คุณสมบัติหลักที่ต้องพิจารณาเมื่อเลือกโซลูชัน NDR
Gartner XDR คู่มือการตลาด
XDR เป็นเทคโนโลยีที่กำลังพัฒนาอย่างต่อเนื่อง ซึ่งสามารถนำเสนอความสามารถในการป้องกัน ตรวจจับ และตอบสนองต่อภัยคุกคามแบบครบวงจร...
สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!
ค้นพบ AI ล้ำสมัยของ Stellar Cyber เพื่อการตรวจจับภัยคุกคามทันที
เหตุใดคุณจึงต้องการโซลูชัน NDR
ความปลอดภัยของเครือข่ายถือเป็นหนึ่งในขอบเขตที่ยากที่สุดที่จะควบคุมได้เสมอมา แม้แต่โครงร่างเครือข่ายที่ค่อนข้างซับซ้อนก็สามารถรักษาความปลอดภัยได้อย่างง่ายดายด้วยไฟร์วอลล์ธรรมดา หากไม่ใช่เพราะปัจจุบันบริการต่างๆ จำนวนมากเป็นแบบกระจายอำนาจ เมื่อมีอุปกรณ์จำนวนมากอยู่ภายนอกขอบเขตแบบเดิม ความเสี่ยงต่อช่องโหว่จึงสูงขึ้นกว่าที่เคย และไม่ใช่แค่บริการเท่านั้นที่ถูกแยกออกจากการป้องกันของคุณเอง พนักงานยังต้องพึ่งพาเครือข่ายไร้สายซึ่งเสี่ยงต่อการดักฟังและการเข้าถึงโดยไม่ได้รับอนุญาตมากขึ้นด้วย ลักษณะโดยธรรมชาติของการสื่อสารไร้สายทำให้การรักษาความปลอดภัยเครือข่ายเหล่านี้ต้องใช้ความระมัดระวังอย่างต่อเนื่องและโปรโตคอลความปลอดภัยขั้นสูง
นอกจากภูมิทัศน์เครือข่ายที่เปลี่ยนแปลงแล้ว ยังมีภัยคุกคามจากอาชญากรไซเบอร์ที่แสวงหากำไรซึ่งต้องเผชิญอยู่เสมอ เทคนิคที่ซับซ้อนพบเห็นได้ทั่วไปมากขึ้น ในขณะที่การโจมตีที่ได้รับการสนับสนุนจากรัฐก็เกิดขึ้นอย่างแพร่หลายภายใต้ความตึงเครียดทางภูมิรัฐศาสตร์ในปัจจุบัน ภัยคุกคามเหล่านี้มักใช้ประโยชน์จากเครื่องมือและการกำหนดค่าเครือข่ายที่ถูกต้องตามกฎหมาย ซึ่งทำให้พนักงานจริงเชื่อมต่ออยู่ ทำให้ตรวจจับและป้องกันได้ยากขึ้น
ดังนั้น องค์กรต่างๆ จำเป็นต้องคอยจับตาดูปริมาณการรับส่งข้อมูลที่ไหลผ่านชุดเทคโนโลยีของตน ลองใช้โซลูชัน NDR ดูสิ เครื่องมือเหล่านี้จะติดตามกิจกรรมเครือข่ายที่เกิดขึ้นอย่างต่อเนื่องโดยใช้ AI ช่วยให้คุณตรวจจับและตอบสนองต่อการพัฒนาที่เกี่ยวข้องได้เร็วขึ้นมาก เรียนรู้เกี่ยวกับ NDR คืออะไร.
คุณสมบัติที่สำคัญของ NDR คืออะไร?
