NDR kontra EDR: kluczowe różnice
Network Detection and Response (NDR) to coraz bardziej integralna część zestawu narzędzi cyberbezpieczeństwa: oferują one dogłębną widoczność wewnętrznych działań sieci i odkrywają zawartość pakietów przesyłanych między urządzeniami. Endpoint Detection and Response (EDR) z kolei koncentruje się wyłącznie na odkrywaniu poszczególnych procesów zachodzących w każdym z urządzeń końcowych organizacji.
Chociaż opierają się na podobnych mechanizmach analizy i profilowania zagrożeń, ich wdrożenia i przypadki użycia są bardzo różne. W tym artykule omówione zostaną różnice i poruszone zostanie zagadnienie, w jaki sposób EDR i NDR są często wdrażane obok siebie.
Rozwiązania Gartner® Magic Quadrant™ NDR
Zobacz, dlaczego jesteśmy jedynym dostawcą umieszczonym w kwadrancie Challenger...
Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!
Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber umożliwiającą natychmiastowe wykrywanie zagrożeń...
Co to jest NDR?
NDR to narzędzie monitorujące interakcje między urządzeniami w wewnętrznej sieci organizacji. Wdraża czujniki w sieciach organizacji, monitoruje, które urządzenia wchodzą z nimi w interakcje i analizuje dane, które wysyłają do równorzędnych urządzeń i serwerów zewnętrznych.
Może to brzmieć podobnie do zapory sieciowej: podczas gdy zapora sieciowa analizuje ruch przychodzący do sieci lub wychodzący z niej – nazywany ruchem North-South – nie oferuje wglądu w ruch między urządzeniami wewnętrznymi. NDR-y umożliwiają monitorowanie ruchu wewnętrznego sieci lub ruchu East-West: oferują nową głębię widoczności sieci, bez dużych wymagań konfiguracyjnych.
Surowe dane gromadzone przez systemy NDR składają się z następujących elementów:
- Surowe pakiety sieciowe: Przechwycone bezpośrednio z ruchu sieciowego przez porty SPAN, TAP-y lub dedykowane czujniki. Te pakiety oferują pełną widoczność transakcji, w tym nagłówki protokołów i metadane związane z ładunkiem.
- Rekordy przepływu: Formaty metadanych, takie jak NetFlow lub IPFIX, podsumowujące wzorce komunikacji, obejmujące adresy IP źródłowe i docelowe, numery portów, protokoły i liczbę bajtów.
- Metadane ruchu: Dane te pochodzą z analizy pakietów i obejmują czas trwania sesji, częstotliwość komunikacji, wzorce zachowań urządzeń oraz dane z protokołów warstwy aplikacji.
Wszystkie te dane są następnie pobierane do własnego silnika analizy narzędzia NDR i przetwarzane pod kątem oznak złośliwego ruchu. Aby zmaksymalizować szansę na pomyślne wykrycie zagrożenia, NDR stosuje dwie strategie analizy:
Analiza sieci oparta na sygnaturach
Ponieważ każdy indywidualny punkt danych sieciowych jest składany w wykres szeregów czasowych, działania poszczególnych urządzeń można mapować na znane zagrożenia. Wykrywanie oparte na sygnaturach konsoliduje określone zachowania ataków na poziomie sieci w Wskaźniki Kompromisu (IoC), które są przechowywane w bazie danych NDR.
Podpis odnosi się do dowolnego identyfikowalnego atrybutu powiązanego ze znanym cyberatakiem — może to być fragment kodu z konkretnej odmiany złośliwego oprogramowania lub rozpoznawalny temat wiadomości e-mail phishingowej. Narzędzia do wykrywania oparte na sygnaturach skanują aktywność sieciową pod kątem tych znanych wzorców i wyzwalają alerty, gdy zostaną znalezione dopasowania.
Monitorowanie IOC jest z natury reaktywne. Gdy IOC zostanie wykryty, zazwyczaj oznacza to, że naruszenie już nastąpiło. Jeśli jednak złośliwa aktywność nadal trwa, wczesne wykrycie IOC może odegrać kluczową rolę w przerwaniu ataku, umożliwiając szybsze powstrzymanie i zmniejszenie potencjalnych szkód dla organizacji.
