Co to jest NDR?
Obecnie decydenci zajmujący się bezpieczeństwem stoją przed niezliczonymi wyborami, jeśli chodzi o budowanie nowoczesnego stosu zabezpieczeń. Jedną z często pomijanych kontroli bezpieczeństwa jest wykrywanie i reagowanie sieci (NDR). Rozwiązania NDR w zakresie cyberbezpieczeństwa nie są nowością. Jednak ze względu na postrzeganą złożoność wdrażania, konserwacji i użytkowania wielu właścicieli zabezpieczeń obniża priorytet tej technologii w swoim stosie zabezpieczeń, zakładając, że inne produkty zabezpieczające związane z siecią mogą uchronić ich sieci przed zagrożeniami. W tym przewodniku przedstawiono kompleksową definicję NDR jako nowoczesnego rozwiązania w zakresie cyberbezpieczeństwa i jego znaczenie w zwalczaniu cyberataków.
Przewodnik Gartner Market dotyczący wykrywania i reagowania na sieci (NDR)
W najnowszych raportach firmy Gartner® dotyczących wykrywania i reagowania na sieć (NDR) Gartner zauważa, że środowiska OT i IT...
Poznaj bezpieczeństwo oparte na sztucznej inteligencji w akcji!
Odkryj najnowocześniejszą sztuczną inteligencję Stellar Cyber do natychmiastowego wykrywania zagrożeń i reagowania. Zaplanuj demo już dziś!
Jak działa NDR
Technologie wykrywania i reagowania sieci mają na celu identyfikację zagrożeń w infrastrukturze sieciowej i umożliwienie analitykom bezpieczeństwa szybkiego podejmowania zdecydowanych działań w celu ograniczenia ryzyka szkodliwego naruszenia. W przeciwieństwie do innych technologii sieciowych, które wymagają od użytkowników pół-ekspertów w dziedzinie sieci, analitycy bezpieczeństwa posiadający zróżnicowaną wiedzę specjalistyczną mogą z łatwością korzystać z produktów NDR. Aby lepiej zrozumieć jak Funkcje NDR zapewniają bezpieczeństwo sieci, musimy najpierw rozpakować sposób ich wdrożenia i działania.
Twoja sieć jest centralnym układem nerwowym całej organizacji. Niezależnie od tego, czy wdrażasz wyłącznie rozwiązania „on-metal” bez obecności w chmurze, czy też korzystasz z rozwiązań „all-in” u dostawcy usług w chmurze, sieć umożliwia niezbędną komunikację między centrami biznesowymi. Historycznie uważano, że wdrożenie zapory ogniowej zapewnia wystarczające bezpieczeństwo sieci. Jednakże dostawcy wprowadzili nowe mechanizmy bezpieczeństwa w celu ochrony sieci i udoskonalenia metod zwalczania ataków. Systemy wykrywania włamań lub zapobiegania włamaniom zwiększyły zdolność zapory ogniowej do zapobiegania skutecznym cyberatakom, biorąc pod uwagę poleganie ataków na znanych sygnaturach sieciowych, gdy napastnicy nawet nieznacznie zmienili swoją taktykę, większość produktów IDS/IPS stała się dla atakujących niczym więcej niż uciążliwością „ radzić sobie z."
Twoja sieć jest centralnym układem nerwowym całej organizacji. Niezależnie od tego, czy wdrażasz wyłącznie rozwiązania „on-metal” bez obecności w chmurze, czy też korzystasz z rozwiązań „all-in” u dostawcy usług w chmurze, sieć umożliwia niezbędną komunikację między centrami biznesowymi. Historycznie uważano, że wdrożenie zapory ogniowej zapewnia wystarczające bezpieczeństwo sieci. Jednakże dostawcy wprowadzili nowe mechanizmy bezpieczeństwa w celu ochrony sieci i udoskonalenia metod zwalczania ataków. Systemy wykrywania włamań lub zapobiegania włamaniom zwiększyły zdolność zapory ogniowej do zapobiegania skutecznym cyberatakom, biorąc pod uwagę poleganie ataków na znanych sygnaturach sieciowych, gdy napastnicy nawet nieznacznie zmienili swoją taktykę, większość produktów IDS/IPS stała się dla atakujących niczym więcej niż uciążliwością „ radzić sobie z."
Ewolucja NDR
Ponieważ dostawcy zabezpieczeń są skłonni postępować w obliczu zmieniających się wyzwań ze strony atakujących, wprowadzono nowy typ produktu, znany jako Analiza ruchu sieciowego (NTA). Jak sugeruje nazwa, produkty NTA analizowałyby zawartość i metryki ruchu pomiędzy zasobami organizacji oraz ruchem do i ze źródeł zewnętrznych. Analityk może zagłębić się w szczegóły nietypowych wzorców, aby określić, czy wymagane są działania naprawcze. Teraz na scenę wkracza NDR. NDR łączy najlepsze funkcje IDS/IPS, NTA i inne funkcje bezpieczeństwa sieci w jednym rozwiązaniu do ochrony sieci. Produkty NDR zapewniają całościowy obraz zagrożeń bezpieczeństwa w sieci. Wykorzystując kombinację znanych sygnatur złośliwych sieci, analiz bezpieczeństwa i analizy zachowań, raporty NDR mogą szybko i skutecznie wykrywać zagrożenia. Mówiąc dokładniej, produkty NDR mogą nie tylko analizować zawartość ruchu sieciowego, ale także identyfikować anomalną aktywność poprzez analizę metadanych ruchu sieciowego (wielkość/kształt ruchu). Ta funkcja jest korzystna w przypadku ruchu zaszyfrowanego, gdzie odszyfrowanie w czasie rzeczywistym przez produkt NDR może być niemożliwe. Typowe produkty NDR zapewniają możliwości wykrywania i reagowania na potencjalne zagrożenie.
Jaka jest rola NDR w cyberbezpieczeństwie
Współcześni napastnicy szukają wszelkich słabych punktów w środowisku organizacji, które mogą wykorzystać. Chociaż punkty końcowe są popularną powierzchnią ataku dla większości atakujących, coraz częściej szukają oni sposobów na maskowanie swoich cyberzagrożeń w zwykłym ruchu sieciowym. Podejście to zyskuje na popularności ze względu na postrzeganą złożoność związaną z monitorowaniem, analizowaniem i wykrywaniem zagrożeń przemieszczających się przez sieć. W nie tak odległej przeszłości identyfikacja zagrożeń w ruchu sieciowym wymagała zasobów posiadających duże doświadczenie w konfigurowaniu, utrzymywaniu i monitorowaniu ruchu sieciowego. Jednak obecnie krajobraz cyberbezpieczeństwa jest zupełnie inny, dzięki czemu ochrona sieci jest znacznie bardziej dostępna dla wszystkich specjalistów ds. bezpieczeństwa, a nie tylko tych, którzy są ekspertami w dziedzinie sieci.
Jak zgodzi się większość specjalistów ds. cyberbezpieczeństwa, większość ataków w taki czy inny sposób dotyka sieci. Ostatnie badania sugerują, że 99% udanych ataków można wykryć w ruchu sieciowym, a wiele z nich można zidentyfikować i złagodzić, zanim osoba atakująca wdroży swoje ładunki. Nowoczesne rozwiązania w zakresie ochrony sieci sprawiają, że ochrona sieci jest znacznie bardziej dostępna dla każdego specjalisty ds. bezpieczeństwa, ponieważ ich możliwości są łatwe w użyciu. W połączeniu ze wzrostem zautomatyzowanych możliwości dostępnych w większości rozwiązań, identyfikacja zagrożeń w sieci jest teraz łatwiejsza niż kiedykolwiek wcześniej. W przypadku większości zespołów ds. bezpieczeństwa nawet te, które nie mają wiedzy o sieciach, mogą to zrobić wdrożyć rozwiązanie NDR w stosie zabezpieczeń i zaczynają identyfikować zagrożenia w miarę przemieszczania się między zasobami sieciowymi oraz do i z sieci przy niewielkiej interwencji człowieka. Włączając raport NDR do stosu zabezpieczeń, zespoły ds. bezpieczeństwa mogą również uzyskać ogromne korzyści strategiczne i taktyczne, które wykraczają poza zwykłą identyfikację zagrożeń w sieci.
Jak zgodzi się większość specjalistów ds. cyberbezpieczeństwa, większość ataków w taki czy inny sposób dotyka sieci. Ostatnie badania sugerują, że 99% udanych ataków można wykryć w ruchu sieciowym, a wiele z nich można zidentyfikować i złagodzić, zanim osoba atakująca wdroży swoje ładunki. Nowoczesne rozwiązania w zakresie ochrony sieci sprawiają, że ochrona sieci jest znacznie bardziej dostępna dla każdego specjalisty ds. bezpieczeństwa, ponieważ ich możliwości są łatwe w użyciu. W połączeniu ze wzrostem zautomatyzowanych możliwości dostępnych w większości rozwiązań, identyfikacja zagrożeń w sieci jest teraz łatwiejsza niż kiedykolwiek wcześniej. W przypadku większości zespołów ds. bezpieczeństwa nawet te, które nie mają wiedzy o sieciach, mogą to zrobić wdrożyć rozwiązanie NDR w stosie zabezpieczeń i zaczynają identyfikować zagrożenia w miarę przemieszczania się między zasobami sieciowymi oraz do i z sieci przy niewielkiej interwencji człowieka. Włączając raport NDR do stosu zabezpieczeń, zespoły ds. bezpieczeństwa mogą również uzyskać ogromne korzyści strategiczne i taktyczne, które wykraczają poza zwykłą identyfikację zagrożeń w sieci.
Obrona w głębi
Po pierwsze, włączając NDR do swojego stosu zabezpieczeń, postępujesz zgodnie z najlepszymi praktykami podejścia do bezpieczeństwa „dogłębnej obrony”. Chociaż platformy ochrony punktów końcowych oraz rozwiązania do wykrywania i reagowania na punkty końcowe są przeznaczone na przykład do identyfikowania zagrożeń na punktach końcowych, zazwyczaj są one ślepe na zagrożenia przemieszczające się w sieci. Podobnie produkty zapobiegające utracie danych bardzo dobrze identyfikują moment przeniesienia ważnych danych z danej lokalizacji. Jednak nie są one zbyt dobre w wychwytywaniu krytycznych informacji przechodzących przez sieć, zwłaszcza jeśli są zaciemnione w zwykłym ruchu sieciowym. W tej sytuacji produkty zabezpieczające NDR mogą potencjalnie zwiększyć zdolność zespołu ds. bezpieczeństwa do zmniejszenia ryzyka skutecznego cyberataku. Podobnie jak inne wymienione produkty służą do wykrywania zagrożeń w konkretnym zasobie lub typie danych, NDR koncentruje się wyłącznie na zrozumieniu ruchu sieciowego w sposób, w jaki żaden inny produkt zabezpieczający nie jest w stanie tego zrobić. Umożliwiając szybką analizę ruchu sieciowego w czasie rzeczywistym, produkty zabezpieczające NDR mogą wykrywać potencjalne zagrożenia w ruchu sieciowym, które mogły pozostać niezauważone.
Dzielenie się informacjami
Po wykryciu zagrożeń informacje te można łatwo udostępnić na platformie SIEM lub XDR w celu powiązania z innymi zagrożeniami, z których niektóre można uznać za słaby sygnał. Dzięki ciągłemu przepływowi zagrożeń sieciowych, które są obecnie analizowane wraz z innymi danymi istotnymi dla bezpieczeństwa, zespoły ds. bezpieczeństwa zyskają bardziej całościowy obraz zagrożeń w całym środowisku sieciowym. Na przykład napastnicy często przeprowadzają ataki wielowektorowe na swoje cele, na przykład inicjując kampanię e-mailową phishingową skierowaną przeciwko wielu pracownikom, jednocześnie próbując wykorzystać znaną lukę wykrytą gdzieś w sieci. Badane oddzielnie, można je uznać za element ataku ukierunkowanego o niższym priorytecie. Dzięki wdrożeniu NDR w połączeniu z XDR ataki te nie są już badane w izolacji. Zamiast tego można je skorelować i uzupełnić odpowiednimi informacjami kontekstowymi, co znacznie ułatwia ustalenie, czy są ze sobą powiązane. Ten dodatkowy krok, który w większości przypadków może nastąpić automatycznie, oznacza, że analitycy bezpieczeństwa stają się bardziej produktywni i wydajni bez większego wysiłku. Dodatkowe informacje na temat strategicznych korzyści NDR można znaleźć w artykule Przewodnik dla kupujących NDR.
Jak NDR wypada w porównaniu z EDR i XDR?
Przy tak dużej liczbie produktów i usług związanych z cyberbezpieczeństwem rzekomo zapewniających podobne korzyści niektórym decydentom w dziedzinie bezpieczeństwa może być trudno zdecydować, które produkty wdrożyć, aby uzyskać dodatkowe korzyści. NDR nie jest odporny na to zamieszanie, dlatego aby pomóc decydentom zrozumieć podobieństwa i różnice między standardowymi mechanizmami kontroli bezpieczeństwa, poniżej przedstawiono różnice między NDR, EDR i XDR.
Wymagania NDR
Po pierwsze, aby ustalić podstawowe zrozumienie istoty tego przewodnika, NDR, oto standardowe możliwości rozwiązania NDR:
- Produkty NDR musi zbierać informacje o ruchu sieciowym w czasie rzeczywistym i przechowywać zebrane dane, aby umożliwić automatyczną analizę.
- Produkty NDR muszą być w stanie normalizować i wzbogacać zebrane dane o informacje istotne kontekstowo, aby ułatwić wszechstronną analizę
- Produkty NDR musi także ustalić poziom bazowy regularnego ruchu sieciowego, zwykle przy użyciu algorytmów uczenia maszynowego. Po ustaleniu poziomu bazowego produkt NDR powinien szybko wykrywać przypadki, w których obserwowany ruch sieciowy wykracza poza typowe wzorce ruchu, ostrzegając analityków bezpieczeństwa w czasie rzeczywistym o anomalii.
- Produkty NDR powinno obejmować zarówno zasoby lokalne, jak i zasoby w chmurze.
- Produkty NDR powinien pracować nad agregacją powiązanych alertów w przydatne grupy dochodzeń, ułatwiając analitykom bezpieczeństwa 1) zrozumienie zakresu ataku i 2) podjęcie działań w odpowiedzi
- Produkty NDR musi zapewniać zautomatyzowane środki umożliwiające podjęcie odpowiednich działań w odpowiedzi, gdy zostaną uznane za konieczne ze względu na charakter i zakres ataku
Wymagania EDR
Produkty do wykrywania i reagowania na punkty końcowe (EDR) muszą zapewniać następujące możliwości, aby zapewnić niezbędną ochronę obszaru, na którym się skupiają, czyli urządzeń końcowych:
- Produkty EDR musi zapewnić zespołom ds. bezpieczeństwa środki do gromadzenia i analizowania danych z punktów końcowych w czasie rzeczywistym. Zwykle jest to dostarczane za pośrednictwem wdrażalnego agenta dla punktów końcowych, który można łatwo dystrybuować za pomocą wybranego przez organizację narzędzia. Agenci na punktach końcowych powinni być zarządzani centralnie i można je łatwo aktualizować bez konieczności ponownego uruchamiania urządzenia.
- Produkty EDR powinien być w stanie analizować aplikacje i usługi w czasie rzeczywistym, aby wykorzenić potencjalnie złośliwe pliki i usługi. Po wykryciu powinno być możliwe automatyczne poddanie kwarantannie podejrzanych plików i usług.
- Produkty EDR powinien zawierać konfigurowalny silnik reguł korelacji, w ramach którego zespoły ds. bezpieczeństwa mogą albo przesłać zestaw publicznie dostępnych reguł korelacji, albo utworzyć od podstaw własne reguły. Zasady te powinny obejmować możliwość wykrycia zagrożenia i możliwość podjęcia automatycznej reakcji, jeśli zajdzie taka potrzeba.
- Produkty EDR muszą być łatwo zintegrowane z punktu widzenia danych z innym produktem zabezpieczającym, takim jak platforma SIEM lub XDR, aby zebrane dane mogły być analizowane w kontekście innych informacji istotnych dla bezpieczeństwa.
- Produkty EDR powinien obsługiwać wdrożenia na urządzeniach z systemem Microsoft Windows i różnych odmianach urządzeń z systemem Linux.
- Nowoczesne EDR produkty można również wdrażać na niektórych platformach opartych na chmurze i innych aplikacjach dostarczanych w chmurze, takich jak Microsoft Office 365.
Wymagania XDR
Rozszerzone wykrywanie i reagowanie (XDR) produkty to jedna z najnowszych technologii na rynku, zrodzona z potrzeby ułatwienia zespołom ds. bezpieczeństwa zapewniania ciągłych wyników w zakresie bezpieczeństwa w całym przedsiębiorstwie. Produkty XDR muszą posiadać następujące funkcje, aby zapewnić korzyści, jakich oczekuje większość zespołów ds. bezpieczeństwa.
- produkty XDR musi pobierać dane z dowolnego dostępnego źródła danych. Dane te mogą obejmować 1) alerty z wszelkich wdrożonych mechanizmów kontroli bezpieczeństwa, 2) dane dziennika z dowolnej usługi używanej przez organizację, takie jak dzienniki utworzone przez system zarządzania tożsamością organizacji oraz 3) dzienniki i informacje dotyczące aktywności z dowolnej chmury środowisko i aplikacja, takie jak informacje o aktywności zebrane z rozwiązania Cloud Access Security Broker (CASB).
- produkty XDR powinien w idealnym przypadku normalizować wszystkie zebrane dane, aby umożliwić wszechstronną analizę na dużą skalę.
- produkty XDR powinni wykorzystywać uczenie maszynowe i sztuczną inteligencję (AI) do korelowania pozornie odmiennych, niepowiązanych danych o alertach i działaniach z łatwymi do zbadania incydentami/przypadkami bezpieczeństwa.
- produkty XDR powinien automatycznie umieszczać w kontekście wszystkich zebranych danych ważne informacje, ułatwiając analitykom bezpieczeństwa szybkie zakończenie dochodzeń.
- produkty XDR powinien kierować wysiłkami analityków bezpieczeństwa, ustalając priorytety podejrzanych incydentów bezpieczeństwa według ich potencjalnego wpływu na organizację.
- produkty XDR powinien zapewniać zdolność do automatycznego reagowania, którą można zainicjować bez interwencji człowieka, w zależności od powagi/skutku potencjalnego zagrożenia.
Podsumowując, zarówno produkty NDR, jak i EDR stanowią ostatecznie wkład w platformę XDR, która umożliwia analitykom bezpieczeństwa przeprowadzanie dochodzeń w sprawie cyberbezpieczeństwa szybciej i skuteczniej niż kiedykolwiek.
Typowe przypadki użycia NDR
Powinno być oczywiste, że produkty NDR koncentrują się na identyfikowaniu zagrożeń bezpieczeństwa, które przechodzą przez infrastrukturę sieciową organizacji. To powiedziawszy, decydenci zajmujący się bezpieczeństwem mogą łatwiej zrozumieć korzyści, jakie zapewnia produkt NDR, stosując w dyskusji perspektywę użycia. W poniższej dyskusji przedstawiono kilka typowych przypadków użycia zabezpieczeń, w których produkt NDR może pomóc zespołowi ds. bezpieczeństwa.
Ruch boczny
Częstym wyzwaniem dla zespołu ds. bezpieczeństwa jest zrozumienie, kiedy atakujący porusza się w poprzek jego otoczenia. Na przykład, jeśli osoba atakująca pomyślnie złamie konto użytkownika lub punkt końcowy bez wykrycia, kolejnym logicznym krokiem dla osoby atakującej będzie próba dalszego wejścia w środowisko. Załóżmy, że mogą przenosić się z jednego urządzenia na drugie w trybie ukrytym. W takim przypadku mogą odkryć, gdzie w środowisku znajdują się wrażliwe informacje, co w przypadku oprogramowania ransomware może zwiększyć skuteczność ataku.
Poruszając się po sieci, mogą również zidentyfikować podatną na ataki aplikację lub usługę, która umożliwi im późniejsze otwarcie „tylnych drzwi” i ponowne wejście do środowiska w dowolnym momencie. Co więcej, aby zachować trwałość środowiska, wielu atakujących będzie próbowało eskalować uprawnienia konta użytkownika, które zostało zaatakowane, do uprawnień administratora, dając im wolną rękę w zakresie wprowadzania zmian w środowisku, potencjalnego wyłączania niektórych funkcji zabezpieczeń, usuwania dzienników, które może pozostawić okruszki, które zespoły bezpieczeństwa będą mogły wykorzystać do dokończenia dochodzeń. Dzięki raportowi NDR monitorującemu aktywność sieciową w czasie rzeczywistym zespoły ds. bezpieczeństwa mogą szybko zidentyfikować podejrzaną aktywność między zasobami sieciowymi oraz nieprawidłowe wzorce ruchu z ich sieci do świata zewnętrznego. Produkty NDR korelują to nietypowe działanie z działaniami użytkownika, które mogą uwypuklić, kiedy osoba atakująca swobodnie porusza się po zasobach sieciowych.
Poruszając się po sieci, mogą również zidentyfikować podatną na ataki aplikację lub usługę, która umożliwi im późniejsze otwarcie „tylnych drzwi” i ponowne wejście do środowiska w dowolnym momencie. Co więcej, aby zachować trwałość środowiska, wielu atakujących będzie próbowało eskalować uprawnienia konta użytkownika, które zostało zaatakowane, do uprawnień administratora, dając im wolną rękę w zakresie wprowadzania zmian w środowisku, potencjalnego wyłączania niektórych funkcji zabezpieczeń, usuwania dzienników, które może pozostawić okruszki, które zespoły bezpieczeństwa będą mogły wykorzystać do dokończenia dochodzeń. Dzięki raportowi NDR monitorującemu aktywność sieciową w czasie rzeczywistym zespoły ds. bezpieczeństwa mogą szybko zidentyfikować podejrzaną aktywność między zasobami sieciowymi oraz nieprawidłowe wzorce ruchu z ich sieci do świata zewnętrznego. Produkty NDR korelują to nietypowe działanie z działaniami użytkownika, które mogą uwypuklić, kiedy osoba atakująca swobodnie porusza się po zasobach sieciowych.
Przejęte poświadczenia
Inny przypadek codziennego użycia zabezpieczeń, z jakim mogą się spotkać produkty NDR, wiąże się z naruszeniem poświadczeń. Niestety, obecnie osoba atakująca może uzyskać prawidłowe dane uwierzytelniające użytkownika na wiele sposobów, od zakupu ich w ciemnej sieci po nakłonienie nieświadomego pracownika do dobrowolnego podania swoich danych uwierzytelniających w odpowiedzi na fałszywy e-mail lub za pośrednictwem złośliwej witryny internetowej. Gdy osoba atakująca uzyska poświadczenia, uzyskanie dostępu do środowiska stanie się dla niego łatwe. Po wejściu do organizacji osoba atakująca może przeprowadzić dowolną liczbę złośliwych działań, takich jak wdrożenie wyniszczającego oprogramowania ransomware, usunięcie danych o znaczeniu krytycznym lub ujawnienie poufnych informacji firmy światu zewnętrznemu, powodując spustoszenie. Produkty NDR ułatwiają wykrywanie naruszonych danych uwierzytelniających ze względu na charakter działania NDR. Na przykład, jeśli wykryto, że pracownik z Ameryki Północnej loguje się z Chin. W takim przypadku produkt NDR wykryje tę anomalię i wygeneruje alert, który będzie mógł szybko zbadać analityk bezpieczeństwa. Ponieważ produkt NDR automatycznie dopasuje ostrzeżenie do kontekstu, analityk bezpieczeństwa może szybko określić, czy ta anomalia stanowi zagrożenie i w ciągu kilku sekund zainicjować automatyczną reakcję, na przykład ograniczając dostęp użytkownika do wszystkich środowisk sieciowych i wymuszając zresetowanie hasła. Mogą również zapewnić wyłączenie dostępu użytkownika do wszelkich aplikacji opartych na chmurze i zasobów sieciowych poprzez integrację z produktem CASB.