หยุดภัยคุกคามได้ทันที: ความสามารถในการตอบสนอง NDR ล่าสุดของ Stellar Cyber ​​ได้รับการอธิบาย

By /

ความปลอดภัยที่ขับเคลื่อนด้วย AI

หยุดภัยคุกคามได้ทันที: ความสามารถในการตอบสนอง NDR ล่าสุดของ Stellar Cyber ​​ได้รับการอธิบาย

ในยุคสมัยใหม่ปัจจุบัน SOCความเร็วเป็นสิ่งสำคัญ ภัยคุกคามเปลี่ยนแปลงอย่างรวดเร็ว ผู้โจมตีเคลื่อนไหวได้เร็วยิ่งกว่า และทีมรักษาความปลอดภัยต้องสามารถตรวจจับและตอบสนองได้ก่อนที่จะเกิดความเสียหาย ในขณะที่วิธีการแบบดั้งเดิม การตรวจจับและตอบสนองเครือข่าย (NDR) มุ่งเน้นไปที่การระบุพฤติกรรมที่น่าสงสัย Stellar Cyber ​​ก้าวไปอีกขั้นด้วยการให้ลูกค้ามีศักยภาพไม่เพียงแค่ในการตรวจจับ แต่ยังสามารถดำเนินการได้โดยตรงที่ระดับเครือข่าย ทั้งหมดนี้จากแพลตฟอร์มเดียว โดยไม่ต้องใช้โมดูลเสริมราคาแพงหรือใบอนุญาต

ความสามารถอันทรงพลังที่ทำให้สิ่งนี้เกิดขึ้นได้คือ รีเซ็ต TCPวิธีการที่น้ำหนักเบาแต่มีประสิทธิภาพสูงในการหยุดเซสชันเครือข่ายที่เป็นอันตรายที่กำลังดำเนินอยู่ได้ทันที และป้องกันไม่ให้เซสชันที่เป็นอันตรายเกิดขึ้นในอนาคต สำหรับองค์กรที่ต้องการการตอบสนองที่รวดเร็วขึ้นและลดความเสี่ยงโดยไม่ต้องแบกรับภาระค่าใช้จ่ายจำนวนมาก ความสามารถในการตอบสนอง NDR ล่าสุดของ Stellar Cyber ​​ผ่าน รีเซ็ต TCP สร้างผลกระทบอย่างมีนัยสำคัญ

TCP RESET คืออะไร และเหตุใดจึงสำคัญ?

ในเครือข่าย TCP/IP การรีเซ็ต TCP คือแฟล็กควบคุมที่ใช้เพื่อยุติการเชื่อมต่อทันที เมื่อแพ็กเก็ต TCP RESET ถูกแทรกเข้าไปในเซสชันที่ใช้งานอยู่ การสื่อสารระหว่างจุดสิ้นสุดทั้งสองจะหยุดลงทันที โดยไม่ต้องรอ TCP teardown ตามปกติ นอกจากนี้ การรีเซ็ต TCP ยังช่วยป้องกันไม่ให้เกิดการเชื่อมต่อใหม่ระหว่างการจับมือ 3 ทางครั้งแรกของการเชื่อมต่อ TCP อีกด้วย

ในปฏิบัติการรักษาความปลอดภัย การดำเนินการง่ายๆ นี้มีคุณค่ามหาศาล หากผู้กระทำความผิดประสงค์ร้าย:

  • การขโมยข้อมูล
  • การรันเซสชันคำสั่งและควบคุม (C2)
  • การสแกนสินทรัพย์ภายใน
  • พยายามใช้ประโยชน์จากช่องโหว่ของแอปพลิเคชันหรืออุปกรณ์
  • บริการการตรวจสอบสิทธิ์แบบ Brute-forcing

การรีเซ็ต TCP ทันทีช่วยให้ผู้ป้องกันสามารถตัดการเชื่อมต่อก่อนที่จะเกิดความเสียหายหรือป้องกันไม่ให้มีการสร้างการเชื่อมต่อในอนาคตโดยไม่ต้องพึ่งพาการควบคุมเครือข่ายที่หนักหน่วงหรือซับซ้อน

