เหตุใด NDR จึงมีความจำเป็นในระบบรักษาความปลอดภัยแบบไฮบริดในปัจจุบัน

  • ประเด็นที่สำคัญ:
  • Gartner กำหนด NDR ไว้อย่างไร?
    NDR ใช้เซ็นเซอร์ภายในและโมเดลพฤติกรรมเพื่อตรวจจับความผิดปกติแบบเรียลไทม์ในกระแสเครือข่ายตะวันออก-ตะวันตกและเหนือ-ใต้
  • NDR เติมช่องว่างอะไรในด้านความปลอดภัย?
    ช่วยให้มองเห็นการรับส่งข้อมูลภายในที่ไฟร์วอลล์และ SIEMมักพลาดเป้า ทำให้เกิดจุดบอดในการตรวจจับที่สำคัญ
  • Gartner สังเกตเห็นแนวโน้มตลาดอะไรบ้าง?
    NDR กำลังเติบโตอย่างรวดเร็ว (≈ 23% เมื่อเทียบกับปีที่แล้ว) โดยมีการนำไปใช้อย่างแพร่หลายและมีศักยภาพที่ขยายเพิ่มขึ้นในหมู่ผู้จำหน่ายหลัก
  • สิ่งนี้หมายถึงอะไรสำหรับทีมงานรักษาความปลอดภัย?
    NDR กำลังกลายมาเป็นสิ่งจำเป็นสำหรับการป้องกันแบบหลายชั้น โดยเฉพาะอย่างยิ่งในสภาพแวดล้อมแบบคลาวด์และไฮบริดที่ซับซ้อนและมีปริมาณการรับส่งข้อมูลสูง

ในสภาพแวดล้อมภัยคุกคามที่ซับซ้อนในปัจจุบัน การตรวจจับและตอบสนองเครือข่าย (NDR) ได้กลายมาเป็นองค์ประกอบที่สำคัญภายใน Open XDR แพลตฟอร์มความปลอดภัยและปัญญาประดิษฐ์ (AI) SOC การดำเนินงาน องค์กรสมัยใหม่เผชิญกับความท้าทายที่ไม่เคยมีมาก่อน เนื่องจากปริมาณงานกระจายอยู่ทั่วศูนย์ข้อมูลภายในองค์กร ผู้ให้บริการคลาวด์หลายราย และสภาพแวดล้อมแบบเอดจ์ การกระจัดกระจายนี้สร้างช่องว่างในการมองเห็นที่เป็นอันตราย ซึ่งผู้โจมตีที่มีความซับซ้อนใช้ประโยชน์ NDR ให้การตรวจสอบอย่างต่อเนื่องและการตรวจจับภัยคุกคามขั้นสูงที่จำเป็นต่อการรักษาความปลอดภัยของสภาพแวดล้อมแบบไฮบริดที่ซับซ้อนมากขึ้นเรื่อยๆ เหล่านี้

#image_title

โซลูชัน NDR ของ Gartner® Magic Quadrant™

ดูว่าทำไมเราจึงเป็นผู้จำหน่ายรายเดียวที่อยู่ในกลุ่ม Challenger

เรียนรู้เพิ่มเติม
#image_title

สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!

ค้นพบ AI ล้ำสมัยของ Stellar Cyber ​​เพื่อการตรวจจับภัยคุกคามทันที

กำหนดเวลาการสาธิต

ทำความเข้าใจความซับซ้อนของเครือข่ายสมัยใหม่

ขอบเขตความปลอดภัยได้หายไปแล้ว คุณยังจำสมัยที่เครือข่ายมีขอบเขตที่ชัดเจนได้หรือไม่ สมัยนั้นผ่านไปแล้ว ผู้ใช้สามารถเข้าถึงทรัพยากรได้จากทุกที่ อุปกรณ์เชื่อมต่อได้จากทุกที่ ทีมงานด้านความปลอดภัยจะปกป้องสิ่งที่มองไม่เห็นได้อย่างไร

เครื่องมือรักษาความปลอดภัยแบบดั้งเดิมประสบปัญหาในสถานการณ์ใหม่นี้ เนื่องจากขาดการมองเห็นข้อมูลการสัญจรจากตะวันออกไปตะวันตก ความสามารถในการตรวจจับของเครื่องมือเหล่านี้มุ่งเน้นไปที่ภัยคุกคามที่ทราบอยู่แล้วเป็นหลัก ผู้โจมตีสมัยใหม่ใช้จุดบอดเหล่านี้ให้เป็นประโยชน์

การรับส่งข้อมูลในเครือข่ายประกอบด้วยข้อมูลเชิงลึกด้านความปลอดภัยที่มีค่า การเชื่อมต่อ การถ่ายโอนข้อมูล และการเจรจาโปรโตคอลแต่ละครั้งจะเผยให้เห็นภัยคุกคามที่อาจเกิดขึ้น โซลูชัน NDR จะรวบรวมข้อมูลนี้โดยการตรวจสอบการสื่อสารในเครือข่ายทั้งหมด โซลูชันเหล่านี้จะวิเคราะห์รูปแบบเพื่อระบุกิจกรรมที่ผิดปกติ

วิวัฒนาการของ IT แบบไฮบริดทำให้การนำ NDR มาใช้มีมากขึ้นอย่างมีนัยสำคัญ ตามรายงาน Hype Cycle 2024 ของ Gartner ระบุว่าโซลูชัน NDR กำลังกลายมาเป็นสิ่งจำเป็นในสภาพแวดล้อมที่หลากหลาย และอาจได้รับการยอมรับอย่างแพร่หลายภายใน XNUMX ถึง XNUMX ปี

การใช้งานมัลติคลาวด์สร้างความซับซ้อนเพิ่มเติม องค์กรต่างๆ กระจายภาระงานผ่าน AWS, Azure, GCP และคลาวด์ส่วนตัว แต่ละสภาพแวดล้อมมีคุณลักษณะเฉพาะตัว NDR มอบการมองเห็นที่สอดคล้องกันในระบบนิเวศที่หลากหลายเหล่านี้

