NDR คืออะไร?
คู่มือตลาด Gartner สำหรับการตรวจจับและตอบสนองเครือข่าย (NDR)
ในรายงานล่าสุดของ Gartner® เกี่ยวกับ Network Detection and Response (NDR) Gartner ตั้งข้อสังเกตว่าสภาพแวดล้อม OT และ IT...
สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!
ค้นพบ AI อันล้ำสมัยของ Stellar Cyber เพื่อการตรวจจับและตอบสนองภัยคุกคามในทันที กำหนดเวลาการสาธิตของคุณวันนี้!
NDR ทำงานอย่างไร
เครือข่ายของคุณคือระบบประสาทส่วนกลางของทั้งองค์กร ไม่ว่าคุณจะใช้งานแบบ "on-metal" โดยไม่มีการแสดงตนบนคลาวด์ หรือใช้งาน "All-In" บนผู้ให้บริการคลาวด์ เครือข่ายจะช่วยให้เกิดการสื่อสารที่สำคัญจากศูนย์ธุรกิจแห่งหนึ่งไปยังอีกศูนย์ธุรกิจหนึ่งได้ ในอดีต การนำไฟร์วอลล์มาใช้นั้นถือเป็นการรักษาความปลอดภัยที่เพียงพอสำหรับเครือข่าย อย่างไรก็ตาม ผู้จำหน่ายได้แนะนำการควบคุมความปลอดภัยใหม่เพื่อปกป้องเครือข่ายและต่อสู้กับความก้าวหน้าของวิธีการโจมตี ระบบตรวจจับการบุกรุกหรือป้องกันการบุกรุกเพิ่มความสามารถของไฟร์วอลล์เพื่อป้องกันการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ โดยอาศัยลายเซ็นการโจมตีเครือข่ายที่รู้จัก เมื่อผู้โจมตีปรับเปลี่ยนกลยุทธ์แม้เพียงเล็กน้อย ผลิตภัณฑ์ IDS/IPS ส่วนใหญ่ก็กลายเป็นสิ่งน่ารำคาญสำหรับผู้โจมตีไปเล็กน้อย “ จัดการกับ."
![| สตาร์ไซเบอร์ NDR คืออะไร? คู่มือขั้นสุดท้าย - วิวัฒนาการของ NDR](https://stellarcyber.ai/wp-content/uploads/2023/10/ndr-evolution.jpg.webp)
วิวัฒนาการของ NDR
เนื่องจากผู้ให้บริการด้านความปลอดภัยมักจะทำเมื่อเผชิญกับความท้าทายของผู้โจมตีที่เปลี่ยนแปลงตลอดเวลา ผลิตภัณฑ์ประเภทใหม่จึงถูกนำมาใช้ที่เรียกว่า การวิเคราะห์ปริมาณการใช้เครือข่าย (NTA). ตามชื่อที่แนะนำ ผลิตภัณฑ์ NTA จะวิเคราะห์เนื้อหาและตัวชี้วัดการรับส่งข้อมูลระหว่างทรัพย์สินขององค์กรและการรับส่งข้อมูลไปยังและจากแหล่งภายนอก นักวิเคราะห์สามารถเจาะลึกรายละเอียดของรูปแบบที่ไม่ธรรมดาเพื่อพิจารณาว่าจำเป็นต้องดำเนินการแก้ไขหรือไม่ ตอนนี้ NDR เข้าสู่ภาพ NDR รวม IDS/IPS, NTA และความสามารถด้านความปลอดภัยเครือข่ายอื่นๆ ที่ดีที่สุดไว้ในโซลูชันเดียวเพื่อปกป้องเครือข่าย ผลิตภัณฑ์ NDR มุ่งหวังที่จะนำเสนอมุมมองที่ครอบคลุมของภัยคุกคามความปลอดภัยทั่วทั้งเครือข่ายของคุณ การใช้การผสมผสานระหว่างลายเซ็นเครือข่ายที่เป็นอันตราย การวิเคราะห์ความปลอดภัย และการวิเคราะห์พฤติกรรม ทำให้ NDR สามารถตรวจจับภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพสูง เพื่อให้เจาะจงยิ่งขึ้น ผลิตภัณฑ์ NDR ไม่เพียงแต่สามารถวิเคราะห์เนื้อหาของการรับส่งข้อมูลเครือข่ายเท่านั้น แต่ยังระบุกิจกรรมที่ผิดปกติด้วยการวิเคราะห์ข้อมูลเมตาของการรับส่งข้อมูลเครือข่าย (ขนาด/รูปร่างของการรับส่งข้อมูล) ความสามารถนี้มีข้อได้เปรียบเมื่อต้องรับมือกับการรับส่งข้อมูลที่เข้ารหัส ซึ่งอาจเป็นไปไม่ได้ที่ผลิตภัณฑ์ NDR จะถอดรหัสแบบเรียลไทม์ ผลิตภัณฑ์ NDR ทั่วไปมีความสามารถในการตรวจจับและความสามารถในการตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้น
บทบาทของ NDR ในระบบรักษาความปลอดภัยทางไซเบอร์คืออะไร
ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ส่วนใหญ่เห็นด้วย การโจมตีส่วนใหญ่จะสัมผัสกับเครือข่ายไม่ทางใดก็ทางหนึ่ง การศึกษาล่าสุดชี้ให้เห็นว่า 99% ของการโจมตีที่ประสบความสำเร็จสามารถตรวจพบได้ในการรับส่งข้อมูลเครือข่าย ซึ่งสามารถระบุและบรรเทาผลกระทบได้หลายอย่างก่อนที่ผู้โจมตีจะปรับใช้เพย์โหลด โซลูชันการป้องกันเครือข่ายสมัยใหม่ทำให้การปกป้องเครือข่ายเข้าถึงได้ง่ายขึ้นสำหรับผู้เชี่ยวชาญด้านความปลอดภัยโดยทำให้ความสามารถต่างๆ ใช้งานง่าย เมื่อประกอบกับความสามารถอัตโนมัติที่เพิ่มขึ้นซึ่งรวมอยู่ในโซลูชันส่วนใหญ่ การระบุภัยคุกคามในเครือข่ายจึง "ถูกส่งต่อ" มากขึ้นกว่าที่เคย สำหรับทีมรักษาความปลอดภัยส่วนใหญ่ แม้แต่ผู้ที่ขาดความเชี่ยวชาญด้านเครือข่ายก็สามารถทำได้ ปรับใช้โซลูชัน NDR ในกลุ่มการรักษาความปลอดภัย และเริ่มระบุภัยคุกคามในขณะที่เคลื่อนย้ายระหว่างสินทรัพย์เครือข่าย และเข้าและออกจากเครือข่ายโดยอาศัยการแทรกแซงของมนุษย์เพียงเล็กน้อย ด้วยการรวม NDR ไว้ในกลุ่มการรักษาความปลอดภัย ทีมรักษาความปลอดภัยยังสามารถเห็นประโยชน์เชิงกลยุทธ์และยุทธวิธีมหาศาลที่เกินกว่าการระบุภัยคุกคามบนเครือข่าย
การป้องกันในเชิงลึก
การแบ่งปันข้อมูล
เมื่อตรวจพบภัยคุกคามแล้ว ข้อมูลนั้นจะถูกแชร์ไปยังแพลตฟอร์ม SIEM หรือ XDR ได้อย่างง่ายดายเพื่อให้สัมพันธ์กับภัยคุกคามอื่นๆ ซึ่งบางส่วนอาจถือว่าเป็นสัญญาณที่อ่อนแอ ด้วยการวิเคราะห์ภัยคุกคามเครือข่ายอย่างต่อเนื่องกับข้อมูลที่เกี่ยวข้องกับความปลอดภัยอื่นๆ ทีมรักษาความปลอดภัยจะได้รับประโยชน์จากมุมมองแบบองค์รวมมากขึ้นเกี่ยวกับภัยคุกคามในสภาพแวดล้อมเครือข่ายทั้งหมดของพวกเขา ตัวอย่างเช่น เป็นเรื่องปกติที่ผู้โจมตีจะใช้การโจมตีหลายเวกเตอร์กับเป้าหมายของพวกเขา เช่น การเริ่มแคมเปญอีเมลฟิชชิ่งต่อพนักงานหลายคน ในขณะเดียวกันก็มองหาช่องโหว่ที่ทราบซึ่งค้นพบในเครือข่าย เมื่อตรวจสอบแยกกัน อาจถือว่ามีลำดับความสำคัญต่ำกว่าเมื่อพิจารณาว่าเป็นส่วนหนึ่งของการโจมตีแบบกำหนดเป้าหมาย เมื่อใช้ NDR ร่วมกับ XDR การโจมตีเหล่านี้จะไม่ถูกตรวจสอบแยกกันอีกต่อไป แต่สามารถเชื่อมโยงและเพิ่มข้อมูลตามบริบทที่เกี่ยวข้องได้ ทำให้การพิจารณาว่าเกี่ยวข้องกันได้ง่ายขึ้นมาก ขั้นตอนเพิ่มเติมนี้ ซึ่งในกรณีส่วนใหญ่สามารถเกิดขึ้นได้โดยอัตโนมัติ หมายความว่านักวิเคราะห์ความปลอดภัยจะมีประสิทธิผลและประสิทธิผลมากขึ้นโดยไม่ต้องใช้ความพยายามมากขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับผลประโยชน์เชิงกลยุทธ์ของ NDR โปรดดูที่ คู่มือผู้ซื้อ NDR.
NDR เปรียบเทียบกับ EDR และ XDR อย่างไร
ข้อกำหนด NDR
- ผลิตภัณฑ์เอ็นดีอาร์ ต้องรวบรวมข้อมูลการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์และจัดเก็บข้อมูลที่รวบรวมเพื่อให้สามารถวิเคราะห์อัตโนมัติได้
- ผลิตภัณฑ์เอ็นดีอาร์ จะต้องสามารถทำให้เป็นมาตรฐานและเพิ่มข้อมูลที่รวบรวมด้วยข้อมูลที่เกี่ยวข้องตามบริบทเพื่ออำนวยความสะดวกในการวิเคราะห์ที่ครอบคลุม
- ผลิตภัณฑ์เอ็นดีอาร์ จะต้องสร้างพื้นฐานของการรับส่งข้อมูลเครือข่ายปกติ โดยทั่วไปจะใช้อัลกอริธึมการเรียนรู้ของเครื่อง เมื่อสร้างพื้นฐานแล้ว ผลิตภัณฑ์ NDR ควรแสดงอินสแตนซ์อย่างรวดเร็วเมื่อการรับส่งข้อมูลเครือข่ายที่พบอยู่นอกรูปแบบการรับส่งข้อมูลทั่วไป โดยแจ้งเตือนนักวิเคราะห์ความปลอดภัยแบบเรียลไทม์เกี่ยวกับความผิดปกติ
- ผลิตภัณฑ์เอ็นดีอาร์ ควรครอบคลุมทั้งสินทรัพย์ภายในองค์กรและบนคลาวด์
- ผลิตภัณฑ์เอ็นดีอาร์ ควรทำงานเพื่อรวมการแจ้งเตือนที่เกี่ยวข้องไว้ในกลุ่มการตรวจสอบที่ดำเนินการได้ ทำให้นักวิเคราะห์ความปลอดภัยสามารถ 1) เข้าใจขอบเขตของการโจมตี และ 2) ดำเนินการตอบสนองได้อย่างง่ายดาย
- ผลิตภัณฑ์เอ็นดีอาร์ จะต้องจัดเตรียมวิธีการอัตโนมัติเพื่อดำเนินการตอบสนองที่เหมาะสมเมื่อเห็นว่าจำเป็นเนื่องจากลักษณะและขอบเขตของการโจมตี
ข้อกำหนด EDR
- ผลิตภัณฑ์อีดีอาร์ จะต้องจัดหาวิธีการให้ทีมรักษาความปลอดภัยในการรวบรวมและวิเคราะห์ข้อมูลปลายทางแบบเรียลไทม์ โดยปกติแล้ว สิ่งนี้จะถูกส่งผ่านเอเจนต์ปลายทางที่สามารถปรับใช้ได้ ซึ่งสามารถกระจายได้อย่างง่ายดายผ่านเครื่องมือขององค์กรที่เลือกใช้ เอเจนต์ปลายทางเหล่านี้ควรได้รับการจัดการจากส่วนกลางและอัปเดตได้ง่ายโดยไม่ต้องรีบูตอุปกรณ์
- ผลิตภัณฑ์อีดีอาร์ ควรจะสามารถวิเคราะห์แอปพลิเคชันและบริการแบบเรียลไทม์เพื่อกำจัดไฟล์และบริการที่อาจเป็นอันตราย เมื่อค้นพบ ก็ควรจะสามารถกักกันไฟล์และบริการที่น่าสงสัยได้โดยอัตโนมัติ
- ผลิตภัณฑ์อีดีอาร์ ควรมีกลไกกฎความสัมพันธ์ที่ปรับแต่งได้ ซึ่งทีมรักษาความปลอดภัยสามารถอัปโหลดชุดกฎความสัมพันธ์ที่เปิดเผยต่อสาธารณะหรือสร้างกฎของตนเองตั้งแต่เริ่มต้น กฎเหล่านี้ควรรวมถึงความสามารถในการตรวจจับภัยคุกคามและวิธีการตอบสนองอัตโนมัติหากจำเป็น
- ผลิตภัณฑ์อีดีอาร์ จะต้องบูรณาการได้อย่างง่ายดายจากมุมมองของข้อมูลเข้ากับผลิตภัณฑ์รักษาความปลอดภัยอื่น เช่น แพลตฟอร์ม SIEM หรือ XDR เพื่อให้สามารถวิเคราะห์ข้อมูลที่หลากหลายที่รวบรวมไว้ภายในบริบทของข้อมูลที่เกี่ยวข้องกับความปลอดภัยอื่นๆ
- ผลิตภัณฑ์อีดีอาร์ ควรรองรับการปรับใช้บนอุปกรณ์ Microsoft Windows และอุปกรณ์ Linux รสชาติต่างๆ
- EDR สมัยใหม่ ผลิตภัณฑ์ยังสามารถปรับใช้บนแพลตฟอร์มบนคลาวด์บางแพลตฟอร์มและแอปพลิเคชันอื่น ๆ ที่ส่งผ่านคลาวด์ เช่น Microsoft Office 365
ข้อกำหนด XDR
การตรวจจับและการตอบสนองแบบขยาย (XDR) ผลิตภัณฑ์เป็นหนึ่งในเทคโนโลยีใหม่ล่าสุดในตลาด เกิดจากความจำเป็นในการทำให้ทีมรักษาความปลอดภัยแบบลีนสามารถส่งมอบผลลัพธ์ด้านความปลอดภัยอย่างต่อเนื่องทั่วทั้งองค์กรได้ง่ายขึ้น ผลิตภัณฑ์ XDR ต้องมีความสามารถดังต่อไปนี้เพื่อมอบผลประโยชน์ที่ทีมรักษาความปลอดภัยส่วนใหญ่คาดหวัง
- ผลิตภัณฑ์ XDR ต้องนำเข้าข้อมูลจากแหล่งข้อมูลใด ๆ ที่มีอยู่ ข้อมูลนี้อาจรวมถึง 1) การแจ้งเตือนจากการควบคุมความปลอดภัยที่ใช้งาน 2) ข้อมูลบันทึกจากบริการใดๆ ที่ใช้งานโดยองค์กร เช่น บันทึกที่สร้างโดยระบบการจัดการข้อมูลประจำตัวขององค์กร และ 3) บันทึกและข้อมูลที่เกี่ยวข้องกับกิจกรรมจากคลาวด์ใดๆ สภาพแวดล้อมและแอปพลิเคชัน เช่น ข้อมูลกิจกรรมที่รวบรวมจากโซลูชัน Cloud Access Security Broker (CASB)
- ผลิตภัณฑ์ XDR ควรทำให้ข้อมูลที่รวบรวมทั้งหมดเป็นมาตรฐานเพื่อให้สามารถวิเคราะห์ได้อย่างครอบคลุมในวงกว้าง
- ผลิตภัณฑ์ XDR ควรใช้การเรียนรู้ของเครื่องและปัญญาประดิษฐ์ (AI) เพื่อเชื่อมโยงข้อมูลการแจ้งเตือนและกิจกรรมที่ไม่เกี่ยวข้องซึ่งดูเหมือนจะแตกต่างกันออกไปเป็นเหตุการณ์/กรณีด้านความปลอดภัยที่ตรวจสอบได้ง่าย
- ผลิตภัณฑ์ XDR ควรกำหนดบริบทของข้อมูลที่รวบรวมทั้งหมดด้วยข้อมูลที่สำคัญโดยอัตโนมัติ ทำให้นักวิเคราะห์ความปลอดภัยดำเนินการตรวจสอบได้อย่างรวดเร็ว
- ผลิตภัณฑ์ XDR ควรกำหนดทิศทางความพยายามของนักวิเคราะห์ความปลอดภัยโดยจัดลำดับความสำคัญเหตุการณ์ด้านความปลอดภัยที่น่าสงสัยตามผลกระทบที่อาจเกิดขึ้นกับองค์กร
- ผลิตภัณฑ์ XDR ควรจัดให้มีความสามารถในการตอบสนองอัตโนมัติที่สามารถเริ่มต้นได้โดยไม่ต้องมีการแทรกแซงของมนุษย์ โดยพิจารณาจากความรุนแรง/ผลกระทบของภัยคุกคามที่อาจเกิดขึ้น
โดยสรุป ทั้งผลิตภัณฑ์ NDR และ EDR ได้รับการป้อนข้อมูลลงในแพลตฟอร์ม XDR ซึ่งช่วยให้นักวิเคราะห์ความปลอดภัยสามารถตรวจสอบความปลอดภัยทางไซเบอร์ได้รวดเร็วและมีประสิทธิภาพมากขึ้นกว่าเดิม
กรณีการใช้งาน NDR ทั่วไป
การเคลื่อนไหวด้านข้าง
เมื่อย้ายข้ามเครือข่าย พวกเขายังสามารถระบุแอปพลิเคชันหรือบริการที่มีช่องโหว่ซึ่งช่วยให้พวกเขาสามารถเปิด "ประตูหลัง" ในภายหลังเพื่อกลับเข้าสู่สภาพแวดล้อมอีกครั้งได้ตามต้องการ นอกจากนี้ เพื่อรักษาความคงอยู่ในสภาพแวดล้อม ผู้โจมตีจำนวนมากจะพยายามเพิ่มสิทธิ์ของบัญชีผู้ใช้ที่ถูกบุกรุกให้เป็นสิทธิ์ของผู้ดูแลระบบ โดยให้สิทธิ์แก่พวกเขาในการเปลี่ยนแปลงสภาพแวดล้อม อาจปิดคุณสมบัติความปลอดภัยบางอย่าง ลบบันทึกที่ สามารถทิ้ง breadcrumbs ไว้ให้ทีมรักษาความปลอดภัยใช้ในการสืบสวนให้เสร็จสิ้น ด้วย NDR ที่ติดตามกิจกรรมเครือข่ายแบบเรียลไทม์ ทีมรักษาความปลอดภัยสามารถระบุกิจกรรมที่น่าสงสัยระหว่างทรัพย์สินเครือข่ายและรูปแบบการรับส่งข้อมูลที่ผิดปกติจากเครือข่ายของพวกเขาไปยังโลกภายนอกได้อย่างรวดเร็ว ผลิตภัณฑ์ NDR เชื่อมโยงกิจกรรมที่ผิดปกตินี้กับการกระทำของผู้ใช้ ซึ่งสามารถเน้นได้เมื่อผู้โจมตีเคลื่อนที่ผ่านทรัพย์สินเครือข่ายอย่างอิสระ