Kluczowe funkcje, które należy wziąć pod uwagę przy wyborze rozwiązania NDR
Gartner XDR Przewodnik po rynku
XDR jest rozwijającą się technologią, która może zapewnić ujednolicone możliwości zapobiegania zagrożeniom, ich wykrywania i reagowania...
Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!
Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber umożliwiającą natychmiastowe wykrywanie zagrożeń...
Dlaczego potrzebujesz rozwiązania NDR?
Bezpieczeństwo sieci niezmiennie stanowiło jedną z najtrudniejszych do opanowania dziedzin. Nawet stosunkowo złożone układy sieciowe byłyby łatwe do zabezpieczenia za pomocą prostej zapory sieciowej, gdyby nie fakt, że wiele dzisiejszych usług jest zdecentralizowanych. Przy tak wielu urządzeniach poza tradycyjnym obwodem, potencjał podatności jest wyższy niż kiedykolwiek wcześniej. I nie chodzi tylko o usługi, które są oderwane od Twoich własnych zabezpieczeń: pracownicy są zawsze zależni od sieci bezprzewodowych, które są bardziej podatne na podsłuchy i nieautoryzowany dostęp. Nieodłączna natura komunikacji bezprzewodowej oznacza, że zabezpieczenie tych sieci wymaga stałej czujności i zaawansowanych protokołów bezpieczeństwa.
Oprócz zmieniającego się krajobrazu sieciowego, istnieje również stale ewoluujące zagrożenie ze strony cyberprzestępców nastawionych na zysk, z którym trzeba się zmierzyć. Wyrafinowane techniki są coraz częściej spotykane w środowisku naturalnym, podczas gdy sponsorowane przez państwo ataki kwitną w dzisiejszych napięciach geopolitycznych. Te zagrożenia często wykorzystują legalne narzędzia sieciowe i konfiguracje, które utrzymują łączność rzeczywistych pracowników, co utrudnia ich wykrycie i obronę.
Dlatego organizacje muszą mieć oko na ruch przepływający przez ich stosy technologiczne. Oto rozwiązanie NDR: te narzędzia stale śledzą aktywność sieciową zachodzącą pod maską dzięki sztucznej inteligencji, co pozwala wykrywać i reagować na niepokojące wydarzenia znacznie szybciej. Dowiedz się więcej czym jest NDR.
Jakie są kluczowe cechy NDR?
Dogłębna inspekcja pakietów
Aktywność sieciowa przybiera różne formy, ale na poziomie aplikacji najważniejsze są pakiety. Dane przesyłane przez sieć są dzielone na łatwiejsze do zarządzania części, zwane pakietami. Podobnie jak list, każdy pakiet zawiera adres, na który jest wysyłany, a także faktyczną przesyłaną wiadomość – lub dane. Tradycyjna inspekcja pakietów sprawdzała tylko część nagłówka danych, która zawierała jedynie informacje o odbiorcy i nadawcy. Niestety nawet proste fałszowanie certyfikatów pozwala atakującym obejść tę obronę, co oznacza, że w dzisiejszych czasach głęboka inspekcja pakietów stanowi minimalny standard bezpiecznych funkcji NDR.
Głęboka inspekcja pakietów opiera się na centralnym punkcie połączenia i kranie sieciowym: zapewnia to pełny dostęp do informacji o pakietach. Możliwość zobaczenia nie tylko nagłówka pakietu, ale także jego zawartości i protokołu zapewnia znacznie głębszy wgląd w to, co jest wysyłane w Twojej sieci. Wiedza o tym, jaka aplikacja, użytkownik i urządzenie przesyła które pakiety danych, pozwala na szybsze zrozumienie i optymalizację sieci.
Jednak DPI ma kilka kluczowych wad. Napastnicy już o tym wiedzą. Na przykład DPI wymaga dużej mocy obliczeniowej, ponieważ dokładnie sprawdza segment danych każdego pakietu. Jak na ironię, DPI jest w rzeczywistości mniej przydatne w sieciach o dużej przepustowości, ponieważ po prostu nie może sprawdzić wszystkich pakietów sieciowych.
Organizacje coraz częściej sięgają po szyfrowanie jako sposób na zabezpieczenie komunikacji sieciowej i interakcji cyfrowych. Niestety, napastnicy też. DPI ma trudności z zebraniem dużej ilości informacji z zaszyfrowanych danych sieciowych, co oznacza, że nie będzie w stanie przechwycić zaszyfrowanej komunikacji między trojanem ransomware a jego serwerem C2.
Aby temu zaradzić, Twoje narzędzie NDR musi mieć w swoim zestawie znacznie więcej niż DPI.
Analiza metadanych
Analiza metadanych (MA) odchodzi od hiperspecyficznego podejścia DPI pakiet po pakiecie i zamiast tego przechwytuje pełny zakres atrybutów dotyczących komunikacji sieciowej, aplikacji i aktorów – bez wnikania w cały ładunek każdego pakietu. W ten sposób NDR może osiągnąć większość swoich najlepszych wyników Przypadki użycia NDR.
Dla każdej sesji przechodzącej przez sieć rejestrowane są kompleksowe metadane; metadane te obejmują także szereg krytycznych atrybutów, które pozwalają w porę zidentyfikować cyberatak. Na najbardziej podstawowym poziomie obejmuje to adresy IP hosta i serwera, numery portów i szczegóły geolokalizacji każdego połączenia. Metadane oferują jednak o wiele więcej informacji: dzienniki DNS i DHCP pomagają mapować urządzenia na adresy IP, a dalsze szczegóły dostępu do stron internetowych mogą pomóc w uzyskaniu wyraźniejszego obrazu szybkości połączeń. Dzienniki kontrolera domeny pomagają połączyć użytkownika z systemami, do których może mieć dostęp. Problem DPI w szyfrowaniu zostaje udaremniony dzięki obecności metadanych nawet na zaszyfrowanych stronach internetowych: od rodzaju szyfrowania, szyfru, skrótu; do w pełni kwalifikowanych nazw domen klienta i serwera; oraz skróty różnych obiektów, takich jak JavaScript i obrazy, wszystkie te dane sieciowe można przenieść do nowoczesnych raportów NDR.
Analiza metadanych zapewnia wgląd w całą sieć, dzięki czemu MA jest optymalna dla sieci niezabezpieczonych przez DPI. Mianowicie sieci o dużej przepustowości, które są bardziej rozproszone. Jednocześnie należy pamiętać, że szyfrowanie nie ma wpływu na MA: pozwala to wykrywać i zapobiegać zaawansowanym cyberatakom ukrywającym się za procesami szyfrowania ruchu. Skupienie się na informacjach sieciowych pochodzących z wielu źródeł jest znacznie lepiej dostosowane do współczesnych, wielofunkcyjnych i ściśle zintegrowanych stosów zabezpieczeń.
Analiza behawioralna
Omówiliśmy, jakie dane należy gromadzić i dlaczego, ale nie omówiliśmy, w jaki sposób są one wykorzystywane do lepszego zabezpieczenia sieci. W przeszłości próby ochrony sieci skupiały się na dopasowywaniu informacji o pakietach do sygnatur występujących w znanych atakach złośliwego oprogramowania. Choć lepsze to niż nic, takie podejście pozostawia sieci szeroko otwarte na nowatorskie ataki. Dzisiejsze ataki nie pozostawiają miejsca na błędy – jak udowodnił niedawny atak oprogramowania ransomware o wartości 22 milionów dolarów na Change Healthcare, a kolejne mają dopiero nadejść.
Analiza behawioralna jest odpowiedzią branży na współczesne, coraz bardziej nowatorskie i rozproszone ataki. Algorytmy uczenia maszynowego umożliwiają pogrupowanie wszystkich metadanych i informacji o pakietach w szersze wzorce zachowań. Osiąga się to na dwa różne sposoby: techniki uczenia się pod nadzorem i bez nadzoru. Nadzorowane uczenie maszynowe wskazuje podstawowe zachowania wspólne dla różnych wariantów zagrożeń (takie jak fakt, że nowo wdrożone złośliwe oprogramowanie zwykle dociera do serwera C2), umożliwiając spójne wykrywanie w różnych scenariuszach. Z drugiej strony, nienadzorowane algorytmy uczenia maszynowego przeglądają dane przedsiębiorstwa na znacznie szerszą skalę, wykonując miliardy obliczeń opartych na prawdopodobieństwie na podstawie zaobserwowanych danych. Algorytmy te nie opierają się na wcześniejszej wiedzy o zagrożeniach, ale niezależnie kategoryzują dane i identyfikują istotne wzorce.
Zasadniczo algorytmy nienadzorowane pozwalają narzędziom NDR ustalić punkt odniesienia dla tego, co jest normalne dla Twojej sieci. Następnie umożliwiają SOC Zespół musi wychwycić wszelkie nietypowe połączenia, które nagle się pojawiają: mogą one wskazywać na atak na łańcuch dostaw, jeśli nagle pojawią się z jednego źródła; lub, jeśli do urządzenia zewnętrznego wysyłana jest większa niż przeciętna ilość danych, może to świadczyć o złośliwym lub zainfekowanym użytkowniku. Zarówno modele uczenia nadzorowanego, jak i nienadzorowanego są ważne, ponieważ łącznie obejmują pełen zakres analizy behawioralnej, której potrzebują Twoje sieci.
Analiza zagrożeń
Integracja z źródłami informacji o zagrożeniach umożliwia systemowi NDR porównywanie aktywności sieciowej ze znanymi zagrożeniami, złośliwymi adresami IP i wskaźnikami zagrożenia (IoC). Pomaga to rozwiązaniu NDR identyfikować i wykrywać zagrożenia zaobserwowane i udokumentowane przez szerszą społeczność zajmującą się bezpieczeństwem. W połączeniu z rozwiązaniami NDR źródła informacji o zagrożeniach pełnią rolę szybkich i dokładnych dostawców kontekstu. Wykracza to daleko poza podstawowe sygnatury złośliwego oprogramowania z przeszłości i obejmuje wiodące na rynku źródła informacji wywiadowczych o zagrożeniach, w tym taktykę, techniki i procedury najnowszych ataków, a także ich skutki.
Te informacje kontekstowe pomagają rozwiązaniom NDR lepiej zrozumieć naturę każdej wykrytej anomalii i podejmować bardziej świadome decyzje dotyczące odpowiedniej reakcji. To wsparcie dla analityków można pogłębić poprzez dalszą integrację z frameworkiem MITRE ATT&CK, a także dodatkowe wsparcie w postaci narzędzi, które już zapewniają bezpieczeństwo pozostałej części Twojej organizacji.
Integracja stosu technologii bezpieczeństwa
Nie ograniczałbyś analityka bezpieczeństwa do jednej platformy – tak jak zewnętrzne źródła informacji wywiadowczych dostarczają kontekstu na temat zagrożeń, tak Twój szerszy zestaw technologii może zapewnić spersonalizowany obraz Twojego własnego krajobrazu. Gdy NDR integruje się z Endpoint Detection and Response (EDR) oraz Security Information and Event Management (SIEM) narzędzia, którymi już dysponujesz, Twoje zespoły będą w stanie działać na tym samym wielopłaszczyznowym poziomie co atakujący.
Weźmy model MITRE ATT&CK: choć opracowany specjalnie w celu identyfikacji taktyk, technik i procedur (TTP), MITRE ATT&CK charakteryzuje się znacznym nastawieniem na taktykę punktu końcowego. Dzięki temu EDR przeżyło fazę znacznych inwestycji w różnych branżach. Jest to całkowicie zrozumiałe: dopasowanie narzędzi do wiodących w branży frameworków jest krokiem we właściwym kierunku. Mimo to ważne jest, aby zwracać uwagę na realia wykorzystywania luk w zabezpieczeniach. Kiedy kampania ataków dobiega końca, wiele krytycznych technik jest w rzeczywistości łatwiejszych do wykrycia z perspektywy sieci. W tym samym czasie, co atak na późnym etapie, minuty mijają z niewiarygodną szybkością – zmniejszając znaczenie działań sieciowych, niektóre organizacje w rzeczywistości osłabiają swój potencjał reagowania na zagrożenia w najbardziej krytycznym momencie. Analizowanie i korelowanie danych z punktów końcowych i źródeł sieciowych zapewnia analitykom pełne spektrum widoczności.
Zautomatyzuj wykrywanie i reagowanie sieci za pomocą Stellar Cyber
Kiedy NDR wykryje podejrzaną lub złośliwą aktywność w sieci, dane te muszą zostać przekazane zespołowi ds. bezpieczeństwa z maksymalną przejrzystością i wydajnością. W krytycznych zdarzeniach związanych z bezpieczeństwem liczy się każda sekunda. Tradycyjnie alerty sieciowe byłyby wysyłane na te same listy alertów, co wszystko inne, co prowadziło do wielokilometrowych zaległości, które pochłaniały coraz więcej cennego czasu z ograniczonych godzin pracy analityków bezpieczeństwa. Współczesne raporty NDR zdają sobie sprawę, że niekończące się strumienie alertów na swój sposób niszczą bezpieczeństwo organizacji: zamiast tego mają na celu zestawienie poszczególnych problemów w szersze, kontekstowe alerty.
Łącząc się z szerszym zestawem narzędzi obronnych, zautomatyzowane rozwiązanie NDR może przejąć część intensywnych prac, które obecnie spowalniają zespoły ds. bezpieczeństwa. Zautomatyzowana, ręczna segregacja jest nadal szokująco liniowa i powolna. Chociaż zatem wieloaspektowa reakcja może wynieść wykrywanie zagrożeń na nowy poziom, słabym ogniwem pozostaje fakt, że analitycy mogą przetwarzać tylko określoną ilość informacji jednocześnie. Enter, algorytmy.
To coraz bardziej całościowe podejście do bezpieczeństwa stanowi podstawę rozszerzonego wykrywania i reagowania. Zamiast wyposażać analityków w coraz większą liczbę narzędzi, pulpitów nawigacyjnych i alertów, nowa faza cyberbezpieczeństwa ma na celu wykorzystanie szerokich obszarów informacji, które są już na wyciągnięcie ręki, dzięki automatyzacji.
Gwiezdny Cyber Open XDR Platforma wykorzystuje możliwości izolowanego NDR i łączy je z EDR oraz algorytmami automatyzacji. W ten sposób bezpieczeństwo to coś więcej niż tylko powierzchowna analiza każdego wyizolowanego obszaru Twojego stosu technologicznego: alert z jednego urządzenia można porównać i zestawić z powiązaną z nim aktywnością sieciową. Więcej informacji nie tylko pomaga analitykowi bezpieczeństwa w kompleksowym zrozumieniu charakteru i potencjalnego wpływu wykrytego zagrożenia, ale także poleganie na zaawansowanej analityce pozwala, aby każdy aspekt wpływał na poziom ważności alertu.
Dzięki wstępnemu przygotowaniu alertu z uwzględnieniem jego krytyczności, Stellar Cyber XDR Narzędzia pozwalają szybko i łatwo określić potencjalny wpływ i prawdopodobieństwo wykorzystania luk w zabezpieczeniach. Ta automatyzacja jest kluczowa nie tylko do obsługi ogromnych ilości danych sieciowych, ale także do identyfikacji anomalii i problemów, które rzeczywiście wymagają rozwiązania. Przeanalizuj ponownie relacje swojej organizacji z alertami sieciowymi już dziś i… zobacz, jak Stellar pomaga zespołom ds. bezpieczeństwa uzyskać szybsze niż kiedykolwiek wcześniej czasy rozwiązywania problemów.