บทบาทของ NDR ในสถาปัตยกรรมความปลอดภัยสมัยใหม่

อะไรทำให้ NDR มีคุณค่าเฉพาะตัวในสภาพแวดล้อมไฮบริด? แตกต่างจากโซลูชันที่ใช้ตัวแทน NDR นำเสนอการตรวจสอบแบบไม่ต้องใช้ตัวแทน ความสามารถนี้พิสูจน์ให้เห็นว่ามีความสำคัญในสภาพแวดล้อมคลาวด์แบบไดนามิกที่จุดสิ้นสุดเปลี่ยนแปลงอยู่ตลอดเวลา

NDR รวบรวมข้อมูลการรับส่งข้อมูลจากแหล่งต่างๆ:

  • ส่วนเครือข่ายทางกายภาพ
  • เครือข่ายเสมือนจริง
  • สภาพแวดล้อมบนคลาวด์
  • ระบบออร์เคสตราคอนเทนเนอร์
  • การเชื่อมต่อผู้ใช้ระยะไกล

ความสามารถเหล่านี้สอดคล้องอย่างสมบูรณ์แบบกับหลักการ Zero Trust ที่ระบุไว้ใน NIST SP 800-207 กรอบงานนี้เน้นการตรวจสอบอย่างต่อเนื่องมากกว่าการไว้วางใจโดยปริยาย NDR รองรับโมเดลนี้โดยตรวจสอบการสื่อสารอย่างต่อเนื่องเพื่อหาพฤติกรรมที่น่าสงสัย

ทีมงานด้านความปลอดภัยใช้ NDR เพื่อสร้างพฤติกรรมเครือข่ายพื้นฐาน การเบี่ยงเบนใดๆ จากพื้นฐานนี้จะทำให้เกิดการแจ้งเตือน แนวทางนี้จะตรวจจับภัยคุกคามใหม่ๆ ที่เครื่องมือที่ใช้ลายเซ็นอาจมองข้ามไป และให้คำเตือนล่วงหน้าเกี่ยวกับช่องโหว่ที่อาจเกิดขึ้น

เหตุใด NDR จึงกลายมาเป็นสิ่งสำคัญสำหรับความปลอดภัยแบบไฮบริด

การขยายพื้นที่โจมตีต้องครอบคลุมมากขึ้น

สภาพแวดล้อมแบบไฮบริดสร้างพื้นผิวการโจมตีที่กว้างใหญ่ สินทรัพย์ที่กระจายไปในหลายแพลตฟอร์มเพิ่มจุดเข้าที่เป็นไปได้ ทีมงานด้านความปลอดภัยต้องเผชิญกับความท้าทายที่น่ากลัว: การรักษาการมองเห็นได้ทั่วทั้งภูมิทัศน์ที่ขยายใหญ่ขึ้นนี้

พิจารณาสถิติเหล่านี้:

  • 94% ขององค์กรใช้บริการคลาวด์
  • 76% ใช้กลยุทธ์มัลติคลาวด์
  • 72% ดำเนินการในสภาพแวดล้อมแบบไฮบริด

แต่ละสภาพแวดล้อมจะนำเสนอความท้าทายด้านความปลอดภัยเฉพาะตัว เครือข่ายภายในองค์กรใช้เทคโนโลยีที่แตกต่างกันจากแพลตฟอร์มคลาวด์ เครื่องมือความปลอดภัยที่ออกแบบมาสำหรับสภาพแวดล้อมหนึ่งมักจะทำงานได้ไม่ดีในสภาพแวดล้อมอื่น NDR เชื่อมช่องว่างนี้ด้วยความสามารถในการตรวจสอบที่สอดคล้องกัน

ผู้โจมตีใช้ประโยชน์จากช่องว่างการมองเห็นเหล่านี้ การละเมิดข้อมูลของ Snowflake ในปี 2024 เป็นตัวอย่างความเสี่ยงนี้ได้อย่างชัดเจน ผู้ก่อภัยคุกคามสามารถเข้าถึงอินสแตนซ์ Snowflake ของลูกค้าโดยใช้ข้อมูลประจำตัวที่ขโมยมาก่อนหน้านี้ หากตรวจสอบเครือข่ายอย่างเหมาะสม อาจตรวจพบรูปแบบการค้นหาที่ผิดปกติได้ก่อนที่จะเกิดการขโมยข้อมูลจำนวนมาก

โซลูชัน NDR ปรับใช้เซ็นเซอร์ที่มีความยืดหยุ่นในสภาพแวดล้อมต่างๆ เซ็นเซอร์เหล่านี้จะจับข้อมูลการรับส่งข้อมูลและแปลงเป็นข้อมูลเมตาที่วิเคราะห์ได้ ตามข้อมูลของ Stellar Cyber ​​แนวทางนี้ส่งผลให้ "ประหยัดแบนด์วิดท์เครือข่ายได้ 100 ต่อ 1 และเพิ่มประสิทธิภาพการทำงาน"

การตรวจจับภัยคุกคามแบบเรียลไทม์ในสภาพแวดล้อมไฮบริด

ความเร็วเป็นเรื่องสำคัญในด้านความปลอดภัย ความล่าช้าในการตรวจจับทำให้ผู้โจมตีมีเวลาที่จะบรรลุเป้าหมาย โซลูชัน NDR โดดเด่นในการระบุภัยคุกคามอย่างรวดเร็วผ่านการตรวจสอบอย่างต่อเนื่องและการวิเคราะห์พฤติกรรม

แนวทางการรักษาความปลอดภัยแบบดั้งเดิมนั้นต้องอาศัยลายเซ็นที่ทราบอยู่แล้วเป็นหลัก วิธีนี้ใช้ไม่ได้ผลกับการโจมตีรูปแบบใหม่ NDR ใช้แนวทางที่แตกต่างออกไปโดยกำหนดพฤติกรรมพื้นฐานและทำเครื่องหมายความผิดปกติ ความสามารถนี้ช่วยให้ทีมงานรักษาความปลอดภัยสามารถระบุการโจมตีที่ซับซ้อนซึ่งหลบเลี่ยงการป้องกันแบบดั้งเดิมได้