Analiza sieci behawioralnych
Oprócz wykrywania opartego na sygnaturach większość NDR oferuje również analizę behawioralną. Pobiera ona wszystkie punkty danych, ale zamiast statycznie porównywać je z zewnętrzną bazą danych ryzyka, wykorzystuje je do zbudowania behawioralnej linii bazowej.
Ta linia bazowa reprezentuje normalną aktywność: zestawia urządzenia i użytkowników z częstotliwością komunikacji, wolumenem danych i wykorzystaniem protokołu. Po zdefiniowaniu tych oczekiwanych wzorców zachowań rozwiązania NDR mogą skutecznie identyfikować odchylenia, które mogą sygnalizować potencjalne zagrożenie. Mogą występować rozbieżności między oczekiwanym a rzeczywistym zachowaniem protokołu oraz nietypowa aktywność aplikacji poza godzinami pracy. NDR można również zintegrować z innymi narzędziami bezpieczeństwa, aby uzyskać jeszcze pełniejszy obraz normalnej aktywności sieciowej organizacji.
Łącznie wykrywanie zagrożeń na podstawie zachowań i sygnatur pozwala NDR nie tylko zapewnić pełną widoczność w kierunkach Wschód-Zachód, ale także wykrywać zagrożenia na poziomie całej sieci.
Co to jest EDR?
- Dane dotyczące wykonania procesu: Szczegóły wszystkich uruchomionych procesów, w tym relacje nadrzędny-podrzędny, argumenty wiersza poleceń i znaczniki czasu wykonania.
- Zmiana systemu plików: Tworzenie, modyfikowanie i usuwanie plików oraz sprawdzanie ich integralności (w tym skrótów plików i źródeł pobierania).
- Modyfikacje rejestru: Zmiany w kluczach rejestru systemu Windows i ustawieniach konfiguracji mających kluczowe znaczenie dla działania systemu.
- Konta użytkowników: Wszystkie konta użytkowników, które się zalogowały, zarówno bezpośrednio, jak i zdalnie
- Konfiguracje systemu: Zainstalowane aplikacje, stany usług i dane dotyczące zgodności z zasadami bezpieczeństwa.
Podobnie jak czujniki NDR, agenci EDR nieustannie przesyłają strumieniowo surowe dane do scentralizowanej platformy, gdzie modele uczenia maszynowego analizują je pod kątem anomalii, takich jak nieautoryzowane łańcuchy procesów, podejrzana komunikacja sieciowa lub zmiany w rejestrze związane ze znanymi technikami ataków.
EDR kontra NDR: różne przypadki użycia
Bezpieczeństwo IoT
Czujniki NDR często bazują na portach SPAN – działają one poprzez tworzenie kopii każdego pakietu przechodzącego przez ich sieć. Kopie te są następnie przesyłane do narzędzi monitorujących NDR: ten proces kopiowania danych wywiadowczych o pakietach, zamiast przesyłania wszystkich oryginalnych pakietów do silnika analizy, zapobiega zakłóceniom w sieci hosta.
Oprócz ochrony wrażliwych sieci, ta konfiguracja umożliwia śledzenie i zabezpieczanie aktywności sieciowych urządzeń Internetu rzeczy (IoT). IoT są często zbyt lekkie i liczne, aby zainstalować na nich agentów, co czyni je obecnie znanym zagrożeniem bezpieczeństwa. Słabe hasła, słabe ustawienia domyślne i poważny brak opcji zarządzania urządzeniami sprawiły, że urządzenia IoT są niezwykle trudne do zabezpieczenia – ale ponieważ narzędzia NDR przechwytują całą komunikację sieciową – zachowanie IoT na linii wschód-zachód można monitorować. Ponadto, ponieważ podejrzany ruch między urządzeniami IoT a ich szerszą siecią można mapować na znane zagrożenia, średni czas reakcji ulega drastycznemu przyspieszeniu.