Deep Packet Inspection
กิจกรรมเครือข่ายมีหลายรูปแบบ แต่ในระดับแอปพลิเคชัน แพ็กเก็ตมีความสำคัญอย่างยิ่ง เมื่อข้อมูลถูกส่งผ่านเครือข่าย ข้อมูลจะถูกแบ่งออกเป็นส่วนต่างๆ ที่สามารถจัดการได้มากขึ้น เรียกว่าแพ็กเก็ต เช่นเดียวกับจดหมาย แต่ละแพ็กเก็ตประกอบด้วยที่อยู่ที่ถูกส่งไป เช่นเดียวกับข้อความจริงหรือข้อมูลที่ถูกส่ง การตรวจสอบแพ็กเก็ตแบบดั้งเดิมจะตรวจสอบเฉพาะส่วนหัวของข้อมูลนี้ ซึ่งมีเพียงข้อมูลเกี่ยวกับปลายทางและผู้ส่งเท่านั้น น่าเสียดายที่การปลอมแปลงใบรับรองแบบธรรมดายังช่วยให้ผู้โจมตีสามารถหลีกเลี่ยงการป้องกันนี้ได้ ซึ่งหมายความว่าในยุคปัจจุบัน การตรวจสอบแพ็กเก็ตเชิงลึกถือเป็นมาตรฐานขั้นต่ำสำหรับฟีเจอร์ NDR ที่ปลอดภัย
การตรวจสอบแพ็คเก็ตแบบลึกอาศัยจุดเชื่อมต่อส่วนกลางและการแตะเครือข่าย: ซึ่งจะทำให้สามารถเข้าถึงข้อมูลแพ็คเก็ตได้เต็มรูปแบบ ความสามารถในการมองเห็นไม่เพียงแค่ส่วนหัวของแพ็กเก็ตเท่านั้น แต่ยังรวมถึงเนื้อหาและโปรโตคอลที่มาพร้อมกับนั้น ช่วยให้มองเห็นสิ่งที่ถูกส่งผ่านเครือข่ายของคุณได้ในระดับที่ลึกยิ่งขึ้น การรู้ว่าแอปพลิเคชัน ผู้ใช้ และอุปกรณ์ใดกำลังถ่ายโอนแพ็กเก็ตข้อมูลใด จะช่วยให้เข้าใจและเพิ่มประสิทธิภาพเครือข่ายได้เร็วยิ่งขึ้น
อย่างไรก็ตาม DPI มาพร้อมกับข้อเสียเปรียบที่สำคัญบางประการ ผู้โจมตีทราบเรื่องนี้อยู่แล้ว ตัวอย่างเช่น DPI ต้องการพลังการประมวลผลจำนวนมาก เนื่องจากมีการตรวจสอบส่วนข้อมูลของแพ็กเก็ตทุกอย่างละเอียด น่าแปลกที่ DPI มีประโยชน์น้อยกว่าในเครือข่ายแบนด์วิธสูง เนื่องจากไม่สามารถตรวจสอบแพ็กเก็ตเครือข่ายทั้งหมดได้
องค์กรต่างๆ หันมาใช้การเข้ารหัสบ่อยขึ้นเพื่อความปลอดภัยของการสื่อสารบนเครือข่ายและการโต้ตอบทางดิจิทัล น่าเสียดายที่ผู้โจมตีก็เช่นกัน DPI พยายามรวบรวมข้อมูลจำนวนมากจากข้อมูลเครือข่ายที่เข้ารหัส ซึ่งหมายความว่าพวกเขาจะไม่สามารถตรวจจับการสื่อสารที่เข้ารหัสระหว่างโทรจันแรนซัมแวร์และเซิร์ฟเวอร์ C2 ได้
เพื่อต่อสู้กับสิ่งนี้ เครื่องมือ NDR ของคุณต้องมีมากกว่า DPI ในชุดเครื่องมือ
การวิเคราะห์ข้อมูลเมตา
การวิเคราะห์ข้อมูลเมตา (MA) ก้าวถอยหลังจากแนวทางแบบแพ็คเก็ตต่อแพ็กเก็ตแบบเจาะจงแบบเจาะจงของ DPI แทนที่จะบันทึกคุณลักษณะทั้งหมดเกี่ยวกับการสื่อสารเครือข่าย แอปพลิเคชัน และนักแสดง โดยไม่ต้องเจาะลึกเข้าไปในเพย์โหลดทั้งหมดของแต่ละแพ็กเก็ต นี่คือวิธีที่ NDR สามารถบรรลุสิ่งที่ดีที่สุดส่วนใหญ่ได้ กรณีการใช้งาน NDR