ประสิทธิภาพของ NDR ในสภาพแวดล้อมแบบไฮบริดเกิดจากความสามารถในการ:

  • ตรวจสอบการไหลของข้อมูลระหว่างสภาพแวดล้อมภายในองค์กรและคลาวด์
  • ตรวจจับการเคลื่อนตัวของข้อมูลที่ผิดปกติซึ่งบ่งชี้ถึงการแอบแฝงที่อาจเกิดขึ้น
  • ระบุรูปแบบการเข้าถึงที่ผิดปกติบนโครงสร้างพื้นฐานไฮบริด
  • ให้บริบทรอบ ๆ เหตุการณ์เครือข่ายเพื่อการสืบสวนที่รวดเร็วยิ่งขึ้น

ความสามารถเหล่านี้ทำให้ NDR เป็น “องค์ประกอบสำคัญของกลยุทธ์ความปลอดภัยทางไซเบอร์สมัยใหม่” องค์กรต่างๆ สามารถมองเห็นภัยคุกคามที่อาจยังคงซ่อนอยู่จนกว่าจะเกิดความเสียหาย

ความสามารถในการตรวจจับภัยคุกคามขั้นสูง

ผู้โจมตีในยุคใหม่ใช้เทคนิคที่ซับซ้อนเพื่อหลีกเลี่ยงการตรวจจับ กรอบงาน MITRE ATT&CK จัดทำเอกสารเกี่ยวกับกลวิธีเหล่านี้โดยละเอียด โซลูชัน NDR สอดคล้องกับกรอบงานนี้โดยระบุกิจกรรมที่เกี่ยวข้องกับรูปแบบการโจมตีทั่วไป

ตัวอย่างเช่น NDR ตรวจจับ:

  • การสื่อสารแบบสั่งการและควบคุม
  • การพยายามเคลื่อนไหวด้านข้าง
  • กิจกรรมการขโมยข้อมูล
  • เทคนิคการละเมิดพิธีการ
  • การลาดตระเวนเครือข่าย

พฤติกรรมเหล่านี้สอดคล้องโดยตรงกับเทคนิคที่บันทึกไว้ใน MITRE ATT&CK โดยการตรวจจับกิจกรรมเหล่านี้ในระยะเริ่มต้น NDR ช่วยให้องค์กรตอบสนองได้ก่อนที่ผู้โจมตีจะบรรลุวัตถุประสงค์

แนวทางของ Stellar Cyber ​​ใช้ AI™ หลายชั้นที่ “วิเคราะห์ข้อมูลจากพื้นผิวการโจมตีทั้งหมดโดยอัตโนมัติเพื่อระบุภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น” เทคโนโลยีนี้ช่วยลดผลบวกปลอมในขณะที่ยังคงประสิทธิภาพในการตรวจจับ

บทบาทสำคัญของ NDR ในระบบคลาวด์และความปลอดภัยแบบไฮบริด

การจัดการกับความท้าทายด้านความปลอดภัยบนคลาวด์ที่ไม่ซ้ำใคร

สภาพแวดล้อมบนคลาวด์สร้างความท้าทายด้านความปลอดภัยที่แตกต่างกัน ทรัพยากรหมุนเวียนขึ้นและลงอย่างไดนามิก ขอบเขตของเครือข่ายไม่ชัดเจน เครื่องมือความปลอดภัยแบบเดิมมีปัญหากับความคล่องตัวนี้ องค์กรจะรักษาความปลอดภัยได้อย่างไรเมื่อสภาพแวดล้อมเปลี่ยนแปลงตลอดเวลา

NDR จัดการกับความท้าทายเหล่านี้ผ่านความสามารถในการตรวจสอบบนคลาวด์เฉพาะทาง เซ็นเซอร์ NDR ในระบบคลาวด์จะนำไปใช้ร่วมกับเวิร์กโหลดเพื่อตรวจสอบรูปแบบการรับส่งข้อมูลเฉพาะในสภาพแวดล้อมคลาวด์ แนวทางนี้ช่วยให้ทีมงานด้านความปลอดภัยสามารถรักษาการมองเห็นได้แม้จะมีการเปลี่ยนแปลงโครงสร้างพื้นฐาน

ความท้าทายได้แก่:

  • ทรัพยากรชั่วคราวที่ปรากฏและหายไปอย่างรวดเร็ว
  • โมเดลความรับผิดชอบร่วมกันด้านความปลอดภัยกับผู้ให้บริการระบบคลาวด์
  • การมองเห็นโครงสร้างพื้นฐานของผู้ให้บริการระบบคลาวด์ที่จำกัด
  • การกำหนดที่อยู่ IP แบบไดนามิกและการจัดสรรทรัพยากร
  • สถาปัตยกรรมที่ขับเคลื่อนด้วย API ที่ซับซ้อน

ตามรายงานของ Fidelis Security ความปลอดภัยของเครือข่ายคลาวด์ต้องใช้วิธีการเฉพาะทาง เนื่องจาก “วิธีการแบบเดิมมักไม่สามารถตามทันธรรมชาติแบบไดนามิกของเครือข่ายคลาวด์ได้” NDR ช่วยเติมเต็มช่องว่างนี้ด้วยความสามารถในการตรวจสอบแบบปรับเปลี่ยนได้

การมองเห็นการรับส่งข้อมูลแบบมัลติคลาวด์และไฮบริด

ปัจจุบันองค์กรส่วนใหญ่ดำเนินการในสภาพแวดล้อมแบบมัลติคลาวด์ แนวทางนี้ช่วยเพิ่มประสิทธิภาพและต้นทุนแต่ก็ทำให้เกิดความซับซ้อนด้านความปลอดภัย ผู้ให้บริการคลาวด์แต่ละรายใช้เทคโนโลยี API และการควบคุมความปลอดภัยที่แตกต่างกัน