Stellar Cyber ​​นำ TCP RESET ไปใช้อย่างไร

Stellar Cyber's NDR แพลตฟอร์มจะตรวจสอบปริมาณการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์และเชื่อมโยงพฤติกรรมกับแบบจำลองการตรวจจับภัยคุกคาม เมื่อพบเซสชันที่เป็นอันตรายหรือน่าสงสัย แพลตฟอร์มสามารถส่งสัญญาณรีเซ็ต TCP เพื่อปิดโฟลว์ที่มีปัญหาได้
การดำเนินการนี้จะดำเนินการที่เซ็นเซอร์ ซึ่งสามารถมองเห็นการเชื่อมต่อ TCP ได้แบบเรียลไทม์ โดยไม่ต้องใช้ฮาร์ดแวร์เพิ่มเติมหรือเปลี่ยนแปลงโครงสร้างพื้นฐานที่มีอยู่ ระบบนี้สามารถผสานรวมเข้ากับเวิร์กโฟลว์การตรวจจับได้อย่างราบรื่น และช่วยเสริมศักยภาพในการตอบสนองโดยรวมขององค์กร

ซึ่งจะทำให้ Stellar Cyber ​​สามารถหยุดยั้งการเชื่อมต่อที่เป็นอันตรายได้ทันทีเมื่อตรวจพบภัยคุกคาม
ต่อไปนี้เป็นกรณีบางกรณีที่การยุติการเชื่อมต่อ TCP อย่างรวดเร็วจะช่วยลดอันตรายได้:

  • ใช้ประโยชน์จากความพยายามที่มีลายเซ็นความเชื่อมั่นสูง ตัวอย่าง:
    หาก Stellar Cyber ​​ตรวจพบลายเซ็น IDS/IPS ที่ชัดเจนสำหรับการโจมตีโปรโตคอล เช่น คำขอ HTTP ที่ตรงกับการโจมตีการดำเนินการโค้ดระยะไกลที่ทราบ การยุติการเชื่อมต่อจะป้องกันการส่งมอบเพย์โหลดการโจมตีหรือการจัดเตรียมการดำเนินการโค้ด
  • ตัวอย่างการยืนยันการเรียกกลับคำสั่งและการควบคุม (C2):
    หาก Stellar Cyber ​​ตรวจพบสัญญาณบีคอนขนาดเล็กที่ส่งไปยังที่อยู่ IP หรือชื่อโดเมนที่ทราบว่าเป็นอันตราย หรือไปยังปลายทางที่ได้รับการพิสูจน์แล้วว่าเป็นเซิร์ฟเวอร์ C2 การป้องกันการเชื่อมต่อ TCP ไม่ให้สร้างขึ้นจะรบกวนช่องทางควบคุมของผู้โจมตี
  • การกรองข้อมูลแบบแอคทีฟผ่าน TCP ด้วยการจับคู่ DLP ตัวอย่าง:
    หากมีการถ่ายโอนไฟล์ที่มีกฎการป้องกันการสูญเสียข้อมูล (DLP) ตรงกับข้อมูลละเอียดอ่อนที่ถูกส่งไปยังโฮสต์ภายนอก การยุติการเชื่อมต่อ TCP ทันทีจะช่วยจำกัดการสูญเสียข้อมูลได้

ประโยชน์หลักสำหรับลูกค้า Stellar Cyber

1. ติดตั้งในตัว - ไม่ได้ยึดด้วยสลักเกลียว

Stellar Cyber ​​มอบความสามารถ NDR เต็มรูปแบบโดยตรงภายในระบบ Open XDR แพลตฟอร์มนี้ช่วยลดความจำเป็นในการใช้ผลิตภัณฑ์ NDR แบบแยกต่างหากที่มีราคาสูงอีกต่อไป SOC นักวิเคราะห์จะได้รับความสามารถในการตรวจจับและตอบสนองเครือข่ายขั้นสูง ซึ่งเป็นส่วนหนึ่งของเวิร์กโฟลว์แบบครบวงจร โดยไม่ต้องใช้เครื่องมือเพิ่มเติม ไม่ต้องซื้อใบอนุญาตเพิ่ม และไม่มีภาระในการบูรณาการ

2. การหยุดชะงักของการรีเซ็ต TCP ทันทีสร้างความแตกต่าง

การรีเซ็ต TCP แบบอินไลน์ช่วยให้การขัดจังหวะมีความแม่นยำเมื่อการควบคุมและจังหวะเวลามีความสำคัญสูงสุด ทีมรักษาความปลอดภัยใช้สิ่งนี้เพื่อเสริมความแข็งแกร่งให้กับท่าทีป้องกันในสถานการณ์สำคัญต่างๆ:

  • การกรองข้อมูล
    การป้องกัน เมื่อผู้โจมตีพยายามย้ายข้อมูลสำคัญ ไม่ว่าจะเป็นระหว่างการจัดเตรียมแรนซัมแวร์หรือการจารกรรมแบบเจาะจงเป้าหมาย ทุกวินาทีล้วนมีความสำคัญ TCP Reset จะตัดเซสชันระหว่างสตรีม หยุดการถ่ายโอนทันทีก่อนที่ข้อมูลใดๆ จะหลุดออกจากขอบเขต
  • การหยุดชะงักของการสั่งการและควบคุม (C2)
    ภัยคุกคามสมัยใหม่อาศัยช่องทาง C2 แบบโต้ตอบสำหรับการดำเนินการ การส่งเพย์โหลด และการเคลื่อนที่ด้านข้าง การตัดการเชื่อมต่อดังกล่าวทำให้ TCP Reset ปฏิเสธไม่ให้ผู้โจมตีสามารถปฏิบัติการแบบเรียลไทม์ได้ ทำให้ฝ่ายป้องกันได้เปรียบ
  • การกักกันการลาดตระเวนภายใน
    กิจกรรมในระยะเริ่มต้น เช่น การสแกนหรือการแจงนับ สามารถถูกขัดจังหวะได้อย่างเงียบเชียบ TCP Reset จะจำกัดการมองเห็นของฝ่ายตรงข้ามโดยไม่ก่อให้เกิดพฤติกรรมหลบเลี่ยง ช่วยให้นักวิเคราะห์สามารถตรวจสอบได้โดยไม่ต้องยกระดับภัยคุกคาม
  • การควบคุมการพิสูจน์ตัวตนแบบ Brute-Force
    การพยายามเข้าสู่ระบบที่มีปริมาณมากบ่งชี้ถึงการยัดเยียดข้อมูลประจำตัวหรือการใช้กำลังโจมตี แทนที่จะพึ่งพาขีดจำกัดอัตราคงที่ TCP Reset จะยุติเซสชันที่ไม่เหมาะสมแบบไดนามิกแบบเรียลไทม์
  • การป้องกันช่องโหว่ Zero-Day
    แม้กระทั่งก่อนที่จะมีแพตช์ ความพยายามโจมตีก็เผยให้เห็นตัวเองผ่านเพย์โหลดที่ผิดปกติหรือพฤติกรรมการสแกน TCP Reset ช่วยให้ผู้ป้องกันสามารถดำเนินการตามพฤติกรรม ไม่ใช่ลายเซ็น โดยการขัดขวางเซสชันที่เป็นอันตรายได้ทันที
  • การบรรเทาภัยคุกคามจากภายใน
    เมื่อผู้ใช้ที่ถูกต้องตามกฎหมายหรือบัญชีที่ถูกบุกรุกเริ่มมีพฤติกรรมที่น่าสงสัย เช่น การโอนไฟล์ การตรวจสอบโซนที่ถูกจำกัด หรือรูปแบบการเข้าถึงที่ผิดปกติ การหยุดชะงักแบบอินไลน์จะทำการกักกันอย่างรวดเร็วและตรงเป้าหมายโดยไม่กระทบต่อการทำงานปกติ
ความสามารถเหล่านี้ทำให้ผู้วิเคราะห์มีเวลาอันสำคัญในการตรวจสอบ ควบคุม และกำจัดภัยคุกคาม พร้อมทั้งลดความเสี่ยงและระยะเวลาที่ต้องดำเนินการให้เหลือน้อยที่สุด

3. การตอบสนองน้ำหนักเบาโดยไม่มีผลกระทบต่อเครือข่าย

ซึ่งแตกต่างจากการเปลี่ยนแปลงกฎไฟร์วอลล์ การอัปเดตการแบ่งเซกเมนต์ หรือการปรับเส้นทาง TCP Reset มีค่าใช้จ่ายต่ำ โปร่งใสต่อเครือข่าย และไม่รบกวนการรับส่งข้อมูลที่ถูกต้อง จึงเหมาะอย่างยิ่งสำหรับสภาพแวดล้อมที่การเปลี่ยนแปลงการดำเนินงานมีความเสี่ยงหรือล่าช้า ลูกค้าจะได้รับการบรรเทาผลกระทบอย่างรวดเร็วโดยไม่ซับซ้อน