สำหรับทุกเซสชันที่เดินทางผ่านเครือข่าย ข้อมูลเมตาที่ครอบคลุมจะถูกบันทึก ข้อมูลเมตานี้ขยายเพื่อจับคุณลักษณะที่สำคัญต่างๆ ที่สามารถระบุการโจมตีทางไซเบอร์ได้ทันเวลา ในระดับพื้นฐานที่สุด ซึ่งรวมถึงที่อยู่ IP ของโฮสต์และเซิร์ฟเวอร์ หมายเลขพอร์ต และรายละเอียดตำแหน่งทางภูมิศาสตร์ของการเชื่อมต่อทุกครั้ง แต่ข้อมูลเมตานำเสนอข้อมูลมากมายมากกว่านั้น: บันทึก DNS และ DHCP ช่วยจับคู่อุปกรณ์กับที่อยู่ IP ในขณะที่รายละเอียดเพิ่มเติมเกี่ยวกับการเข้าถึงหน้าเว็บสามารถสร้างภาพที่ชัดเจนยิ่งขึ้นของการเชื่อมต่อที่กำลังดำเนินไป บันทึกของตัวควบคุมโดเมนช่วยเชื่อมโยงผู้ใช้กับระบบที่พวกเขาอาจมีสิทธิ์เข้าถึง ปัญหาการเข้ารหัส DPI ถูกขัดขวางเนื่องจากการมีอยู่ของข้อมูลเมตาแม้บนหน้าเว็บที่เข้ารหัส: จากประเภทของการเข้ารหัส, การเข้ารหัส, แฮช; ไปยังชื่อโดเมนแบบเต็มของไคลเอ็นต์และเซิร์ฟเวอร์ และการแฮชของออบเจ็กต์ต่างๆ เช่น JavaScript และรูปภาพ ข้อมูลเครือข่ายทั้งหมดนี้สามารถส่งผ่านไปยัง NDR สมัยใหม่ได้
การวิเคราะห์ข้อมูลเมตาช่วยให้มองเห็นเครือข่ายทั้งหมดได้ ทำให้ MA เหมาะสมที่สุดสำหรับเครือข่ายที่ไม่ปลอดภัยโดย DPI กล่าวคือเครือข่ายแบนด์วิธสูงที่มีการกระจายตัวมากขึ้น ในขณะเดียวกัน โปรดทราบว่า MA จะไม่ได้รับผลกระทบจากการเข้ารหัส ทำให้สามารถตรวจจับและป้องกันการโจมตีทางไซเบอร์ขั้นสูงที่ซ่อนอยู่เบื้องหลังกระบวนการเข้ารหัสการรับส่งข้อมูล การมุ่งเน้นไปที่ข้อมูลเครือข่ายหลายแหล่งนั้นเหมาะสมกว่ามากกับสแต็กการรักษาความปลอดภัยแบบข้ามสายงานและบูรณาการอย่างแน่นหนาในปัจจุบัน
การวิเคราะห์พฤติกรรม
เราได้กล่าวถึงข้อมูลที่ควรรวบรวมและเหตุผลแล้ว แต่ไม่ได้กล่าวถึงวิธีการนำไปใช้เพื่อรักษาความปลอดภัยเครือข่ายของคุณให้ดีขึ้น ในอดีต ความพยายามในการป้องกันเครือข่ายมุ่งเน้นไปที่การจัดข้อมูลแพ็คเก็ตให้สอดคล้องกับลายเซ็นที่มีอยู่ในการโจมตีของมัลแวร์ที่รู้จัก แม้ว่าจะดีกว่าไม่มีเลย แต่แนวทางนี้ทำให้เครือข่ายของคุณเปิดรับการโจมตีใหม่ๆ การโจมตีในปัจจุบันไม่มีที่ว่างสำหรับข้อผิดพลาด ดังที่พิสูจน์แล้ว การโจมตีแรนซั่มแวร์มูลค่า 22 ล้านดอลลาร์ล่าสุดใน Change Healthcare และยังมีอีกมากมายที่จะเกิดขึ้นเร็วๆ นี้.
การวิเคราะห์พฤติกรรมเป็นคำตอบของอุตสาหกรรมต่อการโจมตีรูปแบบใหม่และแบบกระจายที่เพิ่มขึ้นในปัจจุบัน อัลกอริธึมการเรียนรู้ของเครื่องช่วยให้สามารถจัดกลุ่มข้อมูลเมตาและข้อมูลแพ็คเก็ตทั้งหมดนี้เป็นรูปแบบพฤติกรรมที่กว้างขึ้นได้ สิ่งนี้สามารถทำได้ในสองวิธีที่แตกต่างกัน: เทคนิคการเรียนรู้แบบมีผู้สอนและแบบไม่มีผู้ดูแล การเรียนรู้ของเครื่องที่ได้รับการดูแลจะระบุพฤติกรรมพื้นฐานที่พบบ่อยในภัยคุกคามรูปแบบต่างๆ (เช่น ข้อเท็จจริงที่ว่ามัลแวร์ที่เพิ่งปรับใช้มักจะเข้าถึงเซิร์ฟเวอร์ C2) ทำให้สามารถตรวจจับได้อย่างสม่ำเสมอในสถานการณ์ที่แตกต่างกัน ในทางกลับกัน อัลกอริธึมการเรียนรู้ของเครื่องที่ไม่ได้รับการดูแลจะกรองข้อมูลองค์กรในขนาดที่กว้างกว่ามาก โดยทำการคำนวณตามความน่าจะเป็นหลายพันล้านรายการจากข้อมูลที่สังเกตได้ อัลกอริธึมเหล่านี้ไม่ได้อาศัยความรู้เกี่ยวกับภัยคุกคามก่อนหน้านี้ แต่จัดหมวดหมู่ข้อมูลและระบุรูปแบบที่สำคัญอย่างอิสระ
โดยพื้นฐานแล้ว อัลกอริทึมแบบไม่ใช้การกำกับดูแลจะช่วยให้เครื่องมือ NDR สามารถสร้างเกณฑ์มาตรฐานของสิ่งที่ปกติสำหรับเครือข่ายของคุณได้ จากนั้นจึงช่วยให้เครื่องมือเหล่านี้สามารถดำเนินการต่อไปได้ SOC ให้ทีมตรวจสอบหาความเชื่อมโยงที่ผิดปกติซึ่งปรากฏขึ้นอย่างกะทันหัน: สิ่งเหล่านี้อาจเป็นตัวบ่งชี้ของการโจมตีห่วงโซ่อุปทาน หากความเชื่อมโยงเหล่านั้นเกิดขึ้นจากแหล่งเดียวอย่างกะทันหัน หรือหากมีการส่งข้อมูลไปยังอุปกรณ์ภายนอกมากกว่าค่าเฉลี่ย อาจเป็นหลักฐานของผู้ใช้ที่เป็นอันตรายหรือถูกบุกรุก ทั้งแบบจำลองการเรียนรู้แบบมีผู้กำกับดูแลและแบบไม่มีผู้กำกับดูแลมีความสำคัญ เนื่องจากโดยรวมแล้วครอบคลุมการวิเคราะห์พฤติกรรมที่เครือข่ายของคุณต้องการอย่างครบถ้วน
หน่วยสืบราชการลับภัยคุกคาม
การผสานรวมกับฟีดข่าวกรองภัยคุกคามทำให้ระบบ NDR สามารถอ้างอิงโยงกิจกรรมเครือข่ายกับภัยคุกคามที่รู้จัก ที่อยู่ IP ที่เป็นอันตราย และตัวบ่งชี้การประนีประนอม (IoC) สิ่งนี้ช่วยให้โซลูชัน NDR ระบุและตรวจจับภัยคุกคามที่ได้รับการสังเกตและบันทึกโดยชุมชนความปลอดภัยในวงกว้าง เมื่อใช้ร่วมกับโซลูชัน NDR ฟีดข้อมูลภัยคุกคามจะทำหน้าที่เป็นผู้ให้บริการบริบทที่รวดเร็วและแม่นยำ สิ่งนี้ไปไกลกว่ามัลแวร์พื้นฐานในสมัยก่อน ด้วยฟีด Intel ภัยคุกคามชั้นนำของตลาด รวมถึงกลยุทธ์ เทคนิค และขั้นตอนของการโจมตีครั้งล่าสุด รวมถึงผลกระทบจากการโจมตีดังกล่าว
ข้อมูลเชิงบริบทนี้ช่วยให้โซลูชัน NDR เข้าใจธรรมชาติของความผิดปกติที่ตรวจพบได้ดีขึ้น และทำการตัดสินใจอย่างมีข้อมูลมากขึ้นเกี่ยวกับการตอบสนองที่เหมาะสม การสนับสนุนสำหรับนักวิเคราะห์ของคุณสามารถเพิ่มให้ลึกซึ้งยิ่งขึ้นได้โดยการบูรณาการเพิ่มเติมกับกรอบงาน MITER ATT&CK รวมถึงการสนับสนุนเพิ่มเติมจากเครื่องมือที่ทำให้ส่วนที่เหลือในองค์กรของคุณปลอดภัย
การผสานรวม Tech Stack ด้านความปลอดภัย
คุณไม่ควรจำกัดนักวิเคราะห์ความปลอดภัยไว้แค่แพลตฟอร์มเดียว – เช่นเดียวกับที่แหล่งข้อมูลข่าวกรองจากภายนอกให้บริบทเกี่ยวกับภัยคุกคามต่างๆ ระบบเทคโนโลยีโดยรวมของคุณก็สามารถให้มุมมองเฉพาะเจาะจงเกี่ยวกับสภาพแวดล้อมของคุณเองได้เช่นกัน เมื่อ NDR ผสานรวมกับ Endpoint Detection and Response (EDR) และ Security Information and Event Management (SIEMด้วยเครื่องมือที่คุณมีอยู่แล้ว ทีมของคุณจึงสามารถทำงานได้อย่างหลากหลายในระดับเดียวกับผู้โจมตี
ใช้กรอบการทำงานของ MITER ATT&CK: แม้ว่า MITER ATT&CK จะได้รับการพัฒนาอย่างชัดเจนเพื่อระบุกลยุทธ์ เทคนิค และขั้นตอนปฏิบัติ (TTP) แต่ MITER ATT&CK ก็มีอคติที่สำคัญต่อกลยุทธ์จุดสิ้นสุด ด้วยเหตุนี้ EDR จึงได้เห็นช่วงหนึ่งของการลงทุนที่สำคัญในอุตสาหกรรมต่างๆ สิ่งนี้เป็นสิ่งที่เข้าใจได้อย่างสมบูรณ์แบบ: การจับคู่เครื่องมือของคุณกับเฟรมเวิร์กชั้นนำของอุตสาหกรรมถือเป็นก้าวไปในทิศทางที่ถูกต้อง อย่างไรก็ตาม การจับตาดูความเป็นจริงของการแสวงหาประโยชน์จากช่องโหว่เป็นสิ่งสำคัญ เมื่อแคมเปญโจมตีสิ้นสุดลง เทคนิคสำคัญๆ มากมายจะตรวจพบได้ง่ายกว่าจากมุมมองของเครือข่าย ในช่วงเวลาเดียวกันของการโจมตีระยะสุดท้ายนี้ นาทีต่างๆ ผ่านไปอย่างรวดเร็วอย่างไม่น่าเชื่อ โดยการลดความสำคัญของกิจกรรมเครือข่าย บางองค์กรกำลังลดศักยภาพในการตอบสนองด้านความปลอดภัยในเวลาที่สำคัญที่สุด การวิเคราะห์และเชื่อมโยงข้อมูลจากทั้งอุปกรณ์ปลายทางและแหล่งที่มาของเครือข่ายช่วยให้นักวิเคราะห์มองเห็นได้ครบถ้วน
ตรวจจับและตอบสนองเครือข่ายอัตโนมัติด้วย Stellar Cyber
เมื่อ NDR ตรวจพบกิจกรรมที่น่าสงสัยหรือเป็นอันตรายภายในเครือข่าย ข้อมูลนี้จะต้องถูกส่งไปยังทีมรักษาความปลอดภัยของคุณด้วยความชัดเจนและมีประสิทธิภาพสูงสุด ในเหตุการณ์ด้านความปลอดภัยที่สำคัญ ทุกวินาทีมีความสำคัญ โดยปกติแล้ว การแจ้งเตือนบนเครือข่ายจะถูกส่งไปยังรายการแจ้งเตือนเดียวกันกับอย่างอื่น ส่งผลให้เกิดงานค้างนับไมล์ที่กินเวลาอันมีค่ามากขึ้นเรื่อยๆ จากชั่วโมงที่จำกัดของนักวิเคราะห์ความปลอดภัยของคุณ NDR ยุคใหม่ตระหนักดีว่ากระแสการแจ้งเตือนที่ไม่มีที่สิ้นสุดสร้างความเสียหายต่อความปลอดภัยขององค์กรด้วยวิธีของตนเอง แต่กลับมุ่งที่จะเปรียบเทียบปัญหาแต่ละรายการเป็นการแจ้งเตือนตามบริบทที่กว้างขึ้น
ด้วยการเชื่อมต่อกับชุดเครื่องมือป้องกันที่กว้างขึ้น โซลูชัน NDR อัตโนมัติสามารถรับมือกับงานที่ยุ่งวุ่นวายซึ่งทำให้ทีมรักษาความปลอดภัยของคุณช้าลงในปัจจุบัน การแยกส่วนแบบแมนนวลแบบอัตโนมัติยังคงเป็นเส้นตรงและช้าอย่างน่าตกใจ ดังนั้นในขณะที่การตอบสนองแบบหลายแง่มุมสามารถผลักดันการตรวจจับภัยคุกคามไปสู่ระดับใหม่ได้ จุดอ่อนยังคงเป็นความจริงที่ว่านักวิเคราะห์สามารถประมวลผลข้อมูลจำนวนมากในแต่ละครั้งเท่านั้น เข้าสู่อัลกอริทึม
แนวทางการรักษาความปลอดภัยแบบองค์รวมที่เพิ่มมากขึ้นนี้เป็นรากฐานของ Extended Detection and Response แทนที่จะโหลดเครื่องมือ แดชบอร์ด และการแจ้งเตือนให้นักวิเคราะห์มากขึ้นเรื่อยๆ ระยะใหม่ของการรักษาความปลอดภัยทางไซเบอร์มุ่งเป้าไปที่การใช้ข้อมูลจำนวนมหาศาลที่มีอยู่แล้วเพียงปลายนิ้วสัมผัสผ่านระบบอัตโนมัติ
Stellar Cyber's Open XDR แพลตฟอร์มนี้ใช้ความสามารถของ NDR แบบแยกส่วน และผสานรวมเข้ากับ EDR และอัลกอริธึมการทำงานอัตโนมัติ ด้วยวิธีนี้ ระบบรักษาความปลอดภัยของคุณจะไม่ใช่แค่การวิเคราะห์แบบผิวเผินในแต่ละส่วนของระบบเทคโนโลยีของคุณอีกต่อไป แต่การแจ้งเตือนจากอุปกรณ์หนึ่งสามารถนำมาเปรียบเทียบและวิเคราะห์กับกิจกรรมเครือข่ายที่เกี่ยวข้องได้ ข้อมูลที่มากขึ้นไม่เพียงแต่ช่วยให้นักวิเคราะห์ด้านความปลอดภัยเข้าใจธรรมชาติและผลกระทบที่อาจเกิดขึ้นจากภัยคุกคามที่ตรวจพบได้อย่างครอบคลุมเท่านั้น แต่การพึ่งพาการวิเคราะห์ขั้นสูงยังช่วยให้ทุกแง่มุมมีอิทธิพลต่อระดับความรุนแรงของการแจ้งเตือนอีกด้วย
ด้วยการตั้งค่าการแจ้งเตือนล่วงหน้าโดยระบุระดับความสำคัญ Stellar Cyber จึงสามารถ... XDR เครื่องมือนี้สามารถมองเห็นผลกระทบที่อาจเกิดขึ้นและความน่าจะเป็นของการถูกโจมตีได้อย่างรวดเร็วและง่ายดาย ระบบอัตโนมัตินี้เป็นกุญแจสำคัญไม่เพียงแต่ในการจัดการข้อมูลเครือข่ายจำนวนมหาศาลเท่านั้น แต่ยังรวมถึงการระบุความผิดปกติและข้อกังวลที่จำเป็นต้องได้รับการแก้ไขอย่างแท้จริง ลองประเมินความสัมพันธ์ขององค์กรของคุณกับระบบแจ้งเตือนเครือข่ายอีกครั้งในวันนี้ ดูว่า Stellar นำทางทีมรักษาความปลอดภัยให้แก้ไขปัญหาได้เร็วกว่าที่เคยได้อย่างไร.