โซลูชัน NDR แก้ไขปัญหานี้โดยการตรวจสอบแบบรวมศูนย์ในทุกสภาพแวดล้อม โดยจะติดตั้งเซ็นเซอร์หรืออุปกรณ์เสมือนในแต่ละสภาพแวดล้อมบนคลาวด์เพื่อส่งข้อมูลไปยังแพลตฟอร์มการวิเคราะห์ส่วนกลาง ทีมงานด้านความปลอดภัยจะได้รับการมองเห็นที่สอดคล้องกันไม่ว่าเวิร์กโหลดจะทำงานอยู่ที่ใดก็ตาม

มุมมองแบบรวมนี้ช่วยตรวจจับภัยคุกคามที่ครอบคลุมหลายสภาพแวดล้อม ตัวอย่างเช่น ผู้โจมตีอาจเจาะระบบภายในองค์กรแล้วจึงย้ายไปยังทรัพยากรบนคลาวด์ในแนวนอน หากไม่มีการมองเห็นข้ามสภาพแวดล้อม การโจมตีดังกล่าวมักจะไม่ถูกตรวจพบจนกว่าจะเกิดความเสียหายอย่างมีนัยสำคัญ

แนวทางของ eSentire “ผสมผสานการตรวจสอบแพ็กเก็ตเชิงลึกเข้ากับการวิเคราะห์รูปแบบการโจมตีที่เป็นกรรมสิทธิ์และการวิเคราะห์พฤติกรรมเพื่อระบุและบล็อกภัยคุกคามที่ทราบและกิจกรรมที่เป็นอันตรายได้อย่างรวดเร็ว” แนวทางหลายชั้นนี้ใช้ได้กับสภาพแวดล้อมที่หลากหลาย

ตัวอย่างในโลกแห่งความเป็นจริง: การละเมิดข้อมูล Snowflake ในปี 2024

การละเมิดข้อมูลของ Snowflake ในปี 2024 แสดงให้เห็นถึงความสำคัญของการมองเห็นข้อมูลอย่างครอบคลุม ผู้ก่อภัยคุกคามเข้าถึงอินสแตนซ์ Snowflake ของลูกค้าหลายรายโดยใช้ข้อมูลประจำตัวที่ขโมยมาก่อนหน้านี้ การโจมตีครั้งนี้ส่งผลให้เกิด:
  • การขโมยข้อมูลปริมาณมาก
  • ความพยายามรีดไถเงินมูลค่ารวม 2 ล้านเหรียญสหรัฐ
  • ผลกระทบต่อองค์กรสำคัญๆ รวมถึง AT&T และ Ticketmaster
  • ความเสียหายต่อชื่อเสียงของ Snowflake และลูกค้าที่ได้รับผลกระทบ

การละเมิดดังกล่าวเป็นตัวอย่างของความท้าทายด้านความปลอดภัย 2 ประการที่ NDR ช่วยแก้ไข:

  1. ภัยคุกคามขั้นสูงที่ต่อเนื่อง (APT) – แคมเปญระยะยาวที่ซับซ้อนซึ่งกำหนดเป้าหมายไปที่ข้อมูลที่ละเอียดอ่อน
  2. การจัดการข้อมูลประจำตัวและการเข้าถึงไม่เพียงพอ – ผู้โจมตีใช้ข้อมูลประจำตัวที่ขโมยมา

โซลูชัน NDR ที่มีประสิทธิภาพอาจตรวจพบรูปแบบการเข้าถึงข้อมูลที่ผิดปกติหรือปริมาณการค้นหาที่ผิดปกติก่อนที่จะเกิดการขโมยข้อมูลจำนวนมาก โดยการกำหนดพฤติกรรมพื้นฐานสำหรับการเข้าถึงฐานข้อมูลปกติ NDR สามารถระบุกิจกรรมที่น่าสงสัยได้ก่อนที่จะเกิดความเสียหายอย่างมีนัยสำคัญ

NDR เทียบกับแนวทางรักษาความปลอดภัยแบบดั้งเดิม

เสริม EDR เพื่อความครอบคลุมที่สมบูรณ์

Endpoint Detection and Response (EDR) มุ่งเน้นที่ความปลอดภัยของจุดสิ้นสุด โดยจะตรวจสอบกระบวนการและการเปลี่ยนแปลงระบบบนอุปกรณ์แต่ละเครื่อง แม้ว่า EDR จะมีคุณค่า แต่ก็มีข้อจำกัด เนื่องจากไม่สามารถดูปริมาณการรับส่งข้อมูลบนเครือข่ายระหว่างจุดสิ้นสุดได้ และต้องใช้ตัวแทนในระบบที่ตรวจสอบ

NDR ช่วยเสริม EDR โดยให้การมองเห็นการสื่อสารในเครือข่าย เมื่อนำมารวมกันแล้ว จะทำให้มองเห็นภาพรวมด้านความปลอดภัยได้ชัดเจนยิ่งขึ้น:

ความสามารถEDRNDR
การมองเห็นจุดสิ้นสุด 
การตรวจสอบกระบวนการ 
จำเป็นต้องมีตัวแทน 
การมองเห็นปริมาณการรับส่งข้อมูลบนเครือข่าย 
การติดตามการจราจรตะวันออก-ตะวันตก 
การมองเห็นเครือข่ายคลาวด์ 
การปรับใช้แบบไม่ต้องใช้ตัวแทน 

จากผลการค้นหาพบว่าแม้ว่า EDR และ NDR จะอาศัยกลไกการวิเคราะห์ภัยคุกคามและการสร้างโปรไฟล์ที่คล้ายกัน แต่การใช้งานและกรณีการใช้งานของทั้งสองระบบมีความแตกต่างกันอย่างมาก องค์กรต่างๆ จะได้รับประโยชน์สูงสุดจากการใช้งานทั้งสองเทคโนโลยี

ความสัมพันธ์ที่เกื้อหนุนกันนี้เป็นรากฐานของการตรวจจับและตอบสนองแบบขยาย (Extended Detection and Response)XDR(ดังที่ผลการค้นหาแสดงให้เห็น) XDR แสดงถึงการผสานรวมเทคโนโลยีความปลอดภัยหลายอย่างเข้าไว้ในแพลตฟอร์มเดียว

