NDR คืออะไร?
ปัจจุบัน ผู้มีอำนาจตัดสินใจด้านความปลอดภัยต้องเผชิญกับทางเลือกมากมายในการสร้างชุดการรักษาความปลอดภัยที่ทันสมัย การควบคุมความปลอดภัยอย่างหนึ่งที่มักถูกมองข้ามคือ Network Detection and Response หรือ NDR โซลูชันความปลอดภัยทางไซเบอร์ NDR ไม่ใช่เรื่องใหม่ อย่างไรก็ตาม เนื่องจากการรับรู้ถึงความซับซ้อนของการปรับใช้ การบำรุงรักษา และการใช้งาน เจ้าของความปลอดภัยจำนวนมากจึงลดลำดับความสำคัญของเทคโนโลยีนี้ในกลุ่มการรักษาความปลอดภัยของตน โดยสมมติว่าผลิตภัณฑ์รักษาความปลอดภัยที่เกี่ยวข้องกับเครือข่ายอื่นๆ สามารถป้องกันไม่ให้เครือข่ายของตนถูกบุกรุกได้ คู่มือนี้ให้คำจำกัดความ NDR ที่ครอบคลุมว่าเป็นโซลูชันความปลอดภัยทางไซเบอร์สมัยใหม่ และความสำคัญในการต่อสู้กับการโจมตีทางไซเบอร์
คู่มือตลาด Gartner สำหรับการตรวจจับและตอบสนองเครือข่าย (NDR)
ในรายงานล่าสุดของ Gartner® เกี่ยวกับ Network Detection and Response (NDR) Gartner ตั้งข้อสังเกตว่าสภาพแวดล้อม OT และ IT...
สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!
ค้นพบ AI อันล้ำสมัยของ Stellar Cyber เพื่อการตรวจจับและตอบสนองภัยคุกคามในทันที กำหนดเวลาการสาธิตของคุณวันนี้!
NDR ทำงานอย่างไร
เทคโนโลยีการตรวจจับเครือข่ายและการตอบสนองได้รับการออกแบบมาเพื่อระบุภัยคุกคามในโครงสร้างพื้นฐานเครือข่ายของคุณ และทำให้นักวิเคราะห์ความปลอดภัยดำเนินการตอบสนองอย่างเด็ดขาดได้อย่างรวดเร็ว เพื่อลดความเสี่ยงของการละเมิดที่สร้างความเสียหาย แตกต่างจากเทคโนโลยีเครือข่ายอื่นๆ ที่กำหนดให้ผู้ใช้เป็นผู้เชี่ยวชาญกึ่งในระบบเครือข่าย นักวิเคราะห์ความปลอดภัยที่มีความเชี่ยวชาญหลากหลายสามารถใช้ผลิตภัณฑ์ NDR ได้อย่างง่ายดาย เพื่อให้เข้าใจวิธีการได้ดีขึ้น ความสามารถของ NDR ช่วยให้เครือข่ายมีความปลอดภัยก่อนอื่นเราต้องแกะวิธีการปรับใช้และทำงานของมันก่อน
เครือข่ายของคุณคือระบบประสาทส่วนกลางของทั้งองค์กร ไม่ว่าคุณจะใช้งานแบบ "on-metal" โดยไม่มีการแสดงตนบนคลาวด์ หรือใช้งาน "All-In" บนผู้ให้บริการคลาวด์ เครือข่ายจะช่วยให้เกิดการสื่อสารที่สำคัญจากศูนย์ธุรกิจแห่งหนึ่งไปยังอีกศูนย์ธุรกิจหนึ่งได้ ในอดีต การนำไฟร์วอลล์มาใช้นั้นถือเป็นการรักษาความปลอดภัยที่เพียงพอสำหรับเครือข่าย อย่างไรก็ตาม ผู้จำหน่ายได้แนะนำการควบคุมความปลอดภัยใหม่เพื่อปกป้องเครือข่ายและต่อสู้กับความก้าวหน้าของวิธีการโจมตี ระบบตรวจจับการบุกรุกหรือป้องกันการบุกรุกเพิ่มความสามารถของไฟร์วอลล์เพื่อป้องกันการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ โดยอาศัยลายเซ็นการโจมตีเครือข่ายที่รู้จัก เมื่อผู้โจมตีปรับเปลี่ยนกลยุทธ์แม้เพียงเล็กน้อย ผลิตภัณฑ์ IDS/IPS ส่วนใหญ่ก็กลายเป็นสิ่งน่ารำคาญสำหรับผู้โจมตีไปเล็กน้อย “ จัดการกับ."
เครือข่ายของคุณคือระบบประสาทส่วนกลางของทั้งองค์กร ไม่ว่าคุณจะใช้งานแบบ "on-metal" โดยไม่มีการแสดงตนบนคลาวด์ หรือใช้งาน "All-In" บนผู้ให้บริการคลาวด์ เครือข่ายจะช่วยให้เกิดการสื่อสารที่สำคัญจากศูนย์ธุรกิจแห่งหนึ่งไปยังอีกศูนย์ธุรกิจหนึ่งได้ ในอดีต การนำไฟร์วอลล์มาใช้นั้นถือเป็นการรักษาความปลอดภัยที่เพียงพอสำหรับเครือข่าย อย่างไรก็ตาม ผู้จำหน่ายได้แนะนำการควบคุมความปลอดภัยใหม่เพื่อปกป้องเครือข่ายและต่อสู้กับความก้าวหน้าของวิธีการโจมตี ระบบตรวจจับการบุกรุกหรือป้องกันการบุกรุกเพิ่มความสามารถของไฟร์วอลล์เพื่อป้องกันการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ โดยอาศัยลายเซ็นการโจมตีเครือข่ายที่รู้จัก เมื่อผู้โจมตีปรับเปลี่ยนกลยุทธ์แม้เพียงเล็กน้อย ผลิตภัณฑ์ IDS/IPS ส่วนใหญ่ก็กลายเป็นสิ่งน่ารำคาญสำหรับผู้โจมตีไปเล็กน้อย “ จัดการกับ."
วิวัฒนาการของ NDR
เนื่องจากผู้ให้บริการด้านความปลอดภัยมักจะทำเมื่อเผชิญกับความท้าทายของผู้โจมตีที่เปลี่ยนแปลงตลอดเวลา ผลิตภัณฑ์ประเภทใหม่จึงถูกนำมาใช้ที่เรียกว่า การวิเคราะห์ปริมาณการใช้เครือข่าย (NTA). ตามชื่อที่แนะนำ ผลิตภัณฑ์ NTA จะวิเคราะห์เนื้อหาและตัวชี้วัดการรับส่งข้อมูลระหว่างทรัพย์สินขององค์กรและการรับส่งข้อมูลไปยังและจากแหล่งภายนอก นักวิเคราะห์สามารถเจาะลึกรายละเอียดของรูปแบบที่ไม่ธรรมดาเพื่อพิจารณาว่าจำเป็นต้องดำเนินการแก้ไขหรือไม่ ตอนนี้ NDR เข้าสู่ภาพ NDR รวม IDS/IPS, NTA และความสามารถด้านความปลอดภัยเครือข่ายอื่นๆ ที่ดีที่สุดไว้ในโซลูชันเดียวเพื่อปกป้องเครือข่าย ผลิตภัณฑ์ NDR มุ่งหวังที่จะนำเสนอมุมมองที่ครอบคลุมของภัยคุกคามความปลอดภัยทั่วทั้งเครือข่ายของคุณ การใช้การผสมผสานระหว่างลายเซ็นเครือข่ายที่เป็นอันตราย การวิเคราะห์ความปลอดภัย และการวิเคราะห์พฤติกรรม ทำให้ NDR สามารถตรวจจับภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพสูง เพื่อให้เจาะจงยิ่งขึ้น ผลิตภัณฑ์ NDR ไม่เพียงแต่สามารถวิเคราะห์เนื้อหาของการรับส่งข้อมูลเครือข่ายเท่านั้น แต่ยังระบุกิจกรรมที่ผิดปกติด้วยการวิเคราะห์ข้อมูลเมตาของการรับส่งข้อมูลเครือข่าย (ขนาด/รูปร่างของการรับส่งข้อมูล) ความสามารถนี้มีข้อได้เปรียบเมื่อต้องรับมือกับการรับส่งข้อมูลที่เข้ารหัส ซึ่งอาจเป็นไปไม่ได้ที่ผลิตภัณฑ์ NDR จะถอดรหัสแบบเรียลไทม์ ผลิตภัณฑ์ NDR ทั่วไปมีความสามารถในการตรวจจับและความสามารถในการตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้น
บทบาทของ NDR ในระบบรักษาความปลอดภัยทางไซเบอร์คืออะไร
ผู้โจมตียุคใหม่มองหาจุดอ่อนในสภาพแวดล้อมขององค์กรที่พวกเขาสามารถใช้ประโยชน์ได้ แม้ว่าอุปกรณ์ปลายทางเป็นพื้นที่การโจมตียอดนิยมสำหรับผู้โจมตีส่วนใหญ่ แต่พวกเขากลับมองหาวิธีปกปิดภัยคุกคามทางไซเบอร์ภายในการรับส่งข้อมูลเครือข่ายปกติมากขึ้น แนวทางนี้กำลังได้รับความนิยมเนื่องจากความซับซ้อนในการรับรู้ที่เกี่ยวข้องกับการตรวจสอบ การวิเคราะห์ และการตรวจจับภัยคุกคามในขณะที่พวกมันสำรวจเครือข่าย ในอดีตอันไม่ไกลนัก การระบุภัยคุกคามในการรับส่งข้อมูลเครือข่ายจำเป็นต้องใช้ทรัพยากรพร้อมประสบการณ์ที่กว้างขวางในการกำหนดค่า ดูแลรักษา และตรวจสอบการรับส่งข้อมูลเครือข่าย อย่างไรก็ตาม ทุกวันนี้ ภูมิทัศน์ความปลอดภัยทางไซเบอร์มีความแตกต่างกันอย่างมาก ทำให้การป้องกันเครือข่ายสามารถเข้าถึงได้มากขึ้นสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทุกคน ไม่ใช่แค่ผู้เชี่ยวชาญด้านเครือข่ายเท่านั้น
ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ส่วนใหญ่เห็นด้วย การโจมตีส่วนใหญ่จะสัมผัสกับเครือข่ายไม่ทางใดก็ทางหนึ่ง การศึกษาล่าสุดชี้ให้เห็นว่า 99% ของการโจมตีที่ประสบความสำเร็จสามารถตรวจพบได้ในการรับส่งข้อมูลเครือข่าย ซึ่งสามารถระบุและบรรเทาผลกระทบได้หลายอย่างก่อนที่ผู้โจมตีจะปรับใช้เพย์โหลด โซลูชันการป้องกันเครือข่ายสมัยใหม่ทำให้การปกป้องเครือข่ายเข้าถึงได้ง่ายขึ้นสำหรับผู้เชี่ยวชาญด้านความปลอดภัยโดยทำให้ความสามารถต่างๆ ใช้งานง่าย เมื่อประกอบกับความสามารถอัตโนมัติที่เพิ่มขึ้นซึ่งรวมอยู่ในโซลูชันส่วนใหญ่ การระบุภัยคุกคามในเครือข่ายจึง "ถูกส่งต่อ" มากขึ้นกว่าที่เคย สำหรับทีมรักษาความปลอดภัยส่วนใหญ่ แม้แต่ผู้ที่ขาดความเชี่ยวชาญด้านเครือข่ายก็สามารถทำได้ ปรับใช้โซลูชัน NDR ในกลุ่มการรักษาความปลอดภัย และเริ่มระบุภัยคุกคามในขณะที่เคลื่อนย้ายระหว่างสินทรัพย์เครือข่าย และเข้าและออกจากเครือข่ายโดยอาศัยการแทรกแซงของมนุษย์เพียงเล็กน้อย ด้วยการรวม NDR ไว้ในกลุ่มการรักษาความปลอดภัย ทีมรักษาความปลอดภัยยังสามารถเห็นประโยชน์เชิงกลยุทธ์และยุทธวิธีมหาศาลที่เกินกว่าการระบุภัยคุกคามบนเครือข่าย
ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ส่วนใหญ่เห็นด้วย การโจมตีส่วนใหญ่จะสัมผัสกับเครือข่ายไม่ทางใดก็ทางหนึ่ง การศึกษาล่าสุดชี้ให้เห็นว่า 99% ของการโจมตีที่ประสบความสำเร็จสามารถตรวจพบได้ในการรับส่งข้อมูลเครือข่าย ซึ่งสามารถระบุและบรรเทาผลกระทบได้หลายอย่างก่อนที่ผู้โจมตีจะปรับใช้เพย์โหลด โซลูชันการป้องกันเครือข่ายสมัยใหม่ทำให้การปกป้องเครือข่ายเข้าถึงได้ง่ายขึ้นสำหรับผู้เชี่ยวชาญด้านความปลอดภัยโดยทำให้ความสามารถต่างๆ ใช้งานง่าย เมื่อประกอบกับความสามารถอัตโนมัติที่เพิ่มขึ้นซึ่งรวมอยู่ในโซลูชันส่วนใหญ่ การระบุภัยคุกคามในเครือข่ายจึง "ถูกส่งต่อ" มากขึ้นกว่าที่เคย สำหรับทีมรักษาความปลอดภัยส่วนใหญ่ แม้แต่ผู้ที่ขาดความเชี่ยวชาญด้านเครือข่ายก็สามารถทำได้ ปรับใช้โซลูชัน NDR ในกลุ่มการรักษาความปลอดภัย และเริ่มระบุภัยคุกคามในขณะที่เคลื่อนย้ายระหว่างสินทรัพย์เครือข่าย และเข้าและออกจากเครือข่ายโดยอาศัยการแทรกแซงของมนุษย์เพียงเล็กน้อย ด้วยการรวม NDR ไว้ในกลุ่มการรักษาความปลอดภัย ทีมรักษาความปลอดภัยยังสามารถเห็นประโยชน์เชิงกลยุทธ์และยุทธวิธีมหาศาลที่เกินกว่าการระบุภัยคุกคามบนเครือข่าย
การป้องกันในเชิงลึก
ประการแรก การรวม NDR ไว้ในกลุ่มการรักษาความปลอดภัยของคุณ จะถือว่าคุณปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของแนวทางการรักษาความปลอดภัยแบบ "การป้องกันในเชิงลึก" แม้ว่าแพลตฟอร์มการป้องกันอุปกรณ์ปลายทางและโซลูชันการตรวจจับและตอบสนองอุปกรณ์ปลายทางได้รับการออกแบบมาเพื่อระบุภัยคุกคามบนอุปกรณ์ปลายทาง แต่โดยทั่วไปแล้วจะมองไม่เห็นภัยคุกคามเมื่อเคลื่อนผ่านเครือข่าย ในทำนองเดียวกัน ผลิตภัณฑ์ป้องกันข้อมูลสูญหายสามารถระบุได้ดีมากเมื่อข้อมูลสำคัญย้ายจากตำแหน่งที่กำหนด อย่างไรก็ตาม พวกเขาทำได้ไม่ดีนักในการรับข้อมูลสำคัญที่ส่งผ่านเครือข่าย โดยเฉพาะอย่างยิ่งหากถูกทำให้สับสนภายในการรับส่งข้อมูลเครือข่ายปกติ สถานการณ์นี้เป็นจุดที่ผลิตภัณฑ์รักษาความปลอดภัย NDR มีศักยภาพในการยกระดับความสามารถของทีมรักษาความปลอดภัยในการลดความเสี่ยงของการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ เช่นเดียวกับผลิตภัณฑ์อื่นๆ ที่กล่าวถึงซึ่งมีไว้เพื่อการตรวจจับภัยคุกคามในสินทรัพย์หรือประเภทข้อมูลเฉพาะ NDR มุ่งเน้นไปที่การทำความเข้าใจการรับส่งข้อมูลเครือข่ายในแบบที่ไม่มีผลิตภัณฑ์รักษาความปลอดภัยอื่นสามารถทำได้ ด้วยการเปิดใช้การวิเคราะห์ที่รวดเร็วของการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์ ผลิตภัณฑ์รักษาความปลอดภัย NDR จึงสามารถตรวจพบภัยคุกคามที่อาจเกิดขึ้นในการรับส่งข้อมูลเครือข่ายที่อาจไม่มีใครสังเกตเห็น
การแบ่งปันข้อมูล
เมื่อตรวจพบภัยคุกคามแล้ว ข้อมูลนั้นจะถูกแชร์ไปยังแพลตฟอร์ม SIEM หรือ XDR ได้อย่างง่ายดายเพื่อให้สัมพันธ์กับภัยคุกคามอื่นๆ ซึ่งบางส่วนอาจถือว่าเป็นสัญญาณที่อ่อนแอ ด้วยการวิเคราะห์ภัยคุกคามเครือข่ายอย่างต่อเนื่องกับข้อมูลที่เกี่ยวข้องกับความปลอดภัยอื่นๆ ทีมรักษาความปลอดภัยจะได้รับประโยชน์จากมุมมองแบบองค์รวมมากขึ้นเกี่ยวกับภัยคุกคามในสภาพแวดล้อมเครือข่ายทั้งหมดของพวกเขา ตัวอย่างเช่น เป็นเรื่องปกติที่ผู้โจมตีจะใช้การโจมตีหลายเวกเตอร์กับเป้าหมายของพวกเขา เช่น การเริ่มแคมเปญอีเมลฟิชชิ่งต่อพนักงานหลายคน ในขณะเดียวกันก็มองหาช่องโหว่ที่ทราบซึ่งค้นพบในเครือข่าย เมื่อตรวจสอบแยกกัน อาจถือว่ามีลำดับความสำคัญต่ำกว่าเมื่อพิจารณาว่าเป็นส่วนหนึ่งของการโจมตีแบบกำหนดเป้าหมาย เมื่อใช้ NDR ร่วมกับ XDR การโจมตีเหล่านี้จะไม่ถูกตรวจสอบแยกกันอีกต่อไป แต่สามารถเชื่อมโยงและเพิ่มข้อมูลตามบริบทที่เกี่ยวข้องได้ ทำให้การพิจารณาว่าเกี่ยวข้องกันได้ง่ายขึ้นมาก ขั้นตอนเพิ่มเติมนี้ ซึ่งในกรณีส่วนใหญ่สามารถเกิดขึ้นได้โดยอัตโนมัติ หมายความว่านักวิเคราะห์ความปลอดภัยจะมีประสิทธิผลและประสิทธิผลมากขึ้นโดยไม่ต้องใช้ความพยายามมากขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับผลประโยชน์เชิงกลยุทธ์ของ NDR โปรดดูที่ คู่มือผู้ซื้อ NDR.
NDR เปรียบเทียบกับ EDR และ XDR อย่างไร
เนื่องจากผลิตภัณฑ์และบริการด้านความปลอดภัยทางไซเบอร์จำนวนมากอ้างว่าให้ผลประโยชน์ที่คล้ายคลึงกัน จึงอาจเป็นเรื่องยากสำหรับผู้มีอำนาจตัดสินใจด้านความปลอดภัยบางรายในการพิจารณาว่าผลิตภัณฑ์ใดที่จะปรับใช้เพื่อรับผลประโยชน์เพิ่มเติม NDR ไม่ได้รับการยกเว้นจากความสับสนนี้ ดังนั้นเพื่อช่วยให้ผู้มีอำนาจตัดสินใจเข้าใจถึงความเหมือนและความแตกต่างระหว่างการควบคุมความปลอดภัยมาตรฐาน ข้อมูลต่อไปนี้จะสรุปความแตกต่างระหว่าง NDR, EDR และ XDR
ข้อกำหนด NDR
ขั้นแรก เพื่อสร้างความเข้าใจพื้นฐานเกี่ยวกับจุดเน้นของคู่มือนี้ NDR ต่อไปนี้เป็นความสามารถมาตรฐานของโซลูชัน NDR:
- ผลิตภัณฑ์เอ็นดีอาร์ ต้องรวบรวมข้อมูลการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์และจัดเก็บข้อมูลที่รวบรวมเพื่อให้สามารถวิเคราะห์อัตโนมัติได้
- ผลิตภัณฑ์เอ็นดีอาร์ จะต้องสามารถทำให้เป็นมาตรฐานและเพิ่มข้อมูลที่รวบรวมด้วยข้อมูลที่เกี่ยวข้องตามบริบทเพื่ออำนวยความสะดวกในการวิเคราะห์ที่ครอบคลุม
- ผลิตภัณฑ์เอ็นดีอาร์ จะต้องสร้างพื้นฐานของการรับส่งข้อมูลเครือข่ายปกติ โดยทั่วไปจะใช้อัลกอริธึมการเรียนรู้ของเครื่อง เมื่อสร้างพื้นฐานแล้ว ผลิตภัณฑ์ NDR ควรแสดงอินสแตนซ์อย่างรวดเร็วเมื่อการรับส่งข้อมูลเครือข่ายที่พบอยู่นอกรูปแบบการรับส่งข้อมูลทั่วไป โดยแจ้งเตือนนักวิเคราะห์ความปลอดภัยแบบเรียลไทม์เกี่ยวกับความผิดปกติ
- ผลิตภัณฑ์เอ็นดีอาร์ ควรครอบคลุมทั้งสินทรัพย์ภายในองค์กรและบนคลาวด์
- ผลิตภัณฑ์เอ็นดีอาร์ ควรทำงานเพื่อรวมการแจ้งเตือนที่เกี่ยวข้องไว้ในกลุ่มการตรวจสอบที่ดำเนินการได้ ทำให้นักวิเคราะห์ความปลอดภัยสามารถ 1) เข้าใจขอบเขตของการโจมตี และ 2) ดำเนินการตอบสนองได้อย่างง่ายดาย
- ผลิตภัณฑ์เอ็นดีอาร์ จะต้องจัดเตรียมวิธีการอัตโนมัติเพื่อดำเนินการตอบสนองที่เหมาะสมเมื่อเห็นว่าจำเป็นเนื่องจากลักษณะและขอบเขตของการโจมตี
ข้อกำหนด EDR
ผลิตภัณฑ์ Endpoint Detection and Response (EDR) จะต้องมีความสามารถดังต่อไปนี้เพื่อให้การป้องกันที่จำเป็นในพื้นที่โฟกัสและอุปกรณ์ปลายทาง:
- ผลิตภัณฑ์อีดีอาร์ จะต้องจัดหาวิธีการให้ทีมรักษาความปลอดภัยในการรวบรวมและวิเคราะห์ข้อมูลปลายทางแบบเรียลไทม์ โดยปกติแล้ว สิ่งนี้จะถูกส่งผ่านเอเจนต์ปลายทางที่สามารถปรับใช้ได้ ซึ่งสามารถกระจายได้อย่างง่ายดายผ่านเครื่องมือขององค์กรที่เลือกใช้ เอเจนต์ปลายทางเหล่านี้ควรได้รับการจัดการจากส่วนกลางและอัปเดตได้ง่ายโดยไม่ต้องรีบูตอุปกรณ์
- ผลิตภัณฑ์อีดีอาร์ ควรจะสามารถวิเคราะห์แอปพลิเคชันและบริการแบบเรียลไทม์เพื่อกำจัดไฟล์และบริการที่อาจเป็นอันตราย เมื่อค้นพบ ก็ควรจะสามารถกักกันไฟล์และบริการที่น่าสงสัยได้โดยอัตโนมัติ
- ผลิตภัณฑ์อีดีอาร์ ควรมีกลไกกฎความสัมพันธ์ที่ปรับแต่งได้ ซึ่งทีมรักษาความปลอดภัยสามารถอัปโหลดชุดกฎความสัมพันธ์ที่เปิดเผยต่อสาธารณะหรือสร้างกฎของตนเองตั้งแต่เริ่มต้น กฎเหล่านี้ควรรวมถึงความสามารถในการตรวจจับภัยคุกคามและวิธีการตอบสนองอัตโนมัติหากจำเป็น
- ผลิตภัณฑ์อีดีอาร์ จะต้องบูรณาการได้อย่างง่ายดายจากมุมมองของข้อมูลเข้ากับผลิตภัณฑ์รักษาความปลอดภัยอื่น เช่น แพลตฟอร์ม SIEM หรือ XDR เพื่อให้สามารถวิเคราะห์ข้อมูลที่หลากหลายที่รวบรวมไว้ภายในบริบทของข้อมูลที่เกี่ยวข้องกับความปลอดภัยอื่นๆ
- ผลิตภัณฑ์อีดีอาร์ ควรรองรับการปรับใช้บนอุปกรณ์ Microsoft Windows และอุปกรณ์ Linux รสชาติต่างๆ
- EDR สมัยใหม่ ผลิตภัณฑ์ยังสามารถปรับใช้บนแพลตฟอร์มบนคลาวด์บางแพลตฟอร์มและแอปพลิเคชันอื่น ๆ ที่ส่งผ่านคลาวด์ เช่น Microsoft Office 365
ข้อกำหนด XDR
การตรวจจับและการตอบสนองแบบขยาย (XDR) ผลิตภัณฑ์เป็นหนึ่งในเทคโนโลยีใหม่ล่าสุดในตลาด เกิดจากความจำเป็นในการทำให้ทีมรักษาความปลอดภัยแบบลีนสามารถส่งมอบผลลัพธ์ด้านความปลอดภัยอย่างต่อเนื่องทั่วทั้งองค์กรได้ง่ายขึ้น ผลิตภัณฑ์ XDR ต้องมีความสามารถดังต่อไปนี้เพื่อมอบผลประโยชน์ที่ทีมรักษาความปลอดภัยส่วนใหญ่คาดหวัง
- ผลิตภัณฑ์ XDR ต้องนำเข้าข้อมูลจากแหล่งข้อมูลใด ๆ ที่มีอยู่ ข้อมูลนี้อาจรวมถึง 1) การแจ้งเตือนจากการควบคุมความปลอดภัยที่ใช้งาน 2) ข้อมูลบันทึกจากบริการใดๆ ที่ใช้งานโดยองค์กร เช่น บันทึกที่สร้างโดยระบบการจัดการข้อมูลประจำตัวขององค์กร และ 3) บันทึกและข้อมูลที่เกี่ยวข้องกับกิจกรรมจากคลาวด์ใดๆ สภาพแวดล้อมและแอปพลิเคชัน เช่น ข้อมูลกิจกรรมที่รวบรวมจากโซลูชัน Cloud Access Security Broker (CASB)
- ผลิตภัณฑ์ XDR ควรทำให้ข้อมูลที่รวบรวมทั้งหมดเป็นมาตรฐานเพื่อให้สามารถวิเคราะห์ได้อย่างครอบคลุมในวงกว้าง
- ผลิตภัณฑ์ XDR ควรใช้การเรียนรู้ของเครื่องและปัญญาประดิษฐ์ (AI) เพื่อเชื่อมโยงข้อมูลการแจ้งเตือนและกิจกรรมที่ไม่เกี่ยวข้องซึ่งดูเหมือนจะแตกต่างกันออกไปเป็นเหตุการณ์/กรณีด้านความปลอดภัยที่ตรวจสอบได้ง่าย
- ผลิตภัณฑ์ XDR ควรกำหนดบริบทของข้อมูลที่รวบรวมทั้งหมดด้วยข้อมูลที่สำคัญโดยอัตโนมัติ ทำให้นักวิเคราะห์ความปลอดภัยดำเนินการตรวจสอบได้อย่างรวดเร็ว
- ผลิตภัณฑ์ XDR ควรกำหนดทิศทางความพยายามของนักวิเคราะห์ความปลอดภัยโดยจัดลำดับความสำคัญเหตุการณ์ด้านความปลอดภัยที่น่าสงสัยตามผลกระทบที่อาจเกิดขึ้นกับองค์กร
- ผลิตภัณฑ์ XDR ควรจัดให้มีความสามารถในการตอบสนองอัตโนมัติที่สามารถเริ่มต้นได้โดยไม่ต้องมีการแทรกแซงของมนุษย์ โดยพิจารณาจากความรุนแรง/ผลกระทบของภัยคุกคามที่อาจเกิดขึ้น
โดยสรุป ทั้งผลิตภัณฑ์ NDR และ EDR ได้รับการป้อนข้อมูลลงในแพลตฟอร์ม XDR ซึ่งช่วยให้นักวิเคราะห์ความปลอดภัยสามารถตรวจสอบความปลอดภัยทางไซเบอร์ได้รวดเร็วและมีประสิทธิภาพมากขึ้นกว่าเดิม
กรณีการใช้งาน NDR ทั่วไป
ควรเห็นได้ชัดว่าผลิตภัณฑ์ NDR มุ่งเน้นไปที่การระบุภัยคุกคามความปลอดภัยในขณะที่สำรวจโครงสร้างพื้นฐานเครือข่ายขององค์กร อย่างไรก็ตาม ผู้มีอำนาจตัดสินใจด้านความปลอดภัยอาจเข้าใจถึงคุณประโยชน์ของผลิตภัณฑ์ NDR ได้ง่ายขึ้นโดยการใช้ Use Case Lens ในการสนทนา การสนทนาต่อไปนี้จะสรุปกรณีการใช้งานด้านความปลอดภัยทั่วไปหลายกรณีซึ่งผลิตภัณฑ์ NDR สามารถช่วยให้ทีมรักษาความปลอดภัยพบเจอได้
การเคลื่อนไหวด้านข้าง
ความท้าทายทั่วไปสำหรับทีมรักษาความปลอดภัยคือการทำความเข้าใจเมื่อผู้โจมตีเคลื่อนตัวข้ามสภาพแวดล้อมของตนไปด้านข้าง ตัวอย่างเช่น เมื่อผู้โจมตีประสบความสำเร็จในการบุกรุกบัญชีผู้ใช้หรืออุปกรณ์ปลายทางโดยไม่มีการตรวจจับ ขั้นตอนถัดไปคือให้ผู้โจมตีพยายามย้ายเข้าสู่สภาพแวดล้อมเพิ่มเติม สมมติว่าพวกเขาสามารถย้ายจากอุปกรณ์หนึ่งไปยังอีกเครื่องหนึ่งได้ในโหมดซ่อนตัว ในกรณีดังกล่าว พวกเขาอาจค้นพบว่ามีข้อมูลที่ละเอียดอ่อนอยู่ในสภาพแวดล้อมใดบ้าง ทำให้การโจมตีส่งผลกระทบมากขึ้นในกรณีของแรนซัมแวร์
เมื่อย้ายข้ามเครือข่าย พวกเขายังสามารถระบุแอปพลิเคชันหรือบริการที่มีช่องโหว่ซึ่งช่วยให้พวกเขาสามารถเปิด "ประตูหลัง" ในภายหลังเพื่อกลับเข้าสู่สภาพแวดล้อมอีกครั้งได้ตามต้องการ นอกจากนี้ เพื่อรักษาความคงอยู่ในสภาพแวดล้อม ผู้โจมตีจำนวนมากจะพยายามเพิ่มสิทธิ์ของบัญชีผู้ใช้ที่ถูกบุกรุกให้เป็นสิทธิ์ของผู้ดูแลระบบ โดยให้สิทธิ์แก่พวกเขาในการเปลี่ยนแปลงสภาพแวดล้อม อาจปิดคุณสมบัติความปลอดภัยบางอย่าง ลบบันทึกที่ สามารถทิ้ง breadcrumbs ไว้ให้ทีมรักษาความปลอดภัยใช้ในการสืบสวนให้เสร็จสิ้น ด้วย NDR ที่ติดตามกิจกรรมเครือข่ายแบบเรียลไทม์ ทีมรักษาความปลอดภัยสามารถระบุกิจกรรมที่น่าสงสัยระหว่างทรัพย์สินเครือข่ายและรูปแบบการรับส่งข้อมูลที่ผิดปกติจากเครือข่ายของพวกเขาไปยังโลกภายนอกได้อย่างรวดเร็ว ผลิตภัณฑ์ NDR เชื่อมโยงกิจกรรมที่ผิดปกตินี้กับการกระทำของผู้ใช้ ซึ่งสามารถเน้นได้เมื่อผู้โจมตีเคลื่อนที่ผ่านทรัพย์สินเครือข่ายอย่างอิสระ
เมื่อย้ายข้ามเครือข่าย พวกเขายังสามารถระบุแอปพลิเคชันหรือบริการที่มีช่องโหว่ซึ่งช่วยให้พวกเขาสามารถเปิด "ประตูหลัง" ในภายหลังเพื่อกลับเข้าสู่สภาพแวดล้อมอีกครั้งได้ตามต้องการ นอกจากนี้ เพื่อรักษาความคงอยู่ในสภาพแวดล้อม ผู้โจมตีจำนวนมากจะพยายามเพิ่มสิทธิ์ของบัญชีผู้ใช้ที่ถูกบุกรุกให้เป็นสิทธิ์ของผู้ดูแลระบบ โดยให้สิทธิ์แก่พวกเขาในการเปลี่ยนแปลงสภาพแวดล้อม อาจปิดคุณสมบัติความปลอดภัยบางอย่าง ลบบันทึกที่ สามารถทิ้ง breadcrumbs ไว้ให้ทีมรักษาความปลอดภัยใช้ในการสืบสวนให้เสร็จสิ้น ด้วย NDR ที่ติดตามกิจกรรมเครือข่ายแบบเรียลไทม์ ทีมรักษาความปลอดภัยสามารถระบุกิจกรรมที่น่าสงสัยระหว่างทรัพย์สินเครือข่ายและรูปแบบการรับส่งข้อมูลที่ผิดปกติจากเครือข่ายของพวกเขาไปยังโลกภายนอกได้อย่างรวดเร็ว ผลิตภัณฑ์ NDR เชื่อมโยงกิจกรรมที่ผิดปกตินี้กับการกระทำของผู้ใช้ ซึ่งสามารถเน้นได้เมื่อผู้โจมตีเคลื่อนที่ผ่านทรัพย์สินเครือข่ายอย่างอิสระ
ข้อมูลประจำตัวที่ถูกบุกรุก
กรณีการใช้งานด้านความปลอดภัยในชีวิตประจำวันอีกประการหนึ่งที่ผลิตภัณฑ์ NDR สามารถตอบสนองได้นั้นเกี่ยวข้องกับข้อมูลรับรองที่ถูกบุกรุก น่าเสียดายที่ในปัจจุบัน ผู้โจมตีสามารถรับข้อมูลประจำตัวผู้ใช้ที่ถูกต้องได้หลายวิธี ตั้งแต่การซื้อจากเว็บมืดไปจนถึงการให้พนักงานที่ไม่รู้ตัวสมัครเป็นอาสาสมัครเพื่อตอบอีเมลหลอกลวงหรือผ่านทางเว็บไซต์ที่เป็นอันตราย เมื่อผู้โจมตีได้รับข้อมูลประจำตัวแล้ว ผู้โจมตีจะสามารถเข้าถึงสภาพแวดล้อมได้อย่างง่ายดาย เมื่ออยู่ภายในองค์กร ผู้โจมตีสามารถทำกิจกรรมที่เป็นอันตรายจำนวนเท่าใดก็ได้ เช่น การติดตั้งแรนซัมแวร์ที่ทำให้ร่างกายอ่อนแอลง การลบข้อมูลที่สำคัญต่อภารกิจ หรือการเปิดเผยข้อมูลที่เป็นความลับของบริษัทสู่โลกภายนอกเพื่อสร้างความเสียหาย ผลิตภัณฑ์ NDR ทำให้การตรวจหาข้อมูลรับรองที่ถูกบุกรุกง่ายขึ้นโดยธรรมชาติของวิธีการทำงานของ NDR ตัวอย่างเช่น หากตรวจพบพนักงานในอเมริกาเหนือเข้าสู่ระบบจากประเทศจีน ในกรณีดังกล่าว ผลิตภัณฑ์ NDR จะตรวจจับความผิดปกตินี้และสร้างการแจ้งเตือนว่านักวิเคราะห์ความปลอดภัยสามารถตรวจสอบได้อย่างรวดเร็ว เนื่องจากผลิตภัณฑ์ NDR จะปรับบริบทคำเตือนโดยอัตโนมัติ นักวิเคราะห์ความปลอดภัยจึงสามารถระบุได้อย่างรวดเร็วว่าความผิดปกตินี้เป็นภัยคุกคามหรือไม่ และเริ่มการตอบสนองอัตโนมัติในไม่กี่วินาที เช่น การจำกัดการเข้าถึงของผู้ใช้ไปยังสภาพแวดล้อมเครือข่ายทั้งหมด และบังคับให้รีเซ็ตรหัสผ่าน พวกเขายังสามารถรับประกันได้ว่าการเข้าถึงของผู้ใช้ไปยังแอปพลิเคชันบนคลาวด์และสินทรัพย์เครือข่ายจะถูกปิดใช้งานผ่านการผสานรวมกับผลิตภัณฑ์ CASB