- Pag-unawa sa Augmented NDR at sa Kritikal na Papel Nito
- Paano Naiiba ang Augmented NDR sa Traditional Network Detection
- Ang Teknikal na Arkitektura sa Likod ng Augmented NDR
- Paano Binabawasan ng Machine Learning ang Mga Maling Positibo at Pinapabuti ang Katapatan
- Anomaly Detection sa AI at Machine Learning Integration
- Paggawa ng Case at Automated Response sa pamamagitan ng Orchestration
- Ang Diskarte ni Stellar Cyber sa Open XDR at Pinahusay na NDR
- Mga Pangunahing Benepisyo ng Augmented NDR para sa Mid-Market Organizations
Ano ang Augmented Network Detection and Response (NDR)?
Gartner® Magic Quadrant™ NDR Solutions
Tingnan kung bakit kami lang ang nagtitinda na inilagay sa Challenger quadrant...
Damhin ang AI-Powered Security in Action!
Tuklasin ang cutting-edge AI ng Stellar Cyber para sa instant na pagtuklas ng pagbabanta...
Pag-unawa sa Augmented NDR at sa Kritikal na Papel Nito
Ang Augmented NDR ay kumakatawan sa isang pangunahing pagbabago sa kung paano lumalapit ang mga organisasyon sa seguridad ng network. Sa halip na maghintay para sa mga kilalang pirma ng pag-atake na tumugma, natututo ang mga system na ito ng mga pattern ng pag-uugali ng iyong network at mga paglihis ng flag sa real-time. Ang ebolusyon na ito ay mahalaga dahil ang mga tradisyunal na tool sa pag-detect ay nakakaligtaan ng 40-50% ng mga advanced na pag-atake. Nakikita ng mga solusyong pinapagana ng AI kung ano ang hindi mapapansin ng mga tao.
Ang terminong "pinalaki" ay partikular na tumutukoy sa overlay ng machine learning at behavioral analytics sa itaas ng pangunahing functionality ng NDR. Ito ay hindi lamang isang rebranding ng mga umiiral na tool. Ang mga organisasyong nagpapatupad ng augmented NDR ay nag-uulat na nagde-detect ng lateral movement ng 73% na mas mabilis kaysa sa mga peer na organisasyon na gumagamit ng conventional network detection. Para sa mga mid-market firm na namamahala sa dose-dosenang mga system na may limitadong kawani ng seguridad, ang pagbilis na ito ay pangunahing nagbabago sa mga timeline ng pagtugon sa insidente.
Paano Naiiba ang Augmented NDR sa Traditional Network Detection
Ang agwat sa pagitan ng tradisyonal na pag-detect ng panghihimasok at modernong pinalaki na mga diskarte sa NDR ay nagpapakita kung bakit mahalaga ang teknolohiya. Ang mga tradisyunal na network intrusion detection system ay umasa sa mga paunang natukoy na panuntunan. Ang isang umaatake na gumagamit ng hindi kilalang mga diskarte ay nalampasan lamang ang mga static na panlaban na ito. Ang mga tradisyunal na tool ay nakabuo din ng napakalaking volume ng alerto, napakaraming analyst na may ingay.
Iba ang pagpapatakbo ng Augmented NDR. Sa halip na tumugma sa mga listahan ng mga kilalang lagda, ang mga system na ito ay unang nagtatatag ng mga baseline sa pag-uugali. Naiintindihan nila kung ano ang normal na hitsura para sa iyong network sa iba't ibang panahon, departamento, at aplikasyon. Kapag makabuluhang lumihis ang isang entity mula sa baseline nito, iniuugnay ng system ang signal na iyon sa iba pang kahina-hinalang aktibidad upang masuri ang totoong panganib.
Isaalang-alang ang tunay na halimbawa ng 2024-2025 Salt Typhoon campaign na nagta-target sa mga provider ng telekomunikasyon sa US. Ang mga umaatake ay nagpapanatili ng hindi natukoy na pag-access sa loob ng isa hanggang dalawang taon gamit ang mga diskarte sa pamumuhay sa labas ng lupa. Hindi sila nag-deploy ng kakaibang malware. Gumamit sila ng mga lehitimong kagamitang pang-administratibo. Ang tradisyunal na pag-detect na nakabatay sa lagda ay ganap na nakaligtaan ito. Ang Augmented NDR, na nagsusuri ng mga pattern ng hindi pangkaraniwang administratibong pag-access sa maraming system, ay na-flag sa kampanya nang mas maaga sa pamamagitan ng pag-detect ng mga anomalya sa pag-uugali na hindi ma-trigger ng mga indibidwal na alerto.
Ang Teknikal na Arkitektura sa Likod ng Augmented NDR
Ang Augmented NDR ay gumagana sa pamamagitan ng ilang pinagsama-samang mga layer na nagtatrabaho sa konsyerto. Ang pag-unawa sa arkitektura na ito ay nagpapaliwanag kung bakit nakikita ng mga system na ito ang mga banta na hindi nakuha ng mga tradisyonal na tool.
Ang pagkolekta ng data ay bumubuo ng pundasyon. Ang mga pinahusay na solusyon sa NDR ay naglalagay ng mga sensor sa mga segment ng network, na kumukuha ng trapiko sa hilaga-timog (sa pagitan ng mga panloob na network at internet) at trapiko sa silangan-kanluran (sa pagitan ng mga panloob na system). Kinukuha ng mga sensor na ito ang metadata, kabilang ang mga IP address, protocol, impormasyon ng session, at mga katangian ng pag-uugali, sa halip na mag-imbak ng napakalaking packet capture.
Susunod na magaganap ang baselining ng asal. Ang mga modelo ng machine learning ay gumagamit ng dalawang linggo ng makasaysayang data, na nagtatatag ng mga istatistikal na modelo ng normal na aktibidad para sa iba't ibang uri ng entity. Ang tipikal na pag-uugali ng network ng departamento ng pananalapi ay pangunahing naiiba sa mga development team. Isinasaalang-alang ng baselining ang mga pagkakaibang ito sa konteksto. Natututo ang system ng mga pana-panahong pattern, na kinikilala na ang mga proseso ng pagsasara sa katapusan ng buwan ay bumubuo ng ibang trapiko kaysa sa mga normal na operasyon.
Ang real-time na pagtuklas ng anomalya ay naglalapat ng maramihang machine learning algorithm nang sabay-sabay. Ang pag-detect ng bihirang kaganapan ay nagba-flag ng mga aktibidad na hindi pa naganap kamakailan. Tinutukoy ng pagsusuri ng serye ng oras ang mga spike sa aktibidad. Ang pagmomodelo na nakabatay sa populasyon ay naghahambing ng mga entity sa kanilang mga peer group, na nakakakuha ng isang database server na nagpapakita ng hindi pangkaraniwang mga pattern ng query. Nakikita ng mga modelong nakabatay sa graph ang mga pagbabago sa mga pattern ng relasyon sa pagitan ng mga system.
Ang yugto ng ugnayan ng alerto ay nangyayari sa loob ng ilang segundo ng pagtuklas. Sa halip na magpagana ng mga indibidwal na alerto, iniuugnay ng augmented NDR ang mga kahina-hinalang aktibidad sa maraming dimensyon. Maramihang mga pagkabigo sa pag-log in na sinusundan ng isang matagumpay na pagpapatotoo sa isang sensitibong system, na sinamahan ng hindi pangkaraniwang mga pattern ng pag-access ng data, ay pinagsama-sama sa isang magkakaugnay na insidente. Binabawasan ng ugnayang ito ang mga maling positibo ng 60% kumpara sa mga tradisyonal na diskarte.
Paano Binabawasan ng Machine Learning ang Mga Maling Positibo at Pinapabuti ang Katapatan
Ang mga pangkat ng seguridad sa kalagitnaan ng merkado ay madalas na nakikipagpunyagi sa alertong pagkapagod. Ang mga tradisyunal na system ay bumubuo ng libu-libong pang-araw-araw na alerto, karamihan ay kumakatawan sa lehitimong aktibidad o ingay ng system. Hindi mabisang maimbestigahan ng mga analyst ang volume na ito. Ang mga pagbabanta ay nagtatago sa loob ng ingay.
Tinutugunan ito ng mga sistema ng machine learning na nakabatay sa ensemble sa pamamagitan ng maraming mga diskarte sa pag-detect na nagtutulungan. Ipinapakita ng kamakailang pananaliksik na ang ensemble approach ay nakakamit ng 93.7% na katumpakan kumpara sa 77.7-90% para sa mga indibidwal na algorithm. Ang kumbinasyon ng iba't ibang mga mathematical approach ay lumilikha ng katatagan laban sa adversarial techniques.
Ang hindi sinusubaybayang pag-aaral ay nagpapatunay na partikular na mahalaga dahil hindi ito nangangailangan ng may label na data ng pagsasanay na nagpapakita kung ano ang hitsura ng mga pag-atake. Sa halip, tinutukoy ng mga algorithm na ito ang mga outlier sa pag-uugali ng network. Ang isang endpoint na biglang nagpasimula ng mga koneksyon sa 500 natatanging panlabas na address sa loob ng ilang minuto ay kumakatawan sa isang istatistikal na outlier. Ang outlier na iyon ay maaaring magpahiwatig ng malware sa pagmimina ng cryptocurrency o impeksyon sa botnet. Bina-flag ito ng system hindi alintana kung tumugma ito sa isang kilalang malware signature.
Ang pinangangasiwaang pag-aaral ay nakakatulong sa partikular na pagkilala sa pattern. Kapag ang mga organisasyon ay may dating data ng pag-atake, ang mga pinangangasiwaang modelo ay nagsasanay sa mga may label na halimbawa ng malisyosong gawi. Ang DNS tunneling, halimbawa, ay sumusunod sa mga partikular na pattern. Nakikita ng mga pinangangasiwaang modelo na sinanay sa mga pattern na ito ang mga pagtatangka sa pag-tunnel ng DNS nang may mataas na katumpakan. Ang pagsasama-sama ng pinangangasiwaan at hindi pinangangasiwaang mga diskarte ay gumagawa ng komprehensibong saklaw ng pagtuklas.
Pinipigilan ng dinamikong pag-tune ng threshold ang pagkapagod ng alerto sa paglipas ng panahon. Sa halip na gumamit ng mga static na threshold na nagiging hindi gaanong nauugnay habang umuunlad ang mga network, patuloy na pinipino ng mga augmented NDR system ang mga threshold sa pagtuklas batay sa katumpakan ng pagtuklas, mga false positive rate, at feedback ng analyst. Ang adaptasyon na ito ay nagpapanatili ng mga system na epektibo sa mga pagbabago sa organisasyon at ebolusyon ng pagbabanta.
Ang praktikal na kinalabasan? Ang mga organisasyong nagde-deploy ng augmented NDR ay nag-uulat ng 60% false positive reduction kumpara sa tradisyonal na behavioral analytics. Direktang isinasalin ang pagpapahusay na ito sa pagiging produktibo ng analyst. Sa halip na subukan ang ingay, nakatuon ang mga security team sa mga kapani-paniwalang banta.
Real-Time na Pagsusuri sa Trapiko ng Network sa Mga Layer
Ang kakayahan ng Augmented NDR na makakita ng mga banta sa mga layer ng network ay nakikilala ito sa mga solusyon sa punto. Nakikita ng firewall ang trapiko sa hilaga-timog. Nakikita ng endpoint detection tool ang pagpapatupad ng proseso sa isang device. Nakikita ng NDR ang lahat ng paggalaw ng network, na iniuugnay ang komprehensibong pananaw na ito sa buong panahon.
Ang malalim na inspeksyon ng packet ay sumusuri sa mga nilalaman ng packet, na kumukuha ng mga gawi sa antas ng aplikasyon. Ito ay nagpapakita ng malware na nakatago sa loob ng mga naka-encrypt na stream. Habang pinipigilan ng malakas na pag-encrypt ang buong inspeksyon ng nilalaman, ang pagsusuri ng metadata ay nagpapakita ng mga kahina-hinalang pattern. Ang device ng isang user na kumokonekta sa isang kilalang command-and-control server sa loob ng ilang millisecond nang maraming beses bawat oras ay nagmumungkahi ng komunikasyon sa malware. Ang nilalaman ay nananatiling naka-encrypt, ngunit ang pattern ay sumisigaw ng malisyosong layunin.
Ang network segmentation at microsegmentation ay lumalabas bilang mga pantulong na diskarte. Ang mga prinsipyo ng Zero Trust Architecture na nakabalangkas sa NIST SP 800-207 ay nagbibigay-diin sa patuloy na pag-verify sa bawat hangganan ng network. Ang Augmented NDR ay nagbibigay ng detection layer na ginagawang praktikal ang Zero Trust. Patuloy itong sinusubaybayan upang i-verify na tumutugma sa mga patakaran ang access sa network. Kapag ang isang workstation ay direktang nag-access sa isang database server sa kabila ng mga patakarang nagbabawal sa koneksyon na iyon, ang pinalaki na NDR ay nakakakita ng paglihis na ito at nagti-trigger ng pagpapatupad ng patakaran.
Ang pagsusuri sa pag-uugali ay lumalampas sa mga indibidwal na koneksyon sa mga pattern sa buong panahon. Ang mga paglabag sa data ng Snowflake noong 2024 ay naglalarawan kung paano ginagamit ng mga umaatake ang mga lehitimong kredensyal upang ma-access ang mga cloud database. Ang pagtukoy na nakabatay sa lagda ay hindi mag-flag ng normal na pagpapatotoo. Ang pagsusuri sa pag-uugali, gayunpaman, ay nakikita kapag ang mga pattern ng pag-access ng isang user ay kapansin-pansing nagbabago. Mga pag-login mula sa hindi pangkaraniwang mga heograpiya, mga query sa data sa mga hindi pangkaraniwang oras, at pagkuha ng mga hindi karaniwang dami ng data. Ang mga paglihis na ito mula sa baseline na gawi ay nagpapahiwatig ng kompromiso. Kapag magkakaugnay, lumilikha sila ng nakakahimok na ebidensya ng isang paglabag bago mangyari ang malaking pagkawala ng data.
Anomaly Detection sa AI at Machine Learning Integration
Binabago ng mga kakayahan ng artificial intelligence ang NDR mula sa isang tool sa pagtukoy sa isang accelerator ng pagsisiyasat. Ang mga modelo ng machine learning ay gumagamit ng milyun-milyong kaganapan sa network araw-araw, na nagsasagawa ng pagsusuri na mangangailangan ng mga siglo ng oras ng analyst ang manual na pagsusuri.
Ang pansamantalang pagsusuri ay nagdaragdag ng kritikal na konteksto. Nauunawaan ng mga modelo ng machine learning na ang paglilipat ng file sa 2 AM mula sa isang development system ay mukhang iba sa parehong paglipat sa mga oras ng negosyo. Tinutukoy nila ang mga ikot ng negosyo, seasonality, at mga lehitimong pagbabago sa pagpapatakbo. Ang temporal na kamalayan na ito ay kapansin-pansing binabawasan ang mga maling positibo mula sa mga lehitimong ngunit hindi pangkaraniwang mga aktibidad.
Ang balangkas ng MITER ATT&CK ay nagmamapa ng mga diskarte sa pag-atake sa mga nakikitang tagapagpahiwatig ng network. Ang mga modelo ng machine learning na partikular na sinanay upang tuklasin ang mga diskarteng nakadokumento sa MITER ATT&CK ay nakakamit ng mas mataas na saklaw ng pagtuklas kaysa sa mga system na gumagamit ng generic na pagtukoy ng anomalya. Ang isang NDR system na sinanay upang makita ang lateral na paggalaw sa pamamagitan ng Remote Services (T1021) ay nagbabantay para sa mga partikular na pattern ng indicator, kabilang ang hindi pangkaraniwang trapiko ng RDP, administrative share access, at privilege abuse. Ang pagtuklas na tukoy sa diskarteng ito ay nagbibigay ng mas mataas na katumpakan kaysa sa generic na pag-flag ng anomalya.
Ang awtomatikong pangangaso ng pagbabanta ay kumakatawan sa isang umuusbong na kakayahan na pinapagana ng machine learning. Sa halip na maghintay ng mga alerto, maaaring magtanong ang mga security analyst tulad ng "ipakita sa akin ang lahat ng kahina-hinalang access sa database sa huling pitong araw." Sinasagot ng mga modelo ng machine learning ang mga tanong na ito sa pamamagitan ng paghahanap sa malalaking makasaysayang dataset. Natuklasan ng mga analyst ang mga mabagal na pag-atake na hindi magti-trigger ng mga indibidwal na alerto ngunit nagpapakita ng malinaw na mga pattern ng kahina-hinalang aktibidad kapag tiningnan nang sama-sama.
Kaugnayan sa Identity at Endpoint Signals
Nakakamit ng Augmented NDR ang pinakamataas na bisa kapag iniuugnay ang mga signal ng network sa data ng pagkakakilanlan at endpoint. Ang pag-uugali ng network ng isang gumagamit ay nangangahulugan ng kaunti sa paghihiwalay. Pinagsama sa aktibidad ng user account at pagpapatupad ng proseso ng endpoint, lumilikha ito ng komprehensibong pagpapakita ng pag-atake.
Ang pagkakaugnay ng pagkakakilanlan ay nagpapatunay na mahalaga para sa pag-detect ng pag-abuso sa kredensyal at pagdami ng pribilehiyo. Kapag ang isang account ay karaniwang nagla-log in mula sa isang partikular na heyograpikong lokasyon sa pagitan ng 8 AM at 5 PM sa mga araw ng negosyo, ang mga paglihis ay nangangailangan ng pagsisiyasat. Ang pag-log in mula sa ibang kontinente sa hatinggabi ay kumakatawan sa isang anomalya sa pag-uugali. Kapag ang parehong account na iyon ay biglang nag-access ng mga file o system na hindi pa nito nahawakan, kasama ng hindi pangkaraniwang paglilipat ng data sa network, ang ugnayan ay lumilikha ng matibay na ebidensya ng kompromiso.
Ang ALPHV/BlackCat ransomware attack sa Change Healthcare noong 2024 ay naglalarawan ng prinsipyong ito. Ang mga umaatake ay nakakuha ng paunang pag-access gamit ang mahinang mga kredensyal sa isang server na walang multi-factor na pagpapatotoo. Pagkatapos ay gumamit sila ng mga lehitimong kasangkapang pang-administratibo para sa paggalaw sa gilid. Ang NDR lamang ay maaaring makakita ng mga hindi pangkaraniwang pattern ng trapiko. Kasama ng data ng pagkakakilanlan na nagpapakita ng pagtaas ng pribilehiyo sa maraming account at data ng endpoint na nagpapakita ng mga aktibidad sa pag-encrypt ng ransomware, ipinapakita ng ugnayan ang buong salaysay ng pag-atake sa loob ng ilang minuto sa halip na mga araw.
Ang mga tool ng Endpoint Detection and Response (EDR) ay nagbibigay ng mahalagang visibility sa pagpapatupad ng proseso at pag-access sa file. Iniuugnay ng Augmented NDR ang mga signal na ito sa gawi ng network. Ang pag-e-execute ng malware sa isang endpoint ay bubuo ng mga partikular na lagda sa network. Sa pamamagitan ng pag-uugnay ng proseso ng pagpapatupad sa kaukulang trapiko sa network, ang pinalaki na NDR ay nakikilala sa pagitan ng mga lehitimong pag-update ng system at mga nakakahamak na pag-download. Ang multi-layer correlation na ito ay gumagawa ng mas mataas na confidence detection na may mas kaunting false positive.
Paggawa ng Case at Automated Response sa pamamagitan ng Orchestration
Ang pagtuklas nang walang tugon ay nananatiling hindi kumpleto. Sinasara ng Augmented NDR ang gap na ito sa pamamagitan ng automated response orchestration. Tinutukoy ng machine learning hindi lang na may banta, ngunit nagrerekomenda ng mga naaangkop na pagkilos sa pagtugon batay sa kalubhaan ng pagbabanta, pagiging kritikal ng asset, at mga patakaran ng organisasyon.
Ang mga kakayahan sa awtomatikong pagtugon ay mula sa impormasyon hanggang sa malakas. Ang mga pag-detect na mababa ang kumpiyansa ay maaaring tumaas lamang ang pagsubaybay at mangolekta ng karagdagang forensic data. Ang mga banta na may mataas na kumpiyansa na nagta-target sa mga kritikal na asset ay maaaring mag-trigger ng mga agarang pagkilos sa pagpigil, kabilang ang host isolation, account disablement, o traffic blocking. Ang graduated response approach na ito ay nagbabalanse ng seguridad sa operational continuity.
Ang Stellar Cyber Open XDR Ipinapakita ng platform ang integrasyong ito sa pamamagitan ng katutubong orkestasyon ng tugon. Kapag nakita ng augmented NDR ang mga lateral movement indicator, awtomatikong maaaring i-trigger ng system ang mga EDR agent upang ihiwalay ang mga nahawaang endpoint. Maaari nitong i-disable ang mga nakompromisong account, na haharang sa karagdagang paggalaw ng attacker. Maaari nitong harangan ang kahina-hinalang trapiko sa mga firewall. Ang lahat ng orkestasyong ito ay nangyayari sa loob ng ilang segundo ng pagtuklas, na lubhang nagpipigil sa epekto ng attacker.
Tinitiyak ng tugon na batay sa patakaran na naaayon ang mga pagkilos sa mga kinakailangan ng organisasyon at mga obligasyon sa pagsunod. Maaaring mangailangan ng pag-apruba ng tao ang isang organisasyong serbisyo sa pananalapi bago i-disable ang mga account, habang ang isang kumpanya ng pagmamanupaktura na nagpapatakbo ng kritikal na imprastraktura ay maaaring magpatupad ng awtomatikong paghihiwalay upang mabawasan ang downtime. Iniangkop ng mga Augmented NDR system ang kanilang tugon sa mga kontekstong pang-organisasyon na ito.
Ang mga oras ng pagtugon sa real-world na insidente ay nagpapakita ng epekto. Ang mga organisasyong walang automation ay may average na 287 araw upang matukoy at maglaman ng mga pag-atake ng ransomware. Ang mga organisasyong may pinalaki na NDR at automated na tugon ay naglalaman ng mga katulad na pag-atake sa loob ng ilang segundo hanggang minuto. Ang epekto sa negosyo ng pagbilis na ito, na sinusukat sa pagpigil sa pagkawala ng data at pag-iwas sa downtime, ay isinasalin sa milyun-milyong dolyar ng proteksyon.
Pagmamarka ng Banta at Pag-aalerto sa Priyoridad
Ang mga pangkat ng seguridad ay nahaharap sa imposibleng dami ng mga potensyal na alerto. Gumagamit ang Augmented NDR ng pagbabanta sa pagmamarka upang ilabas ang mga pinakakritikal na banta. Sa halip na tratuhin nang pantay-pantay ang lahat ng alerto, sinusuri ng mga modelo ng machine learning ang maraming salik upang bigyang-priyoridad ang pagtugon.
Isinasaalang-alang ng pagmamarka ng pagbabanta ang pagiging kritikal ng asset. Ang isang kahina-hinalang koneksyon sa web server na nakaharap sa publiko ay na-rate nang iba kaysa sa parehong koneksyon sa isang panloob na kahon ng pag-unlad. Ang isang koneksyon sa gitnang database na naglalaman ng mga marka ng data ng customer ay mas mataas kaysa sa pag-access sa printer ng opisina. Malaking naiimpluwensyahan ng konteksto ng asset ang priyoridad ng pagsisiyasat.
Ang pagmamarka ng kumpiyansa ay sumasalamin sa katiyakan ng pagtuklas. Mas mataas ang marka ng mga pagtuklas batay sa maraming magkakaugnay na signal kaysa sa mga solong signal. Ang mga pag-uugali na makabuluhang lumilihis mula sa mga marka ng baseline ay itinuturing na mas mataas kaysa sa mga maliliit na paglihis. Mahalaga rin ang mga temporal na kadahilanan. Ang pag-access sa katapusan ng linggo sa mga system na karaniwang ina-access tuwing weekday ay nagpapataas ng hinala. Ang hindi pangkaraniwang heyograpikong pinagmulan na sinamahan ng mga anomalya sa pag-uugali ay lumilikha ng mga pinagsasama-samang signal ng panganib.
Binubuo ng konteksto ng negosyo ang priyoridad. Sa panahon ng pagsasara ng pananalapi, maaaring inaasahan ang hindi pangkaraniwang pag-access sa database. Sa panahon ng mga normal na operasyon, ang parehong access pattern ay marka bilang kahina-hinala. Natututuhan ng Augmented NDR ang mga konteksto ng negosyo na ito at inaayos ang pagmamarka nang naaayon.
Ang praktikal na kinalabasan? Ang mga security team na nagre-review ng 50 priyoridad na kaso ay higit na nahihigitan ng mga team na nagsusuri ng 5,000 na hindi priyoridad na alerto. Ang pagbabanta ng pagmamarka ay nagbibigay-daan sa mga lean team na tumuon sa mga tunay na pagbabanta sa halip na ingay.
Ang Pamamaraan ng Stellar Cyber sa Open XDR at Pinahusay na NDR
Isinasama ng plataporma ng Stellar Cyber ang mga pinahusay na kakayahan ng NDR sa loob ng mas malawak na Open XDR balangkas. Direktang tinutugunan ng pamamaraang arkitektural na ito ang mga hamon sa kalagitnaan ng merkado.
Pinagsasama ng mga katutubong kakayahan ng NDR sa loob ng Stellar Cyber ang malalim na inspeksyon ng packet at ang pagtuklas ng anomalya ng machine learning. Sinusuri ng Multi-Layer AI engine ang gawi ng network sa mga protocol, application, at daloy ng data. Hindi tulad ng mga solusyon sa punto na nangangailangan ng manu-manong pagsasama, ang katutubong NDR ay gumagana bilang isang magkakaugnay na sistema na idinisenyo para sa pagtuklas ng banta ng enterprise mula sa simula.
Awtomatikong nagaganap ang pagmamarka ng pagbabanta at pagpapayaman ng konteksto. Sa halip na hilingin sa mga analyst na maunawaan ang mga misteryosong teknikal na alerto, isinasalin ng Stellar Cyber ang mga pagtuklas sa mga pagtatasa ng panganib na nauugnay sa negosyo. Agad na nauunawaan ng mga analyst ang mga banta sa mga tuntunin ng epekto sa negosyo sa halip na mga teknikal na detalye.
Ang pag-aautomat ng triage ng alerto ay kumakatawan sa isa pang pinalaki na pagsulong ng NDR. Sa halip na subukan ng bawat analyst ang bawat alerto, awtomatikong iniuugnay ng platform ang mga nauugnay na alerto sa magkakaugnay na mga insidente. Sinusuri ng mga analyst ang mga insidente, hindi ang mga indibidwal na alerto. Ang pagsasama-sama na ito ay kapansin-pansing binabawasan ang manu-manong pagsisikap habang pinapahusay ang pagiging epektibo ng pagsisiyasat.
Direktang kumokonekta ang orkestra sa pagtugon sa kasalukuyang imprastraktura. Sumasama ang Stellar Cyber sa mga tool na pamantayan sa industriya, kabilang ang mga nangungunang EDR platform, firewall, SOAR system, at ticketing software. Ang pagiging bukas na ito ay nangangahulugan na ang mga organisasyon ay nagpapanatili ng mga umiiral na pamumuhunan sa seguridad habang nakakakuha ng mga karagdagang kakayahan sa pagtuklas. Walang kinakailangang sapilitang paglipat o kumpletong pagpapalit ng stack ng seguridad.
Mga Pangunahing Benepisyo ng Augmented NDR para sa Mid-Market Organizations
Ang mga kumpanya sa kalagitnaan ng merkado ay nahaharap sa mga banta sa antas ng enterprise nang walang mga badyet o kawani sa seguridad sa antas ng enterprise. Direktang tinutugunan ng Augmented NDR ang kawalan ng timbang na ito sa pamamagitan ng automation, intelligence, at kahusayan.
Tinatanggal ng Faster Threat Discovery ang gastos sa pagkuha ng mga karagdagang analyst. Nagagawa ng machine learning sa ilang segundo kung ano ang mangangailangan ng mga araw ng manual na pagsisiyasat. Nakikita ng mga organisasyon ang mga banta bago makamit ng mga umaatake ang mga layunin sa halip na mga linggo pagkatapos makompromiso.
Ginagawang sustainable ng mga pinababang False Positive ang mga operasyong panseguridad. Ang pagkapagod sa alerto ay sumisira sa pagiging epektibo ng analyst at nagtutulak ng burnout. Ang 60% false positive reduction ng Augmented NDR ay nangangahulugan na ang mga team ay aktwal na nag-iimbestiga sa mga mapagkakatiwalaang banta sa halip na malunod sa ingay. Ang pagpapahusay na ito lamang ay ginagawang mabubuhay ang mga lean team.
Binabago ng mga Proactive Response Capabilities ang seguridad mula sa reaktibong paglaban sa sunog tungo sa strategic defense. Ang awtomatikong pagtugon ay nangangahulugan na ang mga banta ay napapaloob habang nag-iimbestiga ang mga analyst. Nawawala ang paralisis ng desisyon kapag awtomatikong nag-execute ang mga response playbook. Nabawi ng mga organisasyon ang kontrol sa kanilang postura sa seguridad.
Ang Comprehensive Visibility ay nagpapalawak ng proteksyon sa kabila ng mga endpoint. Maraming organisasyon ang nag-iiwan sa mga network na hindi sinusubaybayan sa kabila ng mga network na mas gusto ng mga umaatake na lateral movement na kapaligiran. Nakikita ng Augmented NDR ang mga hindi pinamamahalaang device, mobile endpoint, at cloud workload na hindi kayang saklawin ng EDR lamang. Binubuo ng visibility na ito ang pundasyon ng pagpapatupad ng Zero Trust na nakahanay sa mga prinsipyo ng NIST SP 800-207.
Pag-detect ng Lateral Movement at Living-Off-The-Land Tactics
Ang 2024-2025 threat landscape ay lalong nagtatampok ng mga sopistikadong umaatake gamit ang mga lehitimong tool at native na kakayahan ng system. Ang mga "living-off-the-land" na pag-atake na ito ay sadyang umiiwas sa tradisyonal na endpoint detection sa pamamagitan ng paggamit ng Microsoft PowerShell, mga lehitimong administrative utilities, at mga built-in na feature ng operating system.
Kinakatawan ng lateral na paggalaw ang pinakapatuloy na pattern ng pagbabanta. Ang MITRE ATT&CK ay nagdodokumento ng siyam na pangunahing pamamaraan ng paggalaw sa gilid na sumasaklaw sa mga pass-the-hash na pag-atake, pagsasamantala sa mga malalayong serbisyo, at pang-aabuso sa mga wastong account. Ang tradisyunal na signature-based na pag-detect ay nakikibaka dahil ang mga diskarteng ito ay gumagamit ng mga lehitimong protocol at mekanismo ng pagpapatunay.
Nakikita ng Augmented NDR ang lateral movement sa pamamagitan ng behavioral pattern analysis. Ang mga normal na user ay bihirang mag-authenticate sa maraming system nang sunud-sunod sa maikling timeframe. Ang mga normal na workstation ay bihirang magpasimula ng mga papalabas na koneksyon sa daan-daang iba pang mga system. Ang mga normal na account ng serbisyo ay bihirang magsagawa ng mga interactive na utos. Pinagsama-sama, ang mga paglihis ng asal na ito ay nagpapahiwatig ng paggalaw sa gilid anuman ang mga tool na ginamit.
Ang paglabag sa Qantas ng 2025 ay naglalarawan kung bakit ito mahalaga. In-access ng mga attacker ang mga system na hino-host ng Salesforce at nakuha ang 5.7 milyong mga rekord ng customer. Hindi matutukoy ng pagtukoy na nakabatay sa lagda ang hindi pangkaraniwang pag-access sa Salesforce bilang nakakahamak; ito ay isang lehitimong aplikasyon. Ang pagsusuri sa pag-uugali, gayunpaman, ay nakikita kapag ang mga pattern ng pag-access ay lumihis sa mga pamantayan. Ang mabilis na pagkuha ng mga database ng customer mula sa mga system na hindi karaniwang ginagamit para sa maramihang pag-access ng data ay nagpapahiwatig ng kahina-hinalang gawi.
Bridging Security Stack Fragmentation
Karaniwang pinapatakbo ng mga organisasyong nasa kalagitnaan ng merkado ang mga pira-pirasong security stack na pinagsasama-sama SIEM, mga tool na EDR, NDR, at SOAR na halos hindi nakikipag-ugnayan. Ang pagkakapira-piraso na ito ay lumilikha ng mga mapanganib na blind spot kung saan nagtatago ang mga banta sa pagitan ng mga tool.
Pinalaking NDR sa loob ng isang Open XDR Pinag-uugnay ng plataporma ang pagkakawatak-watak na ito. Sa halip na mangolekta ng datos sa mga silo, pinag-iisa ng plataporma ang mga endpoint, network, cloud, at mga signal ng pagkakakilanlan sa isang sentral na data lake. Sinusuri ng mga modelo ng machine learning ang pinag-isang dataset na ito, na gumagawa ng mga ugnayan na hindi matukoy ng mga indibidwal na solusyon sa punto.
Ang pagbabagong ito sa arkitektura ay nagbubunga ng mga kapansin-pansing pagpapabuti sa operasyon. Hindi na manu-manong nagpapalipat-lipat ang mga analyst sa pagitan ng mga tool. Ang mga kaso ay dumadaloy sa mga awtomatikong daloy ng trabaho. Ang mga aksyon sa pagtugon ay awtomatikong nagko-coordinate sa maraming platform. Ang resulta ay halos kapantay ng bisa ng seguridad ng enterprise-scale. SOCs sa halagang nasa gitnang presyo ng merkado.
MITRE ATT&CK Framework Integration at Coverage Analysis
Ang mga Augmented NDR system ay lalong nagpapatupad ng MITER ATT&CK mapping bilang isang pangunahing kakayahan. Sa halip na ipakita ang mga alerto bilang mga teknikal na kaganapan, ipinapakita na ngayon ng mga system ang mga ito bilang mga partikular na diskarte sa pag-atake na naka-mapa sa balangkas ng MITER. Tinutulungan ng pagsasaling ito ang mga organisasyon na makipag-usap sa postura ng seguridad sa mga terminong neutral sa vendor.
Ang pagsusuri sa saklaw gamit ang MITER ATT&CK ay nagpapakita ng mga puwang sa pagtuklas. Maaaring may mahusay na saklaw ang isang organisasyon para sa mga diskarte sa Initial Access, ngunit mahina ang visibility sa lateral movement. Ang MITRE mapping ay nagbibigay-daan sa mga desisyon sa pamumuhunan na batay sa data. Tinutukoy ng mga organisasyon kung aling mga diskarte sa pag-atake ang tumatanggap ng saklaw ng pagtuklas at tinutukoy ang mga puwang na nangangailangan ng karagdagang pamumuhunan.
Sinusulong ng Stellar Cyber Coverage Analyzer ang konseptong ito sa pamamagitan ng pagmomodelo kung paano nakakaapekto ang mga pagbabago sa pinagmumulan ng data sa saklaw ng MITER ATT&CK. Bago mag-deploy ng mga bagong sensor o tool, maaaring gayahin ng mga organisasyon ang pagpapahusay sa saklaw. Ang kakayahang ito ay nagbibigay-daan sa tumpak na pagbibigay-katwiran para sa mga pamumuhunan sa seguridad sa executive leadership at boards.
Mga Halimbawa at Aral na Natutunan sa Real-World Breach
Ang 16 bilyong pagkakalantad ng kredensyal na natuklasan noong Hunyo 2025 ay nagpakita ng patuloy na banta mula sa mga kampanyang infostealer malware. Ang mga kredensyal na ninakaw mula sa mga nahawaang device ay nagbibigay-daan sa mga pag-atake sa pagkuha ng account sa mga konektadong serbisyo. Nakatuon ang tradisyonal na pagtuklas sa pagpapatupad ng malware. Ang Augmented NDR, na nagsusuri ng hindi pangkaraniwang mga pattern ng pagpapatotoo at heograpikong anomalya, ay natukoy sana ang mga kompromiso ng account bago gumamit ang mga umaatake ng mga ninakaw na kredensyal.
Ang paglabag sa TeleMessage ay naglantad sa mga komunikasyon ng mga opisyal ng gobyerno ng US sa pamamagitan ng isang nakompromisong server na naka-host sa AWS. Inilalarawan ng insidenteng ito kung paano nangangailangan ng patuloy na pagsubaybay sa network ang seguridad sa ulap. Nade-detect ang pag-access sa imprastraktura ng cloud ng pagsubaybay sa Augmented NDR kapag naganap ang mga pagbabago sa configuration o nagsasagawa ng mga hindi pangkaraniwang tawag sa API. Ang visibility na ito ay nagiging kritikal habang ang mga organisasyon ay namamahagi ng mga workload sa maraming cloud provider.
Ang Coinbase insider threat case ay nagpakita ng kompromiso mula sa mga customer support contractor sa ibang bansa. Maaaring pinaghigpitan ng mga tradisyunal na kontrol ang pag-access na ito sa pamamagitan ng mga heograpikong paghihigpit. Ang Augmented NDR, na iniuugnay ang analytics ng pag-uugali ng user sa mga pattern ng pag-access sa network, ay nakakakita kapag ang mga pinagkakatiwalaang account ay nagpapakita ng hindi pangkaraniwang pag-uugali. Ang maraming mga exfiltration ng data na sinamahan ng hindi pangkaraniwang mga oras ng pag-access ay lumilikha ng mga anomalya sa pag-uugali na nagpapalitaw ng pagsisiyasat.
Pagpapatupad ng Augmented NDR sa Hybrid Environment
Ang mga modernong organisasyon ay nagpapatakbo ng hybrid na imprastraktura na sumasaklaw sa mga on-premises na datacenter, maraming cloud provider, at edge na kapaligiran. Ang heterogenous na landscape na ito ay lumilikha ng mga hamon sa pag-detect na pinaghihirapan ng mga tradisyonal na diskarte.
Ang Augmented NDR ay tinatanggap ang pagkakaiba-iba na ito sa pamamagitan ng flexible na pag-deploy ng sensor. Kinukuha ng mga pisikal na pag-tap sa network ang trapiko sa nasasakupan. Sinusubaybayan ng mga virtual na sensor ang mga cloud environment. Sinusuri ng mga sensor na may kamalayan sa container ang trapiko sa loob ng mga cluster ng Kubernetes. Kinokolekta ng mga integrasyon na nakabatay sa API ang telemetry mula sa mga serbisyo ng cloud-native. Ang nababaluktot na arkitektura na ito ay nagbibigay ng pare-parehong pagtuklas sa magkakaibang kapaligiran.
Ang hamon na kinakaharap ng maraming organisasyon sa mid-market ay kinabibilangan ng visibility sa mga cloud environment. Napagtanto mo ba na ang mga tradisyonal na firewall ay nagbibigay ng limitadong visibility sa silangan-kanluran sa mga cloud environment? Nilulutas ito ng Augmented NDR sa pamamagitan ng pagsubaybay na nakabatay sa ahente sa loob ng imprastraktura ng ulap. Ang mga organisasyon ay nakakakuha ng network visibility na kritikal para sa pag-detect ng lateral na paggalaw hindi alintana kung ang mga system ay tumatakbo sa lugar o sa mga pampublikong ulap.
Pag-align sa Zero Trust Architecture
Itinatag ng NIST SP 800-207 ang mga prinsipyo ng Zero Trust Architecture na nagbibigay-diin sa patuloy na pag-verify ng bawat koneksyon anuman ang pinagmulan. Nagbibigay ang Augmented NDR ng mahahalagang kakayahan sa pag-verify na ginagawang praktikal ang Zero Trust. Sa halip na magtiwala batay sa paunang pagpapatunay, ang Zero Trust ay nangangailangan ng patuloy na muling pagtatasa ng katayuan ng tiwala batay sa gawi at konteksto.
Sinusubaybayan ng Augmented NDR kung ang pag-access sa network ay naaayon sa pinakamababang mga patakaran sa pribilehiyo. Lumalabag sa mga prinsipyo ng Zero Trust ang isang miyembro ng development team na sumusubok na i-access ang mga production financial database. Nakikita ng Augmented NDR ang paglabag sa access na ito sa real-time, na nagpapagana sa pagpapatupad ng patakaran bago mangyari ang kompromiso.
Ang ugnayan sa pagitan ng NIST SP 800-207 at mga pinalaki na kakayahan ng NDR ay lumilikha ng madiskarteng pagkakahanay. Itinatag ng mga organisasyong nagpapatupad ng augmented NDR ang monitoring foundation na kinakailangan para sa Zero Trust maturity. Maaaring ipatupad ng mga security team ang microsegmentation nang may kumpiyansa dahil nakikita ng augmented NDR kapag nilabag ang mga patakaran sa pagse-segment.
Mga Pakikipagkumpitensya para sa Mga Lean Security Team
Ang mga pinuno ng seguridad na namamahala sa mga lean team ay nahaharap sa mga imposibleng inaasahan. Dapat nilang protektahan ang enterprise-scale attack surface na may mga limitadong mapagkukunan. Binabalanse ng Augmented NDR ang equation na ito sa pamamagitan ng intelligent automation.
Ang pagpapabilis ng pagtuklas ng pagbabanta ay nangangahulugan na mas kaunting mga analyst ang kinakailangan. Kung saan ang mga tradisyunal na diskarte ay nangangailangan ng mga nakalaang pangkat sa pangangaso ng pagbabanta, awtomatikong kinikilala ng pinalaki na NDR ang mga banta. Ang automation na ito ay nagpaparami ng pagiging epektibo ng analyst, na nagbibigay-daan sa mas maliliit na koponan na magbigay ng proteksyon sa antas ng negosyo.
Ang pagsasama-sama ng alerto ay kapansin-pansing nagpapabuti sa kahusayan ng triage. Ang mga tradisyunal na tool ay bumubuo ng libu-libong pang-araw-araw na alerto. Iniuugnay ng Augmented NDR ang mga ito sa dose-dosenang makabuluhang insidente. Ang mga analyst na nag-iimbestiga sa 30 mataas na kalidad na mga insidente ay nakakamit ng higit sa mga analyst na nag-iimbestiga sa 3,000 mababang kalidad na mga alerto. Binabago ng pagpapabuti ng kalidad ang mga operasyong panseguridad mula sa pamamahala ng ingay patungo sa epektibong pagtugon sa pagbabanta.
Ang automated response execution ay nagpapababa pa ng workload ng analyst. Sa halip na manu-manong ipatupad ng mga analyst ang mga tugon sa bawat banta, pinangangasiwaan ng mga automated na playbook ang regular na pagpigil. Nakatuon ang mga analyst sa mga kumplikadong pagsisiyasat at mga madiskarteng pagpapabuti kaysa sa taktikal na paglaban sa sunog.
Direktang nagpapakita ang benepisyong pang-ekonomiya. Ang isang payat na koponan ng apat na analyst na pinapagana ng pinalaki na NDR ay kadalasang nahihigitan ng isang pangkat ng sampung analyst na gumagamit ng mga tradisyonal na tool. Ang productivity multiple na ito ay nagbibigay-katwiran sa pamumuhunan sa augmented NDR technology.
Augmented NDR bilang Strategic Security Foundation
Ang Augmented Network Detection at Response ay kumakatawan sa higit pa sa isang incremental na pagpapabuti ng seguridad. Sa panimula nitong binabago kung paano ipinagtatanggol ng mga organisasyon ang mga network laban sa mga sopistikadong umaatake. Ang kumbinasyon ng machine learning anomaly detection, behavioral analytics, at automated na pagtugon ay lumilikha ng mga kakayahan sa seguridad na dating available lang sa mga organisasyong may napakalaking badyet sa seguridad.
Para sa mga kumpanyang nasa kalagitnaan ng merkado na nahaharap sa mga banta sa antas ng enterprise na may mga lean security team, sinasara ng augmented NDR ang mga kritikal na gaps sa kakayahan. Nakikita nito ang mga banta na nakakaligtaan ng mga tradisyonal na tool. Binabawasan nito ang mga maling positibong nagpapahirap sa mga analyst. Nag-o-automate ito ng mga aksyong tugon na kumukonsumo ng oras ng analyst. Iniuugnay nito ang mga senyales sa magkakaibang mga tool at pinagmumulan ng data upang ipakita ang mga salaysay ng pag-atake.
Ang 2024-2025 threat landscape ay nangangailangan ng ebolusyon na ito. Ang mga umaatake ay tumatakbo nang hindi natukoy sa loob ng mga buwan o taon gamit ang mga lehitimong tool at kredensyal. Nabigo ang tradisyonal na pagtukoy na nakabatay sa lagda laban sa mga sopistikadong kampanyang ito. Ang Augmented NDR, pagsusuri ng mga pattern ng pag-uugali at pagtukoy ng mga anomalya anuman ang mga tool na ginamit, sa wakas ay nagbibigay sa mga organisasyon ng visibility na kinakailangan upang makipagkumpitensya sa mga advanced na umaatake.
Dapat matapat na suriin ng mga pinuno ng seguridad ang mga kasalukuyang kakayahan sa pagtuklas. Mapagkakatiwalaan bang matukoy ng iyong organisasyon ang paggalaw sa gilid? Matutukoy mo ba ang mga nakompromisong kredensyal bago gamitin ng mga umaatake ang mga ito? Maaari mo bang iugnay ang mga signal mula sa magkakaibang mga tool sa magkakaugnay na mga salaysay ng pag-atake? Kung ang sagot sa anumang tanong ay "hindi mapagkakatiwalaan," ang augmented NDR ay nangangailangan ng seryosong pagsusuri. Ang teknolohiya ay umiiral upang baguhin ang mga pagpapatakbo ng seguridad. Ang tanong ay kung ipapatupad ito ng iyong organisasyon bago ipakita ng susunod na malaking paglabag ang halaga ng pagkaantala.