การเอาชนะข้อจำกัดของ IDS/IPS แบบดั้งเดิม

ระบบตรวจจับการบุกรุก (IDS) และระบบป้องกันการบุกรุก (IPS) แบบดั้งเดิมนั้นต้องอาศัยลายเซ็นเป็นหลัก โดยระบบเหล่านี้สามารถตรวจจับภัยคุกคามที่ทราบได้ดี แต่ไม่สามารถตรวจจับภัยคุกคามที่ไม่รู้จักได้ ระบบเหล่านี้จึงสร้างการแจ้งเตือนโดยไม่มีบริบทที่เพียงพอ ส่งผลให้การแจ้งเตือนเกิดความเหนื่อยล้า

NDR ปรับปรุงข้อจำกัดเหล่านี้ผ่าน:

  • การวิเคราะห์พฤติกรรมเพื่อตรวจจับภัยคุกคามที่ไม่รู้จัก
  • การแจ้งเตือนที่มีบริบทหลากหลาย รวมถึงทรัพย์สินที่ได้รับผลกระทบและผลกระทบที่อาจเกิดขึ้น
  • การเรียนรู้ของเครื่องจักรที่ช่วยลดผลบวกปลอม
  • ความสามารถในการตอบสนองอัตโนมัติที่จัดการกับภัยคุกคามแบบเรียลไทม์

จากผลการค้นหา NDR ของ Stellar Cyber ​​"นำเสนอการตรวจจับที่ล้ำหน้าในอุตสาหกรรมโดยใช้วิธีการเรียนรู้ของเครื่องจักรขั้นสูง" และรวมถึง "IDS ที่ใช้ ML และช่วยลดสัญญาณรบกวนสำหรับการโจมตีที่ทราบ" แนวทางนี้ผสมผสานการตรวจจับตามลายเซ็นแบบดั้งเดิมเข้ากับการวิเคราะห์พฤติกรรมขั้นสูง

บทบาทของ NDR ในสถาปัตยกรรม Zero Trust

สถาปัตยกรรม Zero Trust ไม่ถือว่ามีความน่าเชื่อถือโดยปริยายตามตำแหน่งเครือข่าย จำเป็นต้องมีการตรวจสอบอย่างต่อเนื่องสำหรับความพยายามในการเข้าถึงทั้งหมด NDR รองรับโมเดลนี้โดยให้การตรวจสอบการสื่อสารเครือข่ายทั้งหมดอย่างต่อเนื่อง

ในสภาพแวดล้อม Zero Trust, NDR ทำหน้าที่ที่สำคัญ:

  • การตรวจสอบว่าการสื่อสารเครือข่ายสอดคล้องกับรูปแบบที่คาดหวัง
  • การตรวจจับความพยายามในการเข้าถึงที่ผิดปกติซึ่งอาจบ่งชี้ถึงการประนีประนอม
  • การให้บริบทเกี่ยวกับพฤติกรรมเครือข่ายเพื่อการตัดสินใจการเข้าถึง
  • การระบุการเคลื่อนไหวด้านข้างที่ละเมิดนโยบายการแบ่งส่วน

การปฏิบัติตามหลักการ Zero Trust ทำให้ NDR มีความสำคัญอย่างยิ่งในสถาปัตยกรรมความปลอดภัยสมัยใหม่ เมื่อองค์กรต่างๆ นำแบบจำลอง Zero Trust ไปใช้ตามมาตรฐาน NIST SP 800-207 NDR จะมอบการมองเห็นที่จำเป็นในการบังคับใช้การควบคุมการเข้าถึงที่เข้มงวด

ความสามารถ NDR ที่สำคัญสำหรับสภาพแวดล้อมไฮบริด

การตรวจสอบแพ็กเก็ตเชิงลึกและการวิเคราะห์การรับส่งข้อมูล

โซลูชัน NDR สมัยใหม่ใช้การตรวจสอบแพ็กเก็ตแบบเจาะลึกเพื่อวิเคราะห์ปริมาณการรับส่งข้อมูลบนเครือข่าย เทคนิคนี้จะตรวจสอบเนื้อหาของแพ็กเก็ตแทนที่จะตรวจสอบเฉพาะข้อมูลส่วนหัวเท่านั้น โดยจะเผยให้เห็นข้อมูลเชิงลึกที่การวิเคราะห์ระดับพื้นผิวอาจมองข้ามไป

การตรวจสอบแพ็กเก็ตแบบเจาะลึกช่วยให้ NDR สามารถ:

  • ระบุแอปพลิเคชันที่ใช้งานข้ามเครือข่าย
  • ตรวจจับมัลแวร์ที่ซ่อนตัวอยู่ในทราฟฟิกที่ถูกกฎหมาย
  • รับรู้ถึงความพยายามในการขโมยข้อมูล
  • ระบุการละเมิดนโยบายในการสื่อสาร

จากผลการค้นหา NDR ที่มีประสิทธิภาพจะผสมผสาน "การตรวจสอบแพ็กเก็ตเชิงลึกกับการวิเคราะห์รูปแบบการโจมตีที่เป็นกรรมสิทธิ์และการวิเคราะห์พฤติกรรม" เพื่อระบุภัยคุกคาม แนวทางหลายชั้นนี้ช่วยเพิ่มความแม่นยำในการตรวจจับพร้อมทั้งลดผลบวกปลอม

แม้จะมีการรับส่งข้อมูลที่เข้ารหัส NDR ก็ยังมีคุณค่า แม้ว่าการเข้ารหัสจะจำกัดการตรวจสอบเนื้อหา แต่ NDR ก็ยังสามารถวิเคราะห์ข้อมูลเมตา รูปแบบการเชื่อมต่อ และข้อมูลใบรับรองได้ ตัวบ่งชี้เหล่านี้มักจะเผยให้เห็นกิจกรรมที่น่าสงสัยแม้ว่าเนื้อหาของแพ็กเก็ตจะยังคงเข้ารหัสอยู่ก็ตาม

