NDR คืออะไร?
ของวันนี้ การตรวจจับและตอบสนองของเครือข่าย (NDR) มีประวัติอันยาวนาน พัฒนามาจากการรักษาความปลอดภัยเครือข่ายและ การวิเคราะห์ปริมาณการใช้เครือข่าย (NTA). คำจำกัดความในอดีตของการรักษาความปลอดภัยเครือข่ายคือการใช้ไฟร์วอลล์นอกขอบเขตและระบบป้องกันการบุกรุกเพื่อคัดกรองการรับส่งข้อมูลที่เข้ามาในเครือข่าย แต่เมื่อเทคโนโลยีไอทีและความปลอดภัยพัฒนาขึ้น คำจำกัดความจึงกว้างขึ้นมากในขณะนี้ เนื่องจากการโจมตีสมัยใหม่ใช้ประโยชน์จากแนวทางที่ซับซ้อนมากขึ้น
ทุกวันนี้ การรักษาความปลอดภัยเครือข่ายคือทุกสิ่งที่บริษัททำเพื่อรับรองความปลอดภัยของเครือข่าย และทุกสิ่งที่เชื่อมต่อกับเครือข่าย ซึ่งรวมถึงเครือข่าย คลาวด์ (หรือคลาวด์) ปลายทาง เซิร์ฟเวอร์ IoT ผู้ใช้ และแอปพลิเคชัน ความปลอดภัยของเครือข่าย ผลิตภัณฑ์พยายามใช้มาตรการป้องกันทางกายภาพและเสมือนเพื่อปกป้องเครือข่ายและทรัพย์สินจากการเข้าถึง การดัดแปลง การทำลาย และการใช้ในทางที่ผิด
เหตุใด NDR จึงมีความสำคัญ
NDR มีความสำคัญเนื่องจากเครือข่ายเป็นแกนหลักของโครงสร้างพื้นฐานด้านไอที และผู้ใช้และอุปกรณ์ทุกรายเชื่อมต่อกับเครือข่าย ซึ่งเป็นแหล่งความจริงเพียงแหล่งเดียวหากคุณสามารถเห็นทราฟฟิกได้อย่างมีความหมาย การรับส่งข้อมูลจากระบบทั้งหมดของคุณ รวมทั้งปลายทาง เซิร์ฟเวอร์ แอปพลิเคชัน และอินเทอร์เน็ต จะต้องผ่านเครือข่าย ดังนั้นเครือข่ายจึงเป็นแหล่งข้อมูลเชิงตรรกะของข้อมูลที่แท้จริงเกี่ยวกับการหาช่องโหว่ด้านความปลอดภัย และ NDR เป็นเครื่องมือที่เก็บข้อมูลนั้นไว้
มีเครื่องมือรักษาความปลอดภัยมากมายที่ครอบคลุมอุปกรณ์ปลายทาง แอปพลิเคชัน เช่น อีเมล และเซิร์ฟเวอร์ แต่การวิเคราะห์ข้อมูลและบันทึกจากเครื่องมือเหล่านี้ไม่เพียงพอที่จะขัดขวางการโจมตีในปัจจุบัน หากมีสิ่งสำคัญอย่างหนึ่งที่ต้องรู้เกี่ยวกับเครือข่าย ก็คือ มันไม่โกหก นั่นคือเหตุผลที่ NDR เสร็จสิ้นการเดินทางขององค์กรสู่ การตรวจจับและการตอบสนองทุกอย่าง (เช่น XDR) ควบคู่ไปกับ Endpoint Detection and Response (เช่น EDR) สำหรับข้อมูลปลายทางและ SIEM สำหรับบันทึกเครื่องมือรักษาความปลอดภัย โดยเฉพาะ NDR มองเห็นสิ่งที่ปลายทางและบันทึกอื่นๆ ไม่เห็น (ทั้งเครือข่าย อุปกรณ์ แอปพลิเคชัน SaaS พฤติกรรมผู้ใช้) ทำหน้าที่เป็นชุดข้อมูลจริงและเปิดใช้งานการตอบสนองแบบเรียลไทม์
NDR ทำงานอย่างไร
NDR โซลูชันใช้เทคนิคที่ไม่อิงตามลายเซ็น (เช่น เรียนรู้เครื่อง หรือเทคนิคการวิเคราะห์อื่นๆ) สำหรับการโจมตีที่ไม่รู้จักควบคู่ไปกับเทคนิคที่ใช้ลายเซ็นที่มีคุณภาพ (เช่น ภัยคุกคามที่ Intel ผสานรวมในสายสำหรับการแจ้งเตือน) สำหรับการโจมตีที่รู้จักเพื่อตรวจจับการรับส่งข้อมูลหรือกิจกรรมที่น่าสงสัย NDR สามารถนำเข้าข้อมูลจากทุ่มเท เซ็นเซอร์, ไฟร์วอลล์ที่มีอยู่, IPS/IDS, ข้อมูลเมตาจาก เน็ตโฟลว์หรือแหล่งข้อมูลเครือข่ายอื่นใด สมมติว่ามีการวางตำแหน่งเชิงกลยุทธ์ของเซ็นเซอร์และ/หรือการวัดและส่งข้อมูลทางไกลของเครือข่ายอื่นๆ ควรตรวจสอบการจราจรทั้งทางเหนือ/ใต้และตะวันออก/ตะวันตก ตลอดจนการจราจรในสภาพแวดล้อมจริงและเสมือน ข้อมูลทั้งหมดจะถูกรวบรวมและรวมไว้ใน data lake ส่วนกลาง เสริมด้วยบริบทต่างๆ เช่น หน่วยสืบราชการลับภัยคุกคาม, ชื่อโฮสต์และ/หรือข้อมูลผู้ใช้ จากนั้นประมวลผลโดย Advanced เครื่องยนต์ AI เพื่อตรวจจับรูปแบบการรับส่งข้อมูลที่น่าสงสัยและแจ้งเตือน
เมื่อการแจ้งเตือนเกิดขึ้น นักวิเคราะห์หรือ NDR โซลูชันต้องตอบสนอง การตอบสนองเป็นคู่ขนานที่สำคัญต่อการตรวจจับและเป็นพื้นฐานของ NDR. ตอบกลับอัตโนมัติเช่นคำสั่งส่งไปยังa ไฟร์วอลล์ เพื่อวางทราฟฟิกที่น่าสงสัยหรือไปที่an EDR เครื่องมือในการกักบริเวณปลายทางที่ได้รับผลกระทบ หรือการตอบสนองด้วยตนเอง เช่น การจัดหาเครื่องมือตามล่าภัยคุกคามหรือเครื่องมือตรวจสอบเหตุการณ์เป็นองค์ประกอบทั่วไปของ NDR.
คุณรวม NDR กับเครื่องมือรักษาความปลอดภัยอื่นๆ อย่างไร
เครื่องมือ NDR รวมเข้ากับเครื่องมือรักษาความปลอดภัยอื่นๆ ผ่าน Application Programming Interface (API) ที่จัดทำโดย NDR ผู้ขาย แน่นอน ถ้าคุณใช้ Stellar Cyber's Open XDR เวที, NDR ถูกรวมเข้ากับมันพร้อมกับคนรุ่นต่อไป SIEM และข่าวกรองภัยคุกคาม