Ochrona Pracowników Zdalnych
EDR zapewnia ciągłe monitorowanie, wykrywanie zagrożeń i automatyczne możliwości reagowania bezpośrednio w punkcie końcowym. Jest to szczególnie ważne, ponieważ zdalne punkty końcowe nie zawsze mogą być ograniczone do określonych sieci i urządzeń peryferyjnych. Bez tej ochrony pracownicy hybrydowi ryzykują, że staną się wektorami infekcji, gdy podłączą zdalne urządzenia z powrotem do sieci organizacji.
Ponadto, gdy zdarzenie bezpieczeństwa zostanie wykryte na zdalnym urządzeniu, EDR może zainicjować odpowiadający playbook zgodnie z otaczającymi go czynnikami. Jeśli na przykład zostanie znaleziony zestaw wskaźników IoC wskazujących na ransomware, może on odizolować dotknięte urządzenia, zanim się rozprzestrzeni.
Wykrywanie ruchu bocznego
NDR kontra EDR: Różnice w skrócie
|
Funkcja / Możliwość |
NDR |
EDR |
| Strefa zainteresowania |
Monitoruje ruch sieciowy i komunikację. |
Monitoruje poszczególne urządzenia końcowe (np. laptopy, serwery). |
| Źródła danych | Pakiety sieciowe, rekordy przepływu (NetFlow/IPFIX), metadane. | Dzienniki systemowe, aktywność plików, zachowanie procesów, zmiany w rejestrze. |
| Zakres widoczności | Szeroka widoczność w całej sieci. | Głęboka widoczność na poziomie urządzenia. |
| Metody wykrywania zagrożeń | Wykrywanie anomalii, analiza behawioralna, kontrola ruchu szyfrowanego. | Analiza plików, monitorowanie zachowań, wykrywanie na podstawie sygnatur. |
| Przypadków użycia | Ruch boczny, ruch dowódczo-kontrolny, eksfiltracja danych. | Infekcje złośliwego oprogramowania, zagrożenia wewnętrzne, próby wykorzystania luk w zabezpieczeniach. |
| Możliwości reagowania | Alerty i integracje z SIEM/SOAR; ograniczona bezpośrednia remediacja. | Automatyczne ograniczanie zagrożeń (np. zamykanie procesów, izolowanie urządzeń). |
| Scenariusz wdrożenia | Sieci przedsiębiorstw z wieloma podłączonymi urządzeniami. | Praca zdalna, środowiska BYOD, punkty końcowe wysokiego ryzyka. |
| Wymagania dotyczące wdrożenia | Zwykle bezagentowe; wykorzystuje czujniki sieciowe, takie jak tapy i porty SPAN. | Wymaga zainstalowania agentów na każdym monitorowanym urządzeniu końcowym. |
Zintegruj EDR z NDR za pośrednictwem Stellar Cyber
Ponieważ oba narzędzia działają tak dobrze w tandemie, często są wdrażane razem. Zwiększa to znaczenie możliwości integracyjnych każdego z narzędzi, ponieważ informacje uzyskane z każdego z nich mogą znacznie przyspieszyć MTTR. Stellar Cyber ucieleśnia tę wspólną zdolność dzięki OtwarteXDR Produkt – integrując się z dowolnym EDR, przeprowadza głęboką inspekcję pakietów (DPI) wraz z sandboxingiem złośliwego oprogramowania w celu stałego wykrywania i zapobiegania złośliwemu oprogramowaniu typu zero-day.
OtwarteXDR Koreluje alerty na poziomie sieci z alertami generowanymi przez własny zestaw narzędzi bezpieczeństwa organizacji, tworząc dostępne incydenty. Zamiast zapełniać procesy analityków niekończącymi się alertami, Stellar proaktywnie sortuje je i filtruje, tworząc wymagania dotyczące natychmiastowego działania. Dowiedz się, jak OpenXDR może zapewnić Twojemu zespołowi ds. bezpieczeństwa możliwość proaktywnego reagowania z dzisiejszą demonstracją.