4. เร่งความเร็ว SOC การตอบสนองและประสิทธิภาพที่สูงขึ้น

ระบบอัตโนมัติช่วยเพิ่มประสิทธิภาพการรีเซ็ต TCP ของ Stellar Cyber ​​ลูกค้าสามารถ:
  • รีเซ็ตการแจ้งเตือนความมั่นใจสูงโดยอัตโนมัติ
  • ดำเนินการรีเซ็ตด้วยตนเองระหว่างการสอบสวนที่ขับเคลื่อนโดยนักวิเคราะห์
  • รวมการดำเนินการลงใน Playbooks และแอปตอบสนอง
ซึ่งจะช่วยลดระยะเวลาตั้งแต่การตรวจพบจนถึงการตอบสนอง – ซึ่งเป็นหนึ่งในสิ่งสำคัญที่สุด SOC ตัวชี้วัดประสิทธิภาพ – พร้อมทั้งลดภาระงานและความเหนื่อยล้าของนักวิเคราะห์

5. ปรับปรุงการควบคุมความปลอดภัยที่มีอยู่

TCP Reset ไม่ได้แทนที่ไฟร์วอลล์ EDR หรือเครื่องมือรักษาความปลอดภัยอื่นๆ แต่ช่วยเสริมความแข็งแกร่งให้กับไฟร์วอลล์ ทำหน้าที่เป็นตาข่ายนิรภัยเฉพาะเครือข่ายเมื่อผู้โจมตีหลุดพ้นการป้องกันหลักหรือใช้ประโยชน์จากจุดบอด
ตัวอย่างเช่น:
  • หากผู้โจมตีหลบเลี่ยง EDR การรีเซ็ต TCP จะยังคงยุติเซสชันที่ใช้งานอยู่ของพวกเขา
  • หากไฟร์วอลล์ไม่สามารถตรวจจับความผิดปกติทางพฤติกรรมได้ การวิเคราะห์ NDR ของ Stellar Cyber ​​ก็ยังสามารถหยุดการเชื่อมต่อได้
สิ่งนี้ช่วยให้มีกลยุทธ์การป้องกันที่แข็งแกร่งและมีหลายชั้น และลดการพึ่งพาการควบคุมความปลอดภัยเพียงวิธีเดียว

6. เครื่องมืออันทรงพลังสำหรับการควบคุมเหตุการณ์

ระหว่างการสืบสวนที่ใช้งานอยู่ นักวิเคราะห์สามารถใช้ TCP Reset เพื่อ:
  • หยุดเซสชันหรือแอปพลิเคชันที่น่าสงสัยโดยไม่ต้องแยกโฮสต์ทั้งหมด
  • จำกัดการเคลื่อนไหวของผู้โจมตีขณะรวบรวมหลักฐาน
  • ควบคุมภัยคุกคามสดโดยไม่รบกวนการดำเนินธุรกิจ
สิ่งนี้มีประโยชน์อย่างยิ่งโดยเฉพาะอย่างยิ่งในช่วงที่มีการโจมตีแบบแรนซัมแวร์ เหตุการณ์ที่เกิดจากคนในองค์กร หรือความพยายามโจมตีแบบวันศูนย์ ซึ่งจำเป็นต้องดำเนินการอย่างรวดเร็วและแม่นยำ

“TCP Reset เป็นเพียงจุดเริ่มต้น ที่ Stellar Cyber ​​เรากำลังขยายขีดความสามารถในการตอบสนองแบบเรียลไทม์อย่างต่อเนื่อง ซึ่งช่วยให้ผู้ป้องกันสามารถควบคุมการรับส่งข้อมูลเครือข่ายได้อย่างแม่นยำ โดยไม่เพิ่มความซับซ้อน คาดหวังได้เลยว่าจะมีฟีเจอร์การตอบสนองความเร็วสูงแบบไม่ต้องใช้เอเจนต์เพิ่มเติมที่จะช่วยเสริมศักยภาพ” SOC ทีมต่างๆ ต้องดำเนินการด้วยความเร็วระดับเครื่องจักร ไม่ใช่หลังจากเกิดเหตุการณ์ขึ้นแล้ว”

“เราสามารถใช้งานฟังก์ชันตอบสนอง TCP RESET ได้อย่างรวดเร็ว เนื่องจาก NDR ถูกรวมอยู่ใน Stellar Cyber ​​อยู่แล้ว” XDR “แพลตฟอร์มนี้” แอร์ตัน โคเอลโฮ ซีทีโอของ Future Technologies กล่าว “และเราสังเกตเห็นการหยุดชะงักทันทีของการพยายามขโมยข้อมูลที่กำลังดำเนินอยู่ และการบล็อกเซสชันการควบคุมและสั่งการ (C2) ในสภาพแวดล้อมที่ไม่มี EDR ซึ่งทำให้เราสามารถควบคุมภัยคุกคามขั้นสูงและภัยคุกคามแบบ Zero-day ได้โดยตรงที่ระดับเครือข่าย โดยไม่ต้องใช้เอเจนต์บนอุปกรณ์ปลายทาง ทั้งหมดนี้ในราคาที่ต่ำกว่ามากเมื่อเทียบกับการใช้เครื่องมือ NDR โดยเฉพาะ นี่เป็นคุณสมบัติที่น่าทึ่ง เพราะมันนำเสนอวิธีแก้ปัญหาในการหยุดยั้งภัยคุกคามได้อย่างรวดเร็วในสภาพแวดล้อมที่สำคัญ เช่น OT/ICS ซึ่งไม่มี EDR”

บทสรุป: การตอบสนองด้วยความเร็วของเครื่องจักรที่หยุดยั้งภัยคุกคามได้

ความสามารถในการรีเซ็ต NDR TCP ของ Stellar Cyber ​​ช่วยให้ลูกค้าสามารถหยุดยั้งภัยคุกคามได้อย่างรวดเร็ว เชื่อถือได้ และทำงานบนเครือข่ายได้ ด้วยการหยุดเซสชันที่เป็นอันตรายได้ทันที องค์กรต่างๆ จะได้รับประโยชน์ดังต่อไปนี้โดยไม่มีค่าใช้จ่ายเพิ่มเติม:
  • ลดความเสี่ยง
  • มีการตอบสนองที่เร็วขึ้น
  • เสริม SOC อย่างมีประสิทธิภาพ
  • ควบคุมเหตุการณ์โดยไม่รบกวนธุรกิจ
ในขณะที่แพลตฟอร์ม NDR และ AI จำนวนมากเน้นการตรวจจับขั้นสูง แต่ตัวเลือกการตอบสนองในโลกแห่งความเป็นจริงมักจะหยุดอยู่ที่การแจ้งเตือน การให้คะแนน หรือการแนะนำการดำเนินการ Stellar Cyber ​​ก้าวไปไกลกว่านั้นด้วยการเปิดใช้งานการหยุดชะงักแบบทันทีบนเครือข่ายผ่านการรีเซ็ต TCP ซึ่งดำเนินการแบบเรียลไทม์ที่เซ็นเซอร์ โดยไม่ต้องใช้บริการภายนอก อุปกรณ์เฉพาะ หรือความล่าช้าในการตอบสนอง ในขณะที่แพลตฟอร์มอื่นอาจพึ่งพาโบรกเกอร์ส่วนกลาง คำแนะนำที่ขับเคลื่อนด้วยคลาวด์ หรือเวิร์กโฟลว์การบรรเทาผลกระทบที่ล่าช้า Stellar Cyber ​​มอบการยุติเซสชันแบบเรียลไทม์อย่างแท้จริงโดยมีอุปสรรคในการใช้งานน้อยที่สุด ความสามารถในการตอบสนองโดยตรงที่พร้อมสำหรับการทำงานอัตโนมัตินี้ช่วยเร่งการควบคุมและลดระยะเวลาการคงอยู่ได้อย่างมาก ทำให้ Stellar Cyber ​​เป็นแพลตฟอร์มที่คล่องตัวและมีประสิทธิภาพมากขึ้นสำหรับยุคใหม่ SOCs.

กระทู้ที่เกี่ยวข้อง

เลื่อนไปที่ด้านบน
ลงทะเบียนเพื่อรับจดหมายข่าว