AI และการเรียนรู้ของเครื่องจักรสำหรับการตรวจจับขั้นสูง

ปัญญาประดิษฐ์และการเรียนรู้ของเครื่องจักรช่วยเปลี่ยนแปลงความสามารถของ NDR เทคโนโลยีเหล่านี้วิเคราะห์ข้อมูลเครือข่ายจำนวนมหาศาลเพื่อระบุรูปแบบที่นักวิเคราะห์มนุษย์อาจมองข้ามไป นอกจากนี้ยังสร้างบรรทัดฐานของพฤติกรรมปกติและทำเครื่องหมายความผิดปกติเพื่อการตรวจสอบอีกด้วย

โมเดลการเรียนรู้ของเครื่องจะปรับปรุงขึ้นเมื่อเวลาผ่านไป เนื่องจากปรับตัวให้เข้ากับสภาพเครือข่ายที่เปลี่ยนแปลงไป แนวทางการปรับตัวนี้จะช่วยลดผลบวกปลอมในขณะที่ยังคงประสิทธิภาพการตรวจจับเอาไว้ ช่วยให้ทีมงานด้านความปลอดภัยสามารถมุ่งเน้นไปที่ภัยคุกคามที่แท้จริงแทนที่จะเป็นสัญญาณรบกวน

AI™ หลายชั้นของ Stellar Cyber ​​“วิเคราะห์ข้อมูลจากพื้นผิวการโจมตีทั้งหมดโดยอัตโนมัติเพื่อระบุภัยคุกคามทางไซเบอร์ที่อาจเกิดขึ้น” แนวทางนี้ช่วยให้ตรวจจับภัยคุกคามได้อย่างรวดเร็วผ่านการวิเคราะห์อัตโนมัติ

การตรวจจับที่ขับเคลื่อนด้วย AI มอบคุณค่าพิเศษในสภาพแวดล้อมแบบไฮบริดที่รูปแบบการรับส่งข้อมูลมีการพัฒนาอย่างต่อเนื่อง แนวทางตามกฎเกณฑ์แบบเดิมมีปัญหาในการจัดการกับความซับซ้อนนี้ โมเดลการเรียนรู้ของเครื่องสามารถปรับให้เข้ากับเงื่อนไขแบบไดนามิกเหล่านี้ได้ดีกว่า

การตอบสนองและการแก้ไขอัตโนมัติ

การตรวจจับเพียงอย่างเดียวให้คุณค่าได้จำกัด องค์กรต่างๆ จำเป็นต้องมีความสามารถในการตอบสนองอย่างรวดเร็วต่อภัยคุกคามที่ระบุ โซลูชัน NDR สมัยใหม่ประกอบด้วยความสามารถในการตอบสนองอัตโนมัติที่จัดการกับภัยคุกคามแบบเรียลไทม์

การตอบสนองอัตโนมัติเหล่านี้อาจรวมถึง:

  • การบล็อคการเชื่อมต่อเครือข่ายที่เป็นอันตราย
  • การแยกระบบที่ถูกบุกรุกออกจากเครือข่าย
  • การเริ่มต้นการรวบรวมข้อมูลเพิ่มเติมเพื่อการสืบสวน
  • การกระตุ้นเวิร์กโฟลว์การแก้ไขในระบบบูรณาการ

การบูรณาการระหว่าง Stellar Cyber ​​และ SentinelOne “สามารถทำได้โดยอัตโนมัติทั้งหมด โดยไม่ต้องให้ผู้ก่อภัยคุกคามใช้ประโยชน์จากความล่าช้าและจุดบอดที่มีอยู่ภายใน” การทำงานอัตโนมัตินี้จะช่วยลดเวลาตอบสนองลงอย่างมาก จึงจำกัดความเสียหายที่อาจเกิดขึ้นได้

การนำ NDR ไปใช้งานในสภาพแวดล้อมไฮบริด

กลยุทธ์การใช้งานเพื่อการครอบคลุมสูงสุด

การนำ NDR มาใช้ในสภาพแวดล้อมไฮบริดต้องมีการวางแผนเชิงกลยุทธ์ องค์กรต่างๆ ต้องแน่ใจว่าสามารถมองเห็นส่วนประกอบโครงสร้างพื้นฐานทั้งหมดได้ครบถ้วน ซึ่งโดยทั่วไปจะต้องติดตั้งเซ็นเซอร์หรือตัวรวบรวมข้อมูลที่จุดเครือข่ายเชิงกลยุทธ์

สถานที่ใช้งานทั่วไปได้แก่:

  • จุดคอขวดของเครือข่ายที่การรับส่งข้อมูลมาบรรจบกัน
  • ขอบเขตศูนย์ข้อมูลเพื่อตรวจสอบปริมาณการรับส่งข้อมูลในแนวเหนือ-ใต้
  • ระหว่างกลุ่มเครือข่ายเพื่อจับการสื่อสารแบบตะวันออก-ตะวันตก
  • สภาพแวดล้อมคลาวด์ผ่านอุปกรณ์เสมือนหรือการรวม API
  • การเชื่อมต่อสำนักงานสาขาเพื่อตรวจสอบการรับส่งข้อมูลจากระยะไกล

แนวทางของ Stellar Cyber ​​เกี่ยวข้องกับ "การปรับใช้เซ็นเซอร์ที่ใช้ซอฟต์แวร์ในอินสแตนซ์คลาวด์หรือใช้ตัวรวบรวมข้อมูลตัวเดียวจากพอร์ตมิเรอร์ของสวิตช์เสมือนภายในสถานที่" ความยืดหยุ่นนี้ทำให้มั่นใจได้ถึงการมองเห็นที่สอดคล้องกันในสภาพแวดล้อมที่หลากหลาย

เป้าหมายคือการครอบคลุมอย่างครอบคลุมโดยไม่มีความซับซ้อนในการใช้งานมากเกินไป โซลูชัน NDR ที่ทันสมัยนำเสนอสถาปัตยกรรมที่ปรับขนาดได้ซึ่งปรับให้เข้ากับความต้องการขององค์กร โดยมอบการมองเห็นที่เป็นหนึ่งเดียวโดยไม่คำนึงถึงโครงสร้างพื้นฐานพื้นฐาน

