Zodra de basislijn is vastgesteld, moet het NDR-product snel gevallen aan het licht brengen wanneer het waargenomen netwerkverkeer buiten de typische verkeerspatronen valt, waardoor beveiligingsanalisten in realtime op de hoogte worden gesteld van de afwijking.
- NDR-producten moet zowel on-premise als cloud-activa omvatten.
- NDR-producten zou eraan moeten werken om gerelateerde waarschuwingen samen te voegen tot bruikbare onderzoeksbuckets, waardoor het voor beveiligingsanalisten gemakkelijk wordt om 1) de omvang van een aanval te begrijpen en 2) reactieacties te ondernemen
- NDR-producten moet een geautomatiseerd middel bieden om passende reactieacties te ondernemen wanneer deze vanwege de aard en omvang van een aanval noodzakelijk worden geacht
EDR-vereisten
- EDR-producten moeten beveiligingsteams de middelen bieden om eindpuntgegevens in realtime te verzamelen en te analyseren. Meestal wordt dit geleverd via een inzetbare eindpuntagent die eenvoudig kan worden gedistribueerd via de tool van de organisatie naar keuze. Deze eindpuntagenten moeten centraal worden beheerd en eenvoudig worden bijgewerkt zonder dat het apparaat opnieuw hoeft te worden opgestart.
- EDR-producten moeten applicaties en services in realtime kunnen analyseren om potentieel kwaadaardige bestanden en services uit te roeien. Wanneer ontdekt, zou het mogelijk moeten zijn om de verdachte bestanden en services automatisch in quarantaine te plaatsen.
- EDR-producten zou een aanpasbare engine voor correlatieregels moeten bevatten waarmee beveiligingsteams een reeks openbaar beschikbare correlatieregels kunnen uploaden of hun eigen regels helemaal opnieuw kunnen maken. Deze regels moeten de mogelijkheid omvatten om een bedreiging te detecteren en een manier om indien nodig geautomatiseerd te reageren.
- EDR-producten moet vanuit dataperspectief eenvoudig worden geïntegreerd in een ander beveiligingsproduct, zoals een SIEM- of XDR-platform, zodat de rijke verzamelde gegevens kunnen worden geanalyseerd binnen de context van andere beveiligingsrelevante informatie.
- EDR-producten zou implementaties op Microsoft Windows-apparaten en verschillende smaken Linux-apparaten moeten ondersteunen.
- Moderne EDR producten kunnen ook worden ingezet op bepaalde cloudgebaseerde platforms en andere door de cloud geleverde applicaties zoals Microsoft Office 365.
XDR-vereisten
Uitgebreide detectie en respons (XDR) producten zijn een van de nieuwste technologieën op de markt, ontstaan uit de behoefte om het voor gestroomlijnde beveiligingsteams gemakkelijker te maken om continue beveiligingsresultaten in hun hele onderneming te leveren. XDR-producten moeten de volgende mogelijkheden bieden om de voordelen te bieden die de meeste beveiligingsteams verwachten.
- XDR-producten moet gegevens opnemen uit elke beschikbare gegevensbron. Deze gegevens kunnen bestaan uit 1) waarschuwingen van elke geïmplementeerde beveiligingscontrole, 2) loggegevens van elke dienst die door een organisatie wordt gebruikt, zoals de logs die zijn gemaakt door het identiteitsbeheersysteem van de organisatie, en 3) log- en activiteitsgerelateerde informatie uit elke cloud omgeving en applicatie, zoals activiteitsinformatie verzameld via een Cloud Access Security Broker (CASB)-oplossing.
- XDR-producten zou idealiter alle verzamelde gegevens moeten normaliseren om uitgebreide analyse op schaal mogelijk te maken.
- XDR-producten moeten machine learning en kunstmatige intelligentie (AI) gebruiken om ogenschijnlijk uiteenlopende, niet-gerelateerde waarschuwings- en activiteitsgegevens te correleren tot gemakkelijk te onderzoeken veiligheidsincidenten/-gevallen.
- XDR-producten zou alle verzamelde gegevens automatisch moeten contextualiseren met belangrijke informatie, waardoor het voor beveiligingsanalisten gemakkelijk wordt om onderzoeken snel af te ronden.
- XDR-producten moet de inspanningen van beveiligingsanalisten sturen door vermoedelijke beveiligingsincidenten prioriteit te geven op basis van hun potentiële impact op de organisatie.
- XDR-producten moet een geautomatiseerd reactievermogen bieden dat kan worden geïnitieerd zonder menselijke tussenkomst op basis van de ernst/impact van een potentiële dreiging.
Samenvattend vormen zowel NDR- als EDR-producten uiteindelijk input voor een XDR-platform waarmee beveiligingsanalisten cyberbeveiligingsonderzoeken sneller en effectiever dan ooit kunnen voltooien.
Veelvoorkomende NDR-gebruiksscenario's
Zijwaartse beweging
Door zich over het netwerk te verplaatsen, kunnen ze ook een kwetsbare applicatie of dienst identificeren waarmee ze later een ‘achterdeur’ kunnen openen om naar believen opnieuw de omgeving te betreden. Om de persistentie in een omgeving te behouden, zullen veel aanvallers proberen de rechten van een gecompromitteerd gebruikersaccount op te schalen naar beheerdersrechten, waardoor ze carte blanche krijgen bij het aanbrengen van wijzigingen in de omgeving, het mogelijk uitschakelen van bepaalde beveiligingsfuncties, het verwijderen van logs die kunnen broodkruimels achterlaten die beveiligingsteams kunnen gebruiken om hun onderzoek af te ronden. Met een NDR die de netwerkactiviteit in realtime bewaakt, kunnen beveiligingsteams snel verdachte activiteiten tussen netwerkmiddelen en abnormale verkeerspatronen van hun netwerk naar de buitenwereld identificeren. NDR-producten correleren deze abnormale activiteit met gebruikersacties, die kunnen benadrukken wanneer een aanvaller zich vrijelijk over zijn netwerkmiddelen beweegt.