Mga Pangunahing Tampok na Dapat Isaalang-alang Kapag Pumipili ng NDR Solution
Gartner XDR Gabay sa Market
XDR ay isang umuunlad na teknolohiya na maaaring mag-alok ng pinag-isang kakayahan sa pag-iwas, pagtuklas, at pagtugon sa banta...
Damhin ang AI-Powered Security in Action!
Tuklasin ang cutting-edge AI ng Stellar Cyber para sa instant na pagtuklas ng pagbabanta...
Bakit Kailangan Mo ng NDR Solution?
Ang seguridad ng network ay patuloy na kinakatawan ang isa sa pinakamahirap na mga hangganan upang mapanatili ang paghawak. Kahit na ang medyo kumplikadong mga layout ng network ay madaling i-secure gamit ang isang simpleng firewall, kung hindi dahil sa katotohanan na maraming mga serbisyo ngayon ang desentralisado. Sa napakaraming device sa labas ng tradisyonal na perimeter, ang potensyal para sa mga kahinaan ay mas mataas kaysa dati. At hindi lang mga serbisyo ang naaalis sa sarili mong mga depensa: ang mga empleyado ay palaging umaasa sa mga wireless network na mas madaling kapitan sa eavesdropping at hindi awtorisadong pag-access. Ang likas na katangian ng wireless na komunikasyon ay nangangahulugan na ang pag-secure ng mga network na ito ay nangangailangan ng patuloy na pagbabantay at mga advanced na protocol ng seguridad.
Kasabay ng pagbabago ng landscape ng network, nariyan din ang patuloy na umuusbong na banta mula sa mga kumikitang cybercriminal na kalabanin. Ang mga sopistikadong pamamaraan ay lalong nasaksihan sa ligaw, habang ang mga pag-atake na inisponsor ng estado ay umuunlad sa ilalim ng mga geopolitical na tensyon ngayon. Ang mga banta na ito ay madalas na nagsasamantala sa mga lehitimong tool sa network at mga configuration na nagpapanatili sa aktwal na mga empleyado na konektado, na ginagawang mas mahirap silang matukoy at ipagtanggol laban.
Samakatuwid, kailangang bantayan ng mga organisasyon ang trapikong dumadaloy sa kanilang mga tech stack. Ipasok ang solusyon sa NDR: ang mga tool na ito ay patuloy na sinusubaybayan ang aktibidad ng network na nangyayari sa ilalim ng bonnet na may AI, na nagbibigay-daan sa iyong makita at tumugon sa tungkol sa mga pag-unlad nang mas mabilis. Alamin ang tungkol sa ano ang NDR.
Ano ang Mga Pangunahing Katangian ng NDR?
Deep Packet Inspection
Ang aktibidad sa network ay may maraming anyo, ngunit sa antas ng aplikasyon, ang mga packet ay hari. Kapag ang data ay ipinadala sa pamamagitan ng isang network, ito ay nahahati sa mas mapapamahalaang mga bahagi, na tinatawag na mga packet. Tulad ng isang liham, ang bawat packet ay naglalaman ng address kung saan ito ipinapadala, pati na rin ang aktwal na mensahe - o data - na ipinapadala. Sinuri lamang ng tradisyonal na packet inspeksyon ang bahagi ng header ng data na ito - na naglalaman lang ng impormasyon sa patutunguhan at nagpadala. Sa kasamaang palad, kahit na ang simpleng pag-spoof ng certificate ay nagbibigay-daan sa mga umaatake na gawin ang kanilang paraan sa depensang ito – ibig sabihin sa modernong panahon, ang malalim na inspeksyon ng packet ay isang minimum na pamantayan para sa mga ligtas na feature ng NDR.
Ang malalim na inspeksyon ng packet ay umaasa sa isang sentral na punto ng koneksyon at isang pag-tap sa network: nagbibigay ito ng ganap na access sa impormasyon ng packet. Ang kakayahang makita hindi lamang ang packet header, ngunit ang nilalaman at protocol na kasama nito, ay nagbibigay ng mas malalim na antas ng visibility sa kung ano ang ipinapadala sa iyong network. Ang pag-alam kung anong application, user, at device ang naglilipat kung aling mga packet ng data ang nag-aalok ng paraan upang mapabilis ang pag-unawa at pag-optimize ng network.
Gayunpaman, ang DPI ay may ilang pangunahing kawalan. Alam na ng mga umaatake ang mga ito. Halimbawa, ang DPI ay nangangailangan ng maraming kapangyarihan sa pagpoproseso, dahil masusing sinisiyasat nito ang bawat segment ng data ng packet. Kabalintunaan, samakatuwid, ang DPI ay talagang hindi gaanong kapaki-pakinabang sa mga high-bandwidth na network, dahil hindi nito masuri ang lahat ng mga network packet.
Ang mga organisasyon ay nagiging mas madalas sa pag-encrypt bilang isang paraan upang ma-secure ang kanilang mga komunikasyon sa network at mga digital na pakikipag-ugnayan. Sa kasamaang palad, gayon din ang mga umaatake. Nagpupumilit ang DPI na kumuha ng maraming impormasyon mula sa naka-encrypt na data ng network, ibig sabihin ay hindi nila mahuli ang mga naka-encrypt na komunikasyon sa pagitan ng ransomware trojan at ng C2 server nito.
Upang labanan ito, ang iyong tool sa NDR ay kailangang magkaroon ng higit sa DPI sa toolkit nito.
Pagsusuri ng Metadata
Ang metadata analysis (MA) ay umuurong mula sa hyper-specific na packet-by-packet na diskarte ng DPI, sa halip ay kumukuha ng buong hanay ng mga katangian tungkol sa mga komunikasyon sa network, mga application, at mga aktor – nang hindi nag-drill sa buong payload ng bawat packet. Ito ay kung paano makakamit ng NDR ang karamihan ng pinakamahusay nito Mga kaso ng paggamit ng NDR.
Para sa bawat session na dumadaan sa network, ang komprehensibong metadata ay naitala; ang metadata na ito ay umaabot upang makuha ang iba't ibang kritikal na katangian na maaaring tumukoy ng cyberattack sa tamang oras. Sa pinakapangunahing antas nito, kabilang dito ang mga IP address ng host at server, mga numero ng port, at mga detalye ng geo-location ng bawat koneksyon. Ngunit ang metadata ay nag-aalok ng higit na kayamanan ng impormasyon kaysa doon lamang: Ang mga DNS at DHCP log ay nakakatulong sa pagmapa ng mga device sa mga IP address, habang ang karagdagang mga detalye ng pag-access sa web page ay maaaring bumuo ng isang mas malinaw na larawan ng mga koneksyon na tumatakbo. Nakakatulong ang mga log ng Domain Controller na i-link ang user sa mga system na maaaring may access sila. Ang isyu ng pag-encrypt ng DPI ay nahadlangan salamat sa presensya ng metadata kahit sa mga naka-encrypt na web page: mula sa uri ng pag-encrypt, cipher, hash; sa ganap na kwalipikadong mga pangalan ng domain ng kliyente at server; at ang mga hash ng iba't ibang bagay tulad ng JavaScript at mga larawan, ang lahat ng data ng network na ito ay maaaring i-funnel sa mga modernong NDR.
Ang pagsusuri ng metadata ay nagbibigay ng visibility sa isang buong network, na ginagawang pinakamainam ang MA para sa mga network na hindi secure ng DPI. Ibig sabihin, ang mga high-bandwidth na network na mas naipamahagi. Kasabay nito, tandaan na ang MA ay hindi naaapektuhan ng pag-encrypt: nagbibigay-daan ito upang makita at maiwasan ang mga advanced na cyberattack na nagtatago sa likod ng mga proseso ng pag-encrypt ng trapiko. Ang pagtuon sa maraming mapagkukunan ng impormasyon ng network ay mas angkop sa cross-functional at mahigpit na pinagsama-samang mga stack ng seguridad ngayon.
Pag-uugali ng Pag-uugali
Sinaklaw namin kung anong data ang dapat kolektahin at bakit – ngunit hindi kung paano ito ginagamit upang mas mahusay na ma-secure ang iyong mga network. Noong nakaraan, ang mga pagtatangka sa pagprotekta sa network ay nakatuon sa pag-align ng packet information sa mga signature na naroroon sa mga kilalang pag-atake ng malware. Bagama't mas mabuti kaysa wala, ang diskarte na ito ay nagbibigay-daan sa iyong mga network na bukas sa mga bagong pag-atake. Ang mga pag-atake ngayon ay hindi nag-iiwan ng puwang para sa pagkakamali – tulad ng napatunayan ng ang kamakailang $22-milyong ransomware na pag-atake sa Change Healthcare, na may darating pa.
Ang pagsusuri sa pag-uugali ay ang sagot ng industriya sa dumaraming nobela at distributed na pag-atake ngayon. Ang mga algorithm ng Machine Learning ay nagbibigay-daan sa lahat ng metadata at packet na impormasyon na ito na maipangkat sa mas malawak na mga pattern ng pag-uugali. Ito ay nakakamit sa dalawang magkaibang paraan: pinangangasiwaan at hindi pinangangasiwaang mga diskarte sa pag-aaral. Tinutukoy ng pinangangasiwaang machine learning ang mga pangunahing gawi na karaniwan sa iba't ibang variant ng pagbabanta (gaya ng katotohanan na ang bagong-deploy na malware ay karaniwang makakarating sa isang C2 server), na nagbibigay-daan para sa pare-parehong pagtuklas sa iba't ibang mga sitwasyon. Sa kabilang banda, ang mga hindi sinusubaybayang machine learning algorithm ay sumilip sa data ng enterprise sa mas malawak na sukat, na nagsasagawa ng bilyun-bilyong kalkulasyon na nakabatay sa posibilidad mula sa naobserbahang data. Ang mga algorithm na ito ay hindi umaasa sa dating kaalaman sa pagbabanta ngunit independyenteng ikinakategorya ang data at tumukoy ng mga makabuluhang pattern.
Sa esensya, ang mga unsupervised algorithm ay nagbibigay-daan sa mga NDR tool na magtatag ng baseline ng kung ano ang normal para sa iyong network. Pagkatapos ay pinapayagan nila ang iyong SOC pangkat upang makita ang anumang hindi pangkaraniwang koneksyon na biglang lumilitaw: ang mga ito ay maaaring mga indikasyon ng isang pag-atake sa supply chain kung bigla itong sumibol mula sa isang pinagmulan; o, kung mas maraming data kaysa sa karaniwan ang ipinapadala sa isang panlabas na device, maaari itong maging ebidensya ng isang malisyosong o nakompromisong user. Mahalaga ang parehong pinangangasiwaang at hindi pinangangasiwaang mga modelo ng pagkatuto, dahil sama-sama nilang sinasaklaw ang buong lawak ng pagsusuri ng pag-uugali na kailangan ng iyong mga network.
Banta ng Intelligence
Ang pagsasama sa mga threat intelligence feed ay nagbibigay-daan sa NDR system na i-cross-reference ang aktibidad ng network laban sa mga kilalang banta, malisyosong IP address, at indicators of compromise (IoCs). Tinutulungan nito ang solusyon ng NDR na matukoy at matukoy ang mga banta na naobserbahan at naidokumento ng mas malawak na komunidad ng seguridad. Kapag isinama sa mga solusyon sa NDR, kumikilos ang mga threat intelligence feed bilang mabilis at tumpak na mga provider ng konteksto. Higit pa ito sa mga pangunahing lagda ng malware noong una, na may mga nangunguna sa merkado na pagbabanta sa mga feed ng intel kasama ang mga taktika, diskarte, at pamamaraan ng mga pinakabagong pag-atake, pati na rin ang epekto nito.
Ang impormasyong ito sa konteksto ay tumutulong sa isang solusyon sa NDR na mas maunawaan ang katangian ng bawat nakitang anomalya at gumawa ng mas matalinong mga desisyon tungkol sa naaangkop na tugon. Ang suportang ito para sa iyong mga analyst ay maaaring palalimin sa pamamagitan ng karagdagang pagsasama sa balangkas ng MITRE ATT&CK, pati na rin ang ilang karagdagang suporta mula sa mga tool na nagpapanatili nang ligtas sa iba pang bahagi ng iyong organisasyon.
Pagsasama ng Security Tech Stack
Hindi mo lilimitahan ang isang security analyst sa iisang platform lang – tulad ng pagbibigay ng konteksto ng mga third-party intelligence feed tungkol sa mga banta na naroon, ang iyong mas malawak na tech stack ay maaaring mag-alok ng isang pasadyang pananaw sa iyong sariling tanawin. Kapag ang NDR ay isinama sa Endpoint Detection and Response (EDR) at Security Information and Event Management (SIEM) mga kagamitang mayroon ka na, ang iyong mga koponan ay kayang gumanap sa parehong maraming aspeto na antas gaya ng mga umaatake.
Kunin ang balangkas ng MITER ATT&CK: habang tahasang binuo upang matukoy ang Mga Taktika, Teknik, at Pamamaraan (TTPs), ang MITER ATT&CK ay may malaking bias sa mga taktika ng endpoint. Dahil dito, nakita ng EDR ang isang yugto ng makabuluhang pamumuhunan sa mga industriya. Ito ay lubos na nauunawaan: ang pagtutugma ng iyong tooling sa nangunguna sa industriya na mga balangkas ay isang hakbang sa tamang direksyon. Sa kabila nito, mahalagang bantayan ang katotohanan ng pagsasamantala sa kahinaan. Kapag nagtatapos na ang isang kampanya sa pag-atake, maraming kritikal na diskarte ang talagang mas madaling makita mula sa pananaw ng network. Sa parehong timeframe na ito ng isang late-stage na pag-atake, ang mga minuto ay lumilipas nang may hindi kapani-paniwalang bilis – sa pamamagitan ng pagbawas sa kahalagahan ng mga aktibidad sa network, ang ilang mga organisasyon ay aktwal na pinapahina ang kanilang potensyal na tumugon sa seguridad sa oras na ito ay pinaka-kritikal. Ang pagsusuri at pag-uugnay ng data mula sa parehong mga endpoint at pinagmumulan ng network ay nagbibigay-daan sa mga analyst ng buong spectrum ng visibility.
I-automate ang Network Detection at Response gamit ang Stellar Cyber
Kapag naka-detect ang NDR ng kahina-hinala o nakakahamak na aktibidad sa loob ng network, kailangang i-funnel ang data na ito sa iyong security team nang may pinakamataas na kalinawan at kahusayan. Sa mga kritikal na kaganapan sa seguridad, bawat segundo ay mahalaga. Ayon sa kaugalian, ang mga alerto na nakabatay sa network ay ipapadala sa parehong mga listahan ng alerto tulad ng lahat ng iba pa, na humahantong sa mga milya-milyong backlog na kumakain ng higit at mas mahalagang oras mula sa limitadong oras ng iyong mga security analyst. Kinikilala ng mga modernong NDR na ang walang katapusang mga stream ng alerto ay pumipinsala sa seguridad ng organisasyon sa kanilang sariling paraan: sa halip, nilalayon nilang pagsama-samahin ang mga indibidwal na isyu sa mas malawak, mga alertong ayon sa konteksto.
Sa pamamagitan ng pagkonekta sa iyong mas malawak na hanay ng mga tool sa pagtatanggol, ang isang automated na solusyon sa NDR ay maaaring tumagal sa ilan sa mga abalang trabaho na nagpapabagal sa iyong mga security team ngayon. Nakagugulat pa rin ang automated manual triaging - at mabagal. Kaya't habang ang isang multi-faceted na tugon ay nagagawang itulak ang pagtuklas ng pagbabanta sa mga bagong taas, ang mahinang link ay nananatiling katotohanan na ang mga analyst ay maaari lamang magproseso ng napakaraming impormasyon sa anumang oras. Ipasok, mga algorithm.
Ang nagiging holistic na diskarte sa seguridad ay ang pundasyon ng Extended Detection at Response. Sa halip na kargahan ang mga analyst ng parami nang parami, dashboard, at alerto, ang bagong yugto ng cybersecurity ay naglalayong gamitin ang malawak na impormasyon na nasa iyong mga kamay sa pamamagitan ng automation.
Stellar Cyber's Open XDR Ginagamit ng platform ang mga kakayahan ng nakahiwalay na NDR at pinagsasama ang mga ito sa mga algorithm ng EDR at automation. Sa ganitong paraan, ang iyong seguridad ay higit pa sa isang malalim na pagsusuri ng bawat nakahiwalay na lugar ng iyong tech stack: sa halip, ang isang alerto mula sa isang device ay maaaring ihambing at ihambing laban sa aktibidad ng network na nauugnay dito. Hindi lamang nakakatulong ang mas maraming impormasyon sa isang security analyst sa komprehensibong pag-unawa sa uri at potensyal na epekto ng natukoy na banta, kundi pati na rin ang pag-asa sa advanced analytics ay nagbibigay-daan sa bawat aspeto na maimpluwensyahan ang antas ng kalubhaan ng isang alerto.
Sa pamamagitan ng paghahanda ng isang alerto kasama ang pagiging kritikal nito, ang Stellar Cyber's XDR Mabilis at madaling makita ng tooling ang potensyal na epekto at posibilidad ng pagsasamantala. Ang automation na ito ay susi hindi lamang sa paghawak ng napakaraming data ng network, kundi pati na rin sa pagtukoy ng mga anomalya at alalahanin na tunay na kailangang ayusin. Suriin muli ang kaugnayan ng iyong organisasyon sa mga alerto sa network ngayon at tingnan kung paano ginagabayan ni Stellar ang mga security team sa mas mabilis na oras ng pagresolba kaysa dati.