บูรณาการกับโครงสร้างพื้นฐานด้านความปลอดภัยที่มีอยู่

NDR ไม่ได้มีอยู่โดยโดดเดี่ยว แต่เป็นส่วนหนึ่งของระบบนิเวศความปลอดภัยที่กว้างขึ้น การดำเนินการอย่างมีประสิทธิผลต้องบูรณาการกับเครื่องมือและกระบวนการด้านความปลอดภัยที่มีอยู่

จุดบูรณาการที่สำคัญได้แก่:

  • ข้อมูลความปลอดภัยและการจัดการเหตุการณ์ (SIEMระบบสำหรับการเชื่อมโยงการแจ้งเตือน
  • แพลตฟอร์มการประสานงาน การทำงานอัตโนมัติ และการตอบสนองด้านความปลอดภัย (SOAR) สำหรับเวิร์กโฟลว์อัตโนมัติ
  • การตรวจจับและตอบสนองจุดสิ้นสุด (EDR) สำหรับบริบทจุดสิ้นสุด
  • แพลตฟอร์มข่าวกรองภัยคุกคามสำหรับการตรวจจับที่ได้รับการปรับปรุง
  • ระบบการจัดการตัวตนและการเข้าถึงสำหรับบริบทผู้ใช้

Open Cybersecurity Alliance ของ Stellar Cyber ​​มุ่งมั่นอย่างจริงจังต่อความเปิดกว้าง โดยมีจุดบูรณาการที่ใช้งานอยู่กว่า 400 จุดทั่วโดเมนที่สำคัญ แนวทางนี้ช่วยให้มั่นใจได้ว่า NDR จะทำงานได้อย่างราบรื่นภายในระบบนิเวศความปลอดภัยที่มีอยู่

การบูรณาการเหล่านี้จะสร้างโครงสร้างความปลอดภัยที่เครื่องมือต่างๆ จะแบ่งปันข้อมูลและทำงานร่วมกัน NDR มอบการมองเห็นเครือข่ายที่เสริมความสามารถด้านความปลอดภัยอื่นๆ ผลลัพธ์คือการตรวจจับภัยคุกคามที่มีประสิทธิภาพมากขึ้นและการตอบสนองต่อเหตุการณ์ที่เกิดขึ้นได้เร็วขึ้น

ตัวอย่างในโลกแห่งความเป็นจริง: การละเมิดข้อมูลสาธารณะระดับชาติในปี 2024

การละเมิดข้อมูลสาธารณะระดับชาติในปี 2024 แสดงให้เห็นถึงความสำคัญของการตรวจสอบเครือข่ายอย่างต่อเนื่อง จากผลการค้นหา พบว่าแฮกเกอร์สามารถเข้าถึงระบบข้อมูลสาธารณะระดับชาติได้ในเดือนเมษายน 2024 และขโมยข้อมูลกว่า 2.9 พันล้านรายการซึ่งมีข้อมูลส่วนบุคคลที่ละเอียดอ่อน การละเมิดดังกล่าวเริ่มต้นจากความพยายามเข้าถึงระบบตั้งแต่เดือนธันวาคม 2023 ไทม์ไลน์ที่ขยายออกไปนี้ซึ่งผู้โจมตีอยู่ในเครือข่ายเป็นเวลาหลายเดือน เน้นย้ำถึงความจำเป็นในการตรวจสอบและวิเคราะห์พฤติกรรมอย่างต่อเนื่อง โซลูชัน NDR ที่มีประสิทธิภาพอาจตรวจพบสิ่งต่อไปนี้:
  1. ความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาตเบื้องต้น
  2. กิจกรรมการลาดตระเวนภายในที่ไม่ธรรมดา
  3. รูปแบบการเข้าถึงข้อมูลที่ผิดปกติ
  4. การขโมยข้อมูลขนาดใหญ่
ในที่สุดการละเมิดข้อมูลสาธารณะแห่งชาติก็นำไปสู่การยื่นฟ้องล้มละลายตามมาตรา 11 ในเดือนตุลาคม 2024 และปิดตัวลงโดยสมบูรณ์ในเดือนธันวาคม 2024 ผลลัพธ์นี้แสดงให้เห็นถึงความเสี่ยงต่อการดำรงอยู่ที่อาจเกิดขึ้นจากภัยคุกคามทางไซเบอร์ขั้นสูงที่ก่อให้เกิดกับองค์กรที่ไม่มีความสามารถในการตรวจจับที่เหมาะสม

อนาคตของ NDR ในความปลอดภัยไฮบริด

การบรรจบกันกับ XDR และ SIEM

อุตสาหกรรมด้านความปลอดภัยยังคงพัฒนาไปสู่แนวทางแบบบูรณาการมากขึ้นเรื่อยๆ เทคโนโลยี NDR ผสานรวมเข้ากับเทคโนโลยีความปลอดภัยอื่นๆ มากขึ้นในฐานะส่วนหนึ่งของแนวทางที่ครอบคลุมยิ่งขึ้น XDR แพลตฟอร์ม (การตรวจจับและการตอบสนองแบบขยาย)

จากผลการค้นหา XDR ระบบนี้แสดงถึงการผสานรวมแนวทางการรักษาความปลอดภัยหลายรูปแบบ โดยนำความสามารถจาก EDR, NDR และเครื่องมือรักษาความปลอดภัยอื่นๆ มาไว้ในแพลตฟอร์มเดียว การผสานรวมนี้ให้การป้องกันที่ครอบคลุมมากกว่าโซลูชันเฉพาะจุดแต่ละอย่าง

Stellar Cyber ​​วางตำแหน่งตัวเองอยู่แถวหน้าของการบรรจบกันนี้ Open XDR แพลตฟอร์มนี้ผสานรวม NDR เข้ากับความสามารถด้านความปลอดภัยอื่นๆ แนวทางนี้มอบ “ความสามารถในการป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามแบบครบวงจร” ในสภาพแวดล้อมที่หลากหลาย

ในอนาคตอาจเกี่ยวข้องกับการบูรณาการเพิ่มเติมระหว่าง NDR และเทคโนโลยีที่เกี่ยวข้อง แพลตฟอร์มการดำเนินงานด้านความปลอดภัยจะรวมการมองเห็นเครือข่ายควบคู่ไปกับความสามารถด้านความปลอดภัยของจุดสิ้นสุด ตัวตน และคลาวด์ การบูรณาการนี้จะให้การป้องกันที่ครอบคลุมมากขึ้นต่อภัยคุกคามที่เปลี่ยนแปลงไป

ความก้าวหน้าที่ขับเคลื่อนโดย AI ในด้านความปลอดภัยเครือข่าย

ปัญญาประดิษฐ์จะเข้ามาเปลี่ยนแปลงความสามารถของ NDR ต่อไป โมเดลการเรียนรู้ของเครื่องจักรจะซับซ้อนมากขึ้น โมเดลเหล่านี้จะตรวจจับรูปแบบการโจมตีที่ละเอียดอ่อนซึ่งระบบปัจจุบันอาจมองข้ามไป โมเดลเหล่านี้จะปรับตัวให้เข้ากับสภาพเครือข่ายที่เปลี่ยนแปลงไปและภัยคุกคามที่เกิดขึ้นใหม่ได้เร็วขึ้น

การใช้ AI™ หลายชั้นของ Stellar Cyber ​​เพื่อวิเคราะห์ข้อมูลและตรวจจับภัยคุกคาม ถือเป็นสถานะปัจจุบันของ AI ในด้านการรักษาความปลอดภัยเครือข่าย ความก้าวหน้าในอนาคตน่าจะรวมถึง:

  • โมเดลพฤติกรรมที่ซับซ้อนมากขึ้นในการตรวจจับรูปแบบการโจมตีที่ซับซ้อน
  • การตรวจจับความผิดปกติที่ได้รับการปรับปรุงโดยมีค่าบวกปลอมน้อยลง
  • ความสามารถในการทำนายล่วงหน้าถึงเวกเตอร์การโจมตีที่อาจเกิดขึ้น
  • การล่าภัยคุกคามอัตโนมัติช่วยระบุความเสี่ยงอย่างเชิงรุก

ความก้าวหน้าเหล่านี้จะทำให้ NDR มีประสิทธิภาพมากยิ่งขึ้นในสภาพแวดล้อมแบบไฮบริด ความก้าวหน้าเหล่านี้จะช่วยให้ทีมงานด้านความปลอดภัยสามารถรับมือกับความซับซ้อนที่เพิ่มมากขึ้นของการโจมตีได้ ขณะเดียวกันก็จัดการกับความซับซ้อนของเครือข่ายที่เพิ่มมากขึ้นด้วย

NDR เป็นรากฐานสำคัญของระบบรักษาความปลอดภัยแบบไฮบริด

Network Detection and Response ได้พัฒนาจากเครื่องมือเฉพาะทางไปเป็นส่วนประกอบด้านความปลอดภัยที่จำเป็น ความสามารถในการมองเห็นสภาพแวดล้อมแบบไฮบริดทำให้เครื่องมือนี้มีประโยชน์อย่างยิ่งในภูมิทัศน์ด้านความปลอดภัยที่ซับซ้อนในปัจจุบัน องค์กรต่างๆ ต้องเผชิญกับคำถามสำคัญ: พวกเขาจะปกป้องสิ่งที่มองไม่เห็นได้อย่างไร

NDR ตอบคำถามนี้ผ่านการมองเห็นเครือข่ายแบบครอบคลุม โดยจะตรวจสอบปริมาณการใช้งานทั่วทั้งสภาพแวดล้อมภายในองค์กร คลาวด์ และไฮบริด ตรวจจับภัยคุกคามผ่านการวิเคราะห์พฤติกรรมและการเรียนรู้ของเครื่องจักร ช่วยให้ตอบสนองได้อย่างรวดเร็วผ่านระบบอัตโนมัติและการบูรณาการ

การละเมิดข้อมูลล่าสุด เช่น Snowflake และ National Public Data เน้นย้ำถึงความสำคัญของการมองเห็นเครือข่าย ในทั้งสองกรณี ผู้โจมตียังคงเข้าถึงข้อมูลได้เป็นระยะเวลานานก่อนที่จะถูกตรวจพบ การนำ NDR มาใช้อย่างครอบคลุมอาจระบุภัยคุกคามเหล่านี้ได้เร็วกว่า จึงจำกัดความเสียหายได้

ผู้นำด้านความปลอดภัยควรประเมินความสามารถในการมองเห็นปัจจุบันในสภาพแวดล้อมแบบไฮบริด พวกเขามีจุดบอดที่อาจซ่อนภัยคุกคามไว้หรือไม่ พวกเขาสามารถตรวจจับรูปแบบการรับส่งข้อมูลที่ผิดปกติซึ่งบ่งชี้ถึงความเสี่ยงได้หรือไม่ NDR จัดการช่องว่างเหล่านี้โดยให้การตรวจสอบอย่างต่อเนื่องในทุกสภาพแวดล้อม

เนื่องจากสภาพแวดล้อมแบบไฮบริดยังคงพัฒนาอย่างต่อเนื่อง NDR จึงมีความสำคัญเพิ่มมากขึ้น องค์กรที่นำระบบการมองเห็นเครือข่ายแบบครอบคลุมมาใช้จะได้รับประโยชน์ด้านความปลอดภัยอย่างมาก เนื่องจากสามารถตรวจจับภัยคุกคามได้เร็วขึ้น ตอบสนองได้อย่างมีประสิทธิภาพมากขึ้น และลดความเสี่ยงด้านความปลอดภัยโดยรวมในรอยเท้าดิจิทัลที่ขยายตัว

ฟังดูดีเกินไปที่จะ
จริงมั้ย?
ดูด้วยตัวคุณเอง!

ขอการสาธิต
เลื่อนไปที่ด้านบน
ลงทะเบียนเพื่อรับจดหมายข่าว