NDR กับ EDR: ความแตกต่างที่สำคัญ

Network Detection and Response (NDR) เป็นส่วนสำคัญที่เพิ่มมากขึ้นเรื่อยๆ ของชุดเครื่องมือด้านความปลอดภัยทางไซเบอร์ โดยมอบการมองเห็นเชิงลึกเกี่ยวกับกิจกรรมภายในเครือข่าย และเปิดเผยเนื้อหาของแพ็กเก็ตที่ไหลระหว่างอุปกรณ์ ในทางกลับกัน Endpoint Detection and Response (EDR) มุ่งเน้นที่การเปิดเผยกระบวนการแต่ละกระบวนการที่เกิดขึ้นภายในอุปกรณ์ปลายทางแต่ละเครื่องขององค์กรโดยเฉพาะ

แม้ว่าทั้งสองระบบจะอาศัยการวิเคราะห์ภัยคุกคามและกลไกการสร้างโปรไฟล์ที่คล้ายกัน แต่การใช้งานและกรณีการใช้งานนั้นแตกต่างกันอย่างมาก บทความนี้จะกล่าวถึงความแตกต่างและกล่าวถึงวิธีที่ EDR และ NDR มักจะถูกใช้งานควบคู่กัน

#image_title

โซลูชัน NDR ของ Gartner® Magic Quadrant™

ดูว่าทำไมเราจึงเป็นผู้จำหน่ายรายเดียวที่อยู่ในกลุ่ม Challenger

เรียนรู้เพิ่มเติม
#image_title

สัมผัสประสบการณ์การรักษาความปลอดภัยที่ขับเคลื่อนด้วย AI ในการดำเนินการ!

ค้นพบ AI ล้ำสมัยของ Stellar Cyber ​​เพื่อการตรวจจับภัยคุกคามทันที

กำหนดเวลาการสาธิต

NDR คืออะไร?

NDR เป็นเครื่องมือที่ตรวจสอบการโต้ตอบระหว่างอุปกรณ์ในเครือข่ายภายในขององค์กร โดยจะติดตั้งเซ็นเซอร์ทั่วทั้งเครือข่ายขององค์กร ตรวจสอบว่าอุปกรณ์ใดโต้ตอบกับอุปกรณ์ และวิเคราะห์ข้อมูลที่ส่งไปยังเพียร์และเซิร์ฟเวอร์ภายนอก

สิ่งนี้อาจฟังดูคล้ายกับไฟร์วอลล์: ในขณะที่ไฟร์วอลล์วิเคราะห์ปริมาณการรับส่งข้อมูลที่เข้าหรือออกจากเครือข่าย ซึ่งเรียกว่าปริมาณการรับส่งข้อมูลแบบเหนือ-ใต้ แต่ไฟร์วอลล์ไม่ให้การมองเห็นปริมาณการรับส่งข้อมูลระหว่างอุปกรณ์ภายใน NDR ช่วยให้สามารถตรวจสอบปริมาณการรับส่งข้อมูลภายในเครือข่ายหรือแบบตะวันออก-ตะวันตกได้ โดยไฟร์วอลล์ให้การมองเห็นเครือข่ายในเชิงลึกแบบใหม่ โดยไม่ต้องกำหนดค่าอะไรมากมาย

ข้อมูลดิบที่รวบรวมโดยระบบ NDR ประกอบด้วยสิ่งต่อไปนี้:

  • แพ็กเก็ตเครือข่ายดิบ: จับภาพโดยตรงจากการรับส่งข้อมูลบนเครือข่ายผ่านพอร์ต SPAN, TAP หรือเซ็นเซอร์เฉพาะ แพ็กเก็ตเหล่านี้ให้การมองเห็นธุรกรรมทั้งหมด รวมถึงส่วนหัวของโปรโตคอลและเมตาดาต้าที่เกี่ยวข้องกับเพย์โหลด
  • บันทึกการไหล : รูปแบบเมตาข้อมูล เช่น NetFlow หรือ IPFIX ที่สรุปรูปแบบการสื่อสาร รวมถึงที่อยู่ IP ต้นทางและปลายทาง หมายเลขพอร์ต โปรโตคอล และจำนวนไบต์
  • เมตาข้อมูลการจราจร: ได้มาจากการวิเคราะห์แพ็คเก็ต ซึ่งรวมถึงระยะเวลาของเซสชัน ความถี่ในการสื่อสาร รูปแบบพฤติกรรมของอุปกรณ์ และข้อมูลจากโปรโตคอลชั้นแอปพลิเคชัน

ข้อมูลทั้งหมดนี้จะถูกนำเข้าสู่เครื่องมือวิเคราะห์ของเครื่องมือ NDR และประมวลผลเพื่อหาสัญญาณของการรับส่งข้อมูลที่เป็นอันตราย เพื่อเพิ่มโอกาสในการตรวจจับภัยคุกคามให้สำเร็จสูงสุด NDR จึงใช้กลยุทธ์การวิเคราะห์สองแบบ:

การวิเคราะห์เครือข่ายตามลายเซ็น

เนื่องจากข้อมูลเครือข่ายแต่ละจุดถูกประกอบเป็นกราฟลำดับเวลา จึงสามารถระบุกิจกรรมของอุปกรณ์แต่ละชิ้นเทียบกับภัยคุกคามที่ทราบได้ การตรวจจับตามลายเซ็นจะรวบรวมพฤติกรรมการโจมตีในระดับเครือข่ายเฉพาะไว้ในตัวบ่งชี้การประนีประนอม (Indicator of Compromise หรือ IoC) ซึ่งจัดเก็บอยู่ในฐานข้อมูลของ NDR เอง

ลายเซ็นหมายถึงคุณลักษณะที่ระบุตัวตนที่เชื่อมโยงกับการโจมตีทางไซเบอร์ที่ทราบ ซึ่งอาจเป็นโค้ดบางส่วนจากมัลแวร์สายพันธุ์เฉพาะ หรือบรรทัดหัวเรื่องที่จดจำได้จากอีเมลฟิชชิ่ง เครื่องมือตรวจจับตามลายเซ็นจะสแกนกิจกรรมเครือข่ายเพื่อค้นหารูปแบบที่ทราบเหล่านี้ และแจ้งเตือนเมื่อพบการจับคู่ที่ตรงกัน

การติดตาม IOC นั้นเป็นการตอบสนองโดยธรรมชาติ เมื่อตรวจพบ IOC มักจะบ่งชี้ว่ามีการละเมิดเกิดขึ้นแล้ว อย่างไรก็ตาม หากกิจกรรมที่เป็นอันตรายยังคงดำเนินอยู่ การตรวจจับ IOC ในระยะเริ่มต้นสามารถมีบทบาทสำคัญในการหยุดยั้งการโจมตี ช่วยให้ควบคุมการโจมตีได้เร็วขึ้นและลดความเสียหายที่อาจเกิดขึ้นกับองค์กร

การวิเคราะห์เครือข่ายพฤติกรรม

นอกจากการตรวจจับตามลายเซ็นแล้ว NDR ส่วนใหญ่ยังเสนอการวิเคราะห์พฤติกรรมด้วย ซึ่งจะรวบรวมข้อมูลทั้งหมด แต่แทนที่จะเปรียบเทียบแบบคงที่กับฐานข้อมูลความเสี่ยงภายนอก จะใช้ข้อมูลเหล่านี้เพื่อสร้างฐานข้อมูลพื้นฐานด้านพฤติกรรม

ฐานข้อมูลนี้แสดงถึงกิจกรรมปกติ โดยจะจัดตำแหน่งอุปกรณ์และผู้ใช้ตามความถี่ในการสื่อสาร ปริมาณข้อมูล และการใช้งานโปรโตคอล เมื่อกำหนดรูปแบบพฤติกรรมที่คาดหวังเหล่านี้แล้ว โซลูชัน NDR จะสามารถระบุการเบี่ยงเบนที่อาจส่งสัญญาณถึงภัยคุกคามที่อาจเกิดขึ้นได้อย่างมีประสิทธิภาพ อาจมีความคลาดเคลื่อนระหว่างพฤติกรรมโปรโตคอลที่คาดหวังกับพฤติกรรมจริง และกิจกรรมแอปพลิเคชันที่ผิดปกติในช่วงนอกเวลาทำการ NDR ยังสามารถบูรณาการกับเครื่องมือรักษาความปลอดภัยอื่นๆ เพื่อให้ได้ภาพรวมที่สมบูรณ์ยิ่งขึ้นของกิจกรรมเครือข่ายปกติขององค์กร

เมื่อพิจารณาโดยรวมแล้ว การตรวจจับภัยคุกคามทั้งตามพฤติกรรมและลายเซ็นช่วยให้ NDR ไม่เพียงแต่สามารถมองเห็นได้ครอบคลุมทั้งตะวันออกและตะวันตกเท่านั้น แต่ยังตรวจจับภัยคุกคามได้ครอบคลุมถึงระดับเครือข่ายทั้งหมดอีกด้วย

EDR คืออะไร?

EDR นำเสนอแนวทางเดียวกันในการรวบรวมข้อมูลเชิงลึกและละเอียดไปยังจุดสิ้นสุดขององค์กร โดยการติดตั้งตัวแทนในพื้นที่บนจุดสิ้นสุดแต่ละจุด การดำเนินการแต่ละรายการของอุปกรณ์แต่ละชิ้นจะได้รับการลงทะเบียนและรวบรวม ประเภทของข้อมูลที่ EDR รวบรวม ได้แก่:
  • ข้อมูลการดำเนินการประมวลผล: รายละเอียดของกระบวนการที่กำลังทำงานทั้งหมด รวมถึงความสัมพันธ์ระหว่างผู้ปกครอง-ลูก อาร์กิวเมนต์บรรทัดคำสั่ง และค่าประทับเวลาการดำเนินการ
  • การเปลี่ยนแปลงระบบไฟล์: การสร้างไฟล์ การแก้ไข การลบ และการตรวจสอบความสมบูรณ์ (รวมถึงแฮชไฟล์และแหล่งดาวน์โหลด)
  • การแก้ไขรีจิสทรี: การเปลี่ยนแปลงคีย์รีจิสทรีของ Windows และการตั้งค่าคอนฟิกูเรชันที่สำคัญต่อพฤติกรรมของระบบ
  • บัญชีผู้ใช้ : บัญชีผู้ใช้ทั้งหมดที่เข้าสู่ระบบทั้งโดยตรงและระยะไกล
  • การกำหนดค่าระบบ : แอปพลิเคชันที่ติดตั้ง สถานะการบริการ และข้อมูลการปฏิบัติตามนโยบายความปลอดภัย

ในลักษณะเดียวกับเซ็นเซอร์ NDR ตัวแทน EDR จะสตรีมข้อมูลดิบอย่างต่อเนื่องไปยังแพลตฟอร์มรวมศูนย์ โดยที่โมเดลการเรียนรู้ของเครื่องจะวิเคราะห์ข้อมูลเพื่อค้นหาความผิดปกติ เช่น ห่วงโซ่กระบวนการที่ไม่ได้รับอนุญาต การสื่อสารเครือข่ายที่น่าสงสัย หรือการเปลี่ยนแปลงรีจิสทรีที่เกี่ยวข้องกับเทคนิคการโจมตีที่ทราบ

EDR เทียบกับ NDR: กรณีการใช้งานที่แตกต่างกัน

แม้ว่าเครื่องมือทั้งสองจะใช้หลักการวิเคราะห์ที่คล้ายคลึงกัน แต่จุดเน้นเฉพาะของเครื่องมือทั้งสองทำให้เครื่องมือทั้งสองเหมาะสมกับกรณีการใช้งานที่แตกต่างกันอย่างชัดเจน

ความปลอดภัยของ IoT

เซ็นเซอร์ NDR มักจะทำงานบนพอร์ต SPAN ซึ่งทำงานโดยสร้างสำเนาของแพ็กเก็ตแต่ละแพ็กเก็ตที่ผ่านเครือข่าย จากนั้นสำเนาเหล่านี้จะถูกส่งต่อไปยังเครื่องมือตรวจสอบของ NDR กระบวนการคัดลอกแพ็กเก็ต Intel แทนที่จะส่งต่อแพ็กเก็ตต้นฉบับทั้งหมดไปยังเครื่องวิเคราะห์จะช่วยป้องกันการรบกวนเครือข่ายโฮสต์

นอกจากจะปกป้องเครือข่ายที่ละเอียดอ่อนแล้ว การตั้งค่านี้ยังช่วยให้สามารถติดตามและรักษาความปลอดภัยกิจกรรมเครือข่ายของอุปกรณ์ Internet of Things (IoT) ได้ IoT มักจะมีน้ำหนักเบาเกินไปและมีจำนวนมากเกินกว่าที่จะติดตั้งเอเจนต์บนอุปกรณ์ได้ ทำให้อุปกรณ์เหล่านี้กลายเป็นภัยคุกคามด้านความปลอดภัยที่โด่งดังในปัจจุบัน รหัสผ่านที่อ่อนแอ การตั้งค่าเริ่มต้นที่ไม่ดี และตัวเลือกการจัดการอุปกรณ์ที่ไม่เพียงพอ ทำให้การรักษาความปลอดภัยอุปกรณ์ IoT ทำได้ยากมาก แต่เนื่องจากเครื่องมือ NDR บันทึกการสื่อสารในเครือข่ายทั้งหมด จึงสามารถตรวจสอบพฤติกรรมของ IoT ในแนวตะวันออก-ตะวันตกได้ นอกจากนี้ เนื่องจากการรับส่งข้อมูลที่น่าสงสัยระหว่างอุปกรณ์ IoT และเครือข่ายที่กว้างขึ้นสามารถเชื่อมโยงกับภัยคุกคามที่ทราบได้ จึงทำให้เวลาตอบสนองเฉลี่ยเร็วขึ้นอย่างมาก

การคุ้มครองพนักงานระยะไกล

EDR มอบความสามารถในการตรวจสอบอย่างต่อเนื่อง การตรวจจับภัยคุกคาม และการตอบสนองอัตโนมัติโดยตรงที่จุดสิ้นสุด ซึ่งถือเป็นสิ่งสำคัญอย่างยิ่ง เนื่องจากจุดสิ้นสุดระยะไกลไม่สามารถจำกัดให้เฉพาะเครือข่ายและอุปกรณ์ต่อพ่วงเฉพาะได้เสมอไป หากไม่มีการป้องกันนี้ พนักงานไฮบริดอาจเสี่ยงต่อการเป็นพาหะของการติดเชื้อเมื่อเชื่อมต่ออุปกรณ์ระยะไกลกลับเข้ากับเครือข่ายขององค์กร

นอกจากนี้ เมื่อพบเหตุการณ์ด้านความปลอดภัยบนอุปกรณ์ระยะไกล EDR จะเริ่มดำเนินการตอบสนองตามปัจจัยโดยรอบ เช่น หากพบชุด IoC ที่บ่งชี้ว่าแรนซัมแวร์ EDR จะสามารถแยกอุปกรณ์ที่ได้รับผลกระทบออกก่อนที่จะแพร่กระจาย

การตรวจจับการเคลื่อนไหวด้านข้าง

เมื่อผู้โจมตีเข้าถึงทรัพย์สินขององค์กรได้ มีแนวโน้มสูงมากที่การกระทำต่อไปของพวกเขาจะเป็นการสำรวจเครือข่ายของอุปกรณ์ สำรวจผู้ใช้และอุปกรณ์ที่เชื่อมต่อ และรับรู้จุดอ่อนของเหยื่อ ข้อมูลข่าวกรองนี้จะแจ้งขั้นตอนต่อไปของการใช้งานเพย์โหลด

NDR กับ EDR: ความแตกต่างโดยสังเขป

คุณสมบัติ / ความสามารถ

NDR

EDR
พื้นที่โฟกัส

ตรวจสอบปริมาณการใช้งานและการสื่อสารบนเครือข่าย

ตรวจสอบอุปกรณ์ปลายทางแต่ละจุด (เช่น แล็ปท็อป เซิร์ฟเวอร์)
แหล่งข้อมูล แพ็คเก็ตเครือข่าย, บันทึกการไหล (NetFlow/IPFIX), เมตาดาต้า บันทึกระบบ กิจกรรมไฟล์ พฤติกรรมของกระบวนการ การเปลี่ยนแปลงรีจิสทรี
ขอบเขตการมองเห็น การมองเห็นที่กว้างขวางและครอบคลุมทั้งเครือข่าย การมองเห็นที่ลึกถึงระดับอุปกรณ์
วิธีการตรวจหาภัยคุกคาม การตรวจจับความผิดปกติ การวิเคราะห์พฤติกรรม การตรวจสอบการรับส่งข้อมูลแบบเข้ารหัส การวิเคราะห์ไฟล์, การตรวจสอบพฤติกรรม, การตรวจจับตามลายเซ็น
ใช้กรณี การเคลื่อนที่ในแนวข้าง การสั่งการและควบคุม การแยกข้อมูล การติดมัลแวร์ ภัยคุกคามจากภายใน การพยายามแสวงหาประโยชน์
ความสามารถในการตอบสนอง การแจ้งเตือนและการผสานรวมกับ SIEM/SOAR; การแก้ไขโดยตรงที่มีข้อจำกัด การจำกัดภัยคุกคามโดยอัตโนมัติ (เช่น การฆ่ากระบวนการ การแยกอุปกรณ์)
สถานการณ์การปรับใช้ เครือข่ายองค์กรที่มีอุปกรณ์เชื่อมต่อมากมาย กำลังแรงงานระยะไกล สภาพแวดล้อม BYOD และจุดสิ้นสุดที่มีความเสี่ยงสูง
ข้อกำหนดในการปรับใช้ โดยทั่วไปจะไม่มีตัวแทน ใช้เซ็นเซอร์เครือข่าย เช่น แท็ปและพอร์ต SPAN จำเป็นต้องติดตั้งตัวแทนบนอุปกรณ์ปลายทางที่ได้รับการตรวจสอบแต่ละเครื่อง

บูรณาการ EDR กับ NDR ผ่าน Stellar Cyber

เนื่องจากเครื่องมือทั้งสองทำงานร่วมกันได้ดี จึงมักมีการใช้งานร่วมกัน ซึ่งทำให้ความสามารถในการผสานรวมของเครื่องมือแต่ละชิ้นมีความสำคัญมากขึ้น เนื่องจากข้อมูลเชิงลึกที่ได้รับจากแต่ละเครื่องมือสามารถเร่ง MTTR ได้อย่างมาก Stellar Cyber ​​นำเสนอความสามารถร่วมกันนี้ด้วย จุดเปิดXDR ผลิตภัณฑ์ – การบูรณาการกับ EDR ใดๆ ก็ตาม ดำเนินการตรวจสอบแพ็กเก็ตเชิงลึก (DPI) ควบคู่ไปกับการแซนด์บ็อกซ์มัลแวร์สำหรับการตรวจจับและป้องกันมัลแวร์แบบเปิดตลอดเวลาและแบบ Zero Day

จุดเปิดXDR Stellar เชื่อมโยงการแจ้งเตือนระดับเครือข่ายกับการแจ้งเตือนที่สร้างขึ้นโดยชุดเครื่องมือรักษาความปลอดภัยขององค์กรเอง เพื่อสร้างเหตุการณ์ที่เข้าถึงได้ง่าย แทนที่จะทำให้เวิร์กโฟลว์ของนักวิเคราะห์เต็มไปด้วยการแจ้งเตือนที่ไม่มีที่สิ้นสุด Stellar จะจัดเรียงและกรองการแจ้งเตือนเหล่านั้นอย่างเป็นระบบ เพื่อให้เหลือเฉพาะสิ่งที่ต้องดำเนินการทันที สำรวจวิธีการทำงานของ Open ได้ที่นี่XDR สามารถมอบความสามารถในการตอบสนองเชิงรุกกลับคืนให้กับทีมรักษาความปลอดภัยของคุณได้ พร้อมสาธิตวันนี้.

ฟังดูดีเกินไปที่จะ
จริงมั้ย?
ดูด้วยตัวคุณเอง!

ขอการสาธิต
เลื่อนไปที่ด้านบน
ลงทะเบียนเพื่อรับจดหมายข่าว