Ano ang NDR? Ang Depinitibong Gabay
Paano Gumagana ang NDR
Ang iyong network ay ang central nervous system ng iyong buong organisasyon. Kung ikaw ay nag-iisang naka-deploy na "on-metal," nang walang presensya sa cloud, o naging "All-In" sa isang cloud provider, pinapagana ng network ang mahalagang komunikasyon mula sa isang business center patungo sa isa pa. Sa kasaysayan, ang pag-deploy ng firewall ay naisip na nagbibigay ng sapat na seguridad para sa isang network. Gayunpaman, ipinakilala ng mga vendor ang mga bagong kontrol sa seguridad upang protektahan ang network at labanan ang mga pagsulong sa mga pamamaraan ng pag-atake. Ang intrusion detection o Intrusion prevention system ay nagpalaki sa kakayahan ng firewall na pigilan ang matagumpay na cyberattacks, dahil sa pag-asa sa mga kilalang network signature ng mga pag-atake, nang binago ng mga attacker ang kanilang mga taktika kahit na bahagya, karamihan sa mga produkto ng IDS/IPS ay naging kaunting istorbo para sa mga umaatake na “ harapin.”
Ang Ebolusyon ng NDR
Dahil ang mga tagapagbigay ng seguridad ay madaling gawin kapag nahaharap sa mga umuusbong na hamon sa pag-atake, isang bagong uri ng produkto ang ipinakilala na kilala bilang Network Traffic Analysis (NTA). Gaya ng iminumungkahi ng pangalan nito, susuriin ng mga produkto ng NTA ang mga nilalaman at sukatan ng trapiko sa pagitan ng mga asset ng mga organisasyon at trapiko papunta at mula sa mga panlabas na mapagkukunan. Ang isang analyst ay maaaring maghukay sa mga detalye ng hindi karaniwan na mga pattern upang matukoy kung kinakailangan ang mga pagwawasto. Ngayon, pumasok ang NDR sa larawan. Pinagsasama ng NDR ang pinakamahusay na mga IDS/IPS, NTA, at iba pang mga kakayahan sa seguridad ng network sa isang solong solusyon upang maprotektahan ang isang network. Ang mga produkto ng NDR ay mukhang naghahatid ng isang holistic na pagtingin sa mga banta sa seguridad sa iyong network. Gamit ang kumbinasyon ng mga kilalang malisyosong network signature, security analytics, at behavior analysis, mabilis na makakapagbigay ang mga NDR ng threat detection na may mataas na kahusayan. Upang maging mas tiyak, hindi lamang masusuri ng mga produkto ng NDR ang nilalaman ng trapiko sa network ngunit matukoy din ang maanomalyang aktibidad sa pamamagitan ng pagsusuri sa metadata ng trapiko sa network (laki/hugis ng trapiko). Ang kakayahang ito ay kapaki-pakinabang kapag nakikitungo sa naka-encrypt na trapiko, kung saan maaaring imposible para sa produkto ng NDR na mag-decrypt nang real-time. Ang mga karaniwang produkto ng NDR ay naghahatid ng mga kakayahan sa pagtuklas at kakayahang tumugon sa isang potensyal na banta.
Ano ang Papel ng NDR sa Cybersecurity
Tulad ng karamihan sa mga propesyonal sa cybersecurity ay sumang-ayon, karamihan sa mga pag-atake ay nakakaapekto sa network sa isang paraan o iba pa. Iminumungkahi ng mga kamakailang pag-aaral na 99% ng mga matagumpay na pag-atake ay maaaring matukoy sa trapiko sa network, na marami sa mga ito ay maaaring makilala at mabawasan bago i-deploy ng umaatake ang kanilang mga payload. Ang mga modernong solusyon sa proteksyon sa network ay ginagawang mas naa-access ang pagprotekta sa mga network para sa sinumang propesyonal sa seguridad sa pamamagitan ng paggawa ng kanilang mga kakayahan na madaling gamitin. Kasabay ng pagtaas ng mga awtomatikong kakayahan na kasama sa karamihan ng mga solusyon, ang pagtukoy sa mga banta sa isang network ay mas "hands-off" na ngayon kaysa dati. Para sa karamihan ng mga security team, kahit na ang mga kulang sa network expertise ay maaari mag-deploy ng solusyon sa NDR sa kanilang stack ng seguridad at magsimulang tumukoy ng mga banta habang lumilipat sila sa pagitan ng mga asset ng network at papasok at palabas ng network na may kaunting interbensyon ng tao. Sa pamamagitan ng pagsasama ng isang NDR sa isang security stack, makikita rin ng mga security team ang napakalaking estratehiko at taktikal na benepisyo na higit sa simpleng pagtukoy ng mga banta sa network.
Depensa-malalim
Pagbabahagi ng Impormasyon
Kapag natukoy na ang mga banta, madaling maibabahagi ang impormasyong iyon sa isang platform ng SIEM o XDR upang maiugnay sa iba pang mga banta, na ang ilan ay maaaring ituring na mahinang signal. Sa patuloy na daloy ng mga banta sa network na sinuri na ngayon kasama ng iba pang data na nauugnay sa seguridad, makikinabang ang mga security team mula sa isang mas holistic na pagtingin sa mga banta sa kanilang buong network environment. Halimbawa, karaniwan para sa mga umaatake na mag-deploy ng mga multi-vector na pag-atake laban sa kanilang mga target, tulad ng pagsisimula ng phishing email campaign laban sa maraming empleyado habang sabay-sabay na naghahanap upang pagsamantalahan ang isang kilalang kahinaan na natuklasan sa isang lugar sa buong network. Kapag iniimbestigahan nang hiwalay, maaaring ituring ang mga ito na mas mababang priyoridad kaysa kapag itinuturing na bahagi ng isang naka-target na pag-atake. Sa pagkakaroon ng NDR, kasabay ng isang XDR, ang mga pag-atakeng ito ay hindi na sinisiyasat nang hiwalay. Sa halip, maaari silang maiugnay at madagdagan ng may-katuturang impormasyon sa konteksto, na ginagawang mas madali ang pagtukoy sa mga ito na nauugnay. Ang karagdagang hakbang na ito, na sa karamihan ng mga kaso ay maaaring awtomatikong mangyari, ay nangangahulugan na ang mga analyst ng seguridad ay nagiging mas produktibo at mahusay nang hindi nagsusumikap. Para sa karagdagang impormasyon sa mga estratehikong benepisyo ng NDR, suriin ang Gabay sa mga Mamimili ng NDR.
Paano inihahambing ang NDR sa EDR at XDR?
Mga Kinakailangan sa NDR
- Mga produkto ng NDR dapat mangolekta ng impormasyon sa trapiko ng network sa real time at mag-imbak ng nakolektang data upang gawing posible ang awtomatikong pagsusuri.
- Mga produkto ng NDR dapat na magawang gawing normal at pagyamanin ang mga nakolektang data gamit ang impormasyong nauugnay sa konteksto upang mapadali ang komprehensibong pagsusuri
- Mga produkto ng NDR dapat ding magtatag ng baseline ng regular na trapiko sa network, kadalasang gumagamit ng mga algorithm ng machine learning. Kapag naitatag na ang baseline, ang produkto ng NDR ay dapat na mabilis na lumabas ng mga pagkakataon kapag ang trapiko sa network na nasaksihan ay nasa labas ng karaniwang mga pattern ng trapiko, na nagpapaalerto sa mga security analyst sa totoong oras ng anomalya.
- Mga produkto ng NDR dapat sumaklaw sa parehong nasa nasasakupan at cloud asset.
- Mga produkto ng NDR dapat magtrabaho upang pagsama-samahin ang mga nauugnay na alerto sa naaaksyunan na mga bucket ng pagsisiyasat, na ginagawang madali para sa mga analyst ng seguridad na 1) maunawaan ang saklaw ng isang pag-atake at 2) gumawa ng mga aksyon sa pagtugon
- Mga produkto ng NDR dapat magbigay ng automated na paraan upang magsagawa ng naaangkop na mga aksyon sa pagtugon kapag ang mga ito ay itinuturing na kinakailangan dahil sa uri at saklaw ng isang pag-atake
Mga Kinakailangan sa EDR
- Mga produkto ng EDR dapat magbigay sa mga security team ng paraan para mangolekta at magsuri ng data ng endpoint sa real time. Karaniwan, ito ay inihahatid sa pamamagitan ng isang nade-deploy na endpoint agent na madaling maipamahagi sa pamamagitan ng tool na pinili ng organisasyon. Ang mga endpoint agent na ito ay dapat na pinamamahalaan sa gitna at madaling ma-update nang hindi nangangailangan na i-reboot ang device.
- Mga produkto ng EDR ay dapat na makapagsuri ng mga application at serbisyo sa real-time upang ma-root out ang mga potensyal na nakakahamak na file at serbisyo. Kapag natuklasan, posibleng awtomatikong i-quarantine ang mga kahina-hinalang file at serbisyo.
- Mga produkto ng EDR dapat magsama ng isang nako-customize na engine ng mga panuntunan sa ugnayan kung saan maaaring mag-upload ang mga pangkat ng seguridad ng isang hanay ng mga panuntunan sa ugnayan na available sa publiko o lumikha ng sarili nilang mga panuntunan mula sa simula. Dapat kasama sa mga panuntunang ito ang kakayahang makakita ng isang banta at isang paraan upang kumuha ng awtomatