Co to jest NDR?
Przewodnik Gartner Market dotyczący wykrywania i reagowania na sieci (NDR)
W najnowszych raportach firmy Gartner® dotyczących wykrywania i reagowania na sieć (NDR) Gartner zauważa, że środowiska OT i IT...
Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!
Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber do natychmiastowego wykrywania zagrożeń i reagowania. Zaplanuj demo już dziś!
Jak działa NDR
Twoja sieć jest centralnym układem nerwowym całej organizacji. Niezależnie od tego, czy wdrażasz wyłącznie rozwiązania „on-metal” bez obecności w chmurze, czy też korzystasz z rozwiązań „all-in” u dostawcy usług w chmurze, sieć umożliwia niezbędną komunikację między centrami biznesowymi. Historycznie uważano, że wdrożenie zapory ogniowej zapewnia wystarczające bezpieczeństwo sieci. Jednakże dostawcy wprowadzili nowe mechanizmy bezpieczeństwa w celu ochrony sieci i udoskonalenia metod zwalczania ataków. Systemy wykrywania włamań lub zapobiegania włamaniom zwiększyły zdolność zapory ogniowej do zapobiegania skutecznym cyberatakom, biorąc pod uwagę poleganie ataków na znanych sygnaturach sieciowych, gdy napastnicy nawet nieznacznie zmienili swoją taktykę, większość produktów IDS/IPS stała się dla atakujących niczym więcej niż uciążliwością „ radzić sobie z."
![| Gwiezdny Cyber Co to jest NDR? Ostateczny przewodnik – Ewolucja NDR](https://stellarcyber.ai/wp-content/uploads/2023/10/ndr-evolution.jpg.webp)
Ewolucja NDR
Ponieważ dostawcy zabezpieczeń są skłonni postępować w obliczu zmieniających się wyzwań ze strony atakujących, wprowadzono nowy typ produktu, znany jako Analiza ruchu sieciowego (NTA). Jak sugeruje nazwa, produkty NTA analizowałyby zawartość i metryki ruchu pomiędzy zasobami organizacji oraz ruchem do i ze źródeł zewnętrznych. Analityk może zagłębić się w szczegóły nietypowych wzorców, aby określić, czy wymagane są działania naprawcze. Teraz na scenę wkracza NDR. NDR łączy najlepsze funkcje IDS/IPS, NTA i inne funkcje bezpieczeństwa sieci w jednym rozwiązaniu do ochrony sieci. Produkty NDR zapewniają całościowy obraz zagrożeń bezpieczeństwa w sieci. Wykorzystując kombinację znanych sygnatur złośliwych sieci, analiz bezpieczeństwa i analizy zachowań, raporty NDR mogą szybko i skutecznie wykrywać zagrożenia. Mówiąc dokładniej, produkty NDR mogą nie tylko analizować zawartość ruchu sieciowego, ale także identyfikować anomalną aktywność poprzez analizę metadanych ruchu sieciowego (wielkość/kształt ruchu). Ta funkcja jest korzystna w przypadku ruchu zaszyfrowanego, gdzie odszyfrowanie w czasie rzeczywistym przez produkt NDR może być niemożliwe. Typowe produkty NDR zapewniają możliwości wykrywania i reagowania na potencjalne zagrożenie.
Jaka jest rola NDR w cyberbezpieczeństwie
Jak zgodzi się większość specjalistów ds. cyberbezpieczeństwa, większość ataków w taki czy inny sposób dotyka sieci. Ostatnie badania sugerują, że 99% udanych ataków można wykryć w ruchu sieciowym, a wiele z nich można zidentyfikować i złagodzić, zanim osoba atakująca wdroży swoje ładunki. Nowoczesne rozwiązania w zakresie ochrony sieci sprawiają, że ochrona sieci jest znacznie bardziej dostępna dla każdego specjalisty ds. bezpieczeństwa, ponieważ ich możliwości są łatwe w użyciu. W połączeniu ze wzrostem zautomatyzowanych możliwości dostępnych w większości rozwiązań, identyfikacja zagrożeń w sieci jest teraz łatwiejsza niż kiedykolwiek wcześniej. W przypadku większości zespołów ds. bezpieczeństwa nawet te, które nie mają wiedzy o sieciach, mogą to zrobić wdrożyć rozwiązanie NDR w stosie zabezpieczeń i zaczynają identyfikować zagrożenia w miarę przemieszczania się między zasobami sieciowymi oraz do i z sieci przy niewielkiej interwencji człowieka. Włączając raport NDR do stosu zabezpieczeń, zespoły ds. bezpieczeństwa mogą również uzyskać ogromne korzyści strategiczne i taktyczne, które wykraczają poza zwykłą identyfikację zagrożeń w sieci.
Obrona w głębi
Dzielenie się informacjami
Po wykryciu zagrożeń informacje te można łatwo udostępnić na platformie SIEM lub XDR w celu powiązania z innymi zagrożeniami, z których niektóre można uznać za słaby sygnał. Dzięki ciągłemu przepływowi zagrożeń sieciowych, które są obecnie analizowane wraz z innymi danymi istotnymi dla bezpieczeństwa, zespoły ds. bezpieczeństwa zyskają bardziej całościowy obraz zagrożeń w całym środowisku sieciowym. Na przykład napastnicy często przeprowadzają ataki wielowektorowe na swoje cele, na przykład inicjując kampanię e-mailową phishingową skierowaną przeciwko wielu pracownikom, jednocześnie próbując wykorzystać znaną lukę wykrytą gdzieś w sieci. Badane oddzielnie, można je uznać za element ataku ukierunkowanego o niższym priorytecie. Dzięki wdrożeniu NDR w połączeniu z XDR ataki te nie są już badane w izolacji. Zamiast tego można je skorelować i uzupełnić odpowiednimi informacjami kontekstowymi, co znacznie ułatwia ustalenie, czy są ze sobą powiązane. Ten dodatkowy krok, który w większości przypadków może nastąpić automatycznie, oznacza, że analitycy bezpieczeństwa stają się bardziej produktywni i wydajni bez większego wysiłku. Dodatkowe informacje na temat strategicznych korzyści NDR można znaleźć w artykule Przewodnik dla kupujących NDR.
Jak NDR wypada w porównaniu z EDR i XDR?
Wymagania NDR
- Produkty NDR musi zbierać informacje o ruchu sieciowym w czasie rzeczywistym i przechowywać zebrane dane, aby umożliwić automatyczną analizę.
- Produkty NDR muszą być w stanie normalizować i wzbogacać zebrane dane o informacje istotne kontekstowo, aby ułatwić wszechstronną analizę
- Produkty NDR musi także ustalić poziom bazowy regularnego ruchu sieciowego, zwykle przy użyciu algorytmów uczenia maszynowego. Po ustaleniu poziomu bazowego produkt NDR powinien szybko wykrywać przypadki, w których obserwowany ruch sieciowy wykracza poza typowe wzorce ruchu, ostrzegając analityków bezpieczeństwa w czasie rzeczywistym o anomalii.
- Produkty NDR powinno obejmować zarówno zasoby lokalne, jak i zasoby w chmurze.
- Produkty NDR powinien pracować nad agregacją powiązanych alertów w przydatne grupy dochodzeń, ułatwiając analitykom bezpieczeństwa 1) zrozumienie zakresu ataku i 2) podjęcie działań w odpowiedzi
- Produkty NDR musi zapewniać zautomatyzowane środki umożliwiające podjęcie odpowiednich działań w odpowiedzi, gdy zostaną uznane za konieczne ze względu na charakter i zakres ataku
Wymagania EDR
- Produkty EDR musi zapewnić zespołom ds. bezpieczeństwa środki do gromadzenia i analizowania danych z punktów końcowych w czasie rzeczywistym. Zwykle jest to dostarczane za pośrednictwem wdrażalnego agenta dla punktów końcowych, który można łatwo dystrybuować za pomocą wybranego przez organizację narzędzia. Agenci na punktach końcowych powinni być zarządzani centralnie i można je łatwo aktualizować bez konieczności ponownego uruchamiania urządzenia.
- Produkty EDR powinien być w stanie analizować aplikacje i usługi w czasie rzeczywistym, aby wykorzenić potencjalnie złośliwe pliki i usługi. Po wykryciu powinno być możliwe automatyczne poddanie kwarantannie podejrzanych plików i usług.
- Produkty EDR powinien zawierać konfigurowalny silnik reguł korelacji, w ramach którego zespoły ds. bezpieczeństwa mogą albo przesłać zestaw publicznie dostępnych reguł korelacji, albo utworzyć od podstaw własne reguły. Zasady te powinny obejmować możliwość wykrycia zagrożenia i możliwość podjęcia automatycznej reakcji, jeśli zajdzie taka potrzeba.
- Produkty EDR muszą być łatwo zintegrowane z punktu widzenia danych z innym produktem zabezpieczającym, takim jak platforma SIEM lub XDR, aby zebrane dane mogły być analizowane w kontekście innych informacji istotnych dla bezpieczeństwa.
- Produkty EDR powinien obsługiwać wdrożenia na urządzeniach z systemem Microsoft Windows i różnych odmianach urządzeń z systemem Linux.
- Nowoczesne EDR produkty można również wdrażać na niektórych platformach opartych na chmurze i innych aplikacjach dostarczanych w chmurze, takich jak Microsoft Office 365.
Wymagania XDR
Rozszerzone wykrywanie i reagowanie (XDR) produkty to jedna z najnowszych technologii na rynku, zrodzona z potrzeby ułatwienia zespołom ds. bezpieczeństwa zapewniania ciągłych wyników w zakresie bezpieczeństwa w całym przedsiębiorstwie. Produkty XDR muszą posiadać następujące funkcje, aby zapewnić korzyści, jakich oczekuje większość zespołów ds. bezpieczeństwa.
- produkty XDR musi pobierać dane z dowolnego dostępnego źródła danych. Dane te mogą obejmować 1) alerty z wszelkich wdrożonych mechanizmów kontroli bezpieczeństwa, 2) dane dziennika z dowolnej usługi używanej przez organizację, takie jak dzienniki utworzone przez system zarządzania tożsamością organizacji oraz 3) dzienniki i informacje dotyczące aktywności z dowolnej chmury środowisko i aplikacja, takie jak informacje o aktywności zebrane z rozwiązania Cloud Access Security Broker (CASB).
- produkty XDR powinien w idealnym przypadku normalizować wszystkie zebrane dane, aby umożliwić wszechstronną analizę na dużą skalę.
- produkty XDR powinni wykorzystywać uczenie maszynowe i sztuczną inteligencję (AI) do korelowania pozornie odmiennych, niepowiązanych danych o alertach i działaniach z łatwymi do zbadania incydentami/przypadkami bezpieczeństwa.
- produkty XDR powinien automatycznie umieszczać w kontekście wszystkich zebranych danych ważne informacje, ułatwiając analitykom bezpieczeństwa szybkie zakończenie dochodzeń.
- produkty XDR powinien kierować wysiłkami analityków bezpieczeństwa, ustalając priorytety podejrzanych incydentów bezpieczeństwa według ich potencjalnego wpływu na organizację.
- produkty XDR powinien zapewniać zdolność do automatycznego reagowania, którą można zainicjować bez interwencji człowieka, w zależności od powagi/skutku potencjalnego zagrożenia.
Podsumowując, zarówno produkty NDR, jak i EDR stanowią ostatecznie wkład w platformę XDR, która umożliwia analitykom bezpieczeństwa przeprowadzanie dochodzeń w sprawie cyberbezpieczeństwa szybciej i skuteczniej niż kiedykolwiek.
Typowe przypadki użycia NDR
Ruch boczny
Poruszając się po sieci, mogą również zidentyfikować podatną na ataki aplikację lub usługę, która umożliwi im późniejsze otwarcie „tylnych drzwi” i ponowne wejście do środowiska w dowolnym momencie. Co więcej, aby zachować trwałość środowiska, wielu atakujących będzie próbowało eskalować uprawnienia konta użytkownika, które zostało zaatakowane, do uprawnień administratora, dając im wolną rękę w zakresie wprowadzania zmian w środowisku, potencjalnego wyłączania niektórych funkcji zabezpieczeń, usuwania dzienników, które może pozostawić okruszki, które zespoły bezpieczeństwa będą mogły wykorzystać do dokończenia dochodzeń. Dzięki raportowi NDR monitorującemu aktywność sieciową w czasie rzeczywistym zespoły ds. bezpieczeństwa mogą szybko zidentyfikować podejrzaną aktywność między zasobami sieciowymi oraz nieprawidłowe wzorce ruchu z ich sieci do świata zewnętrznego. Produkty NDR korelują to nietypowe działanie z działaniami użytkownika, które mogą uwypuklić, kiedy osoba atakująca swobodnie porusza się po zasobach sieciowych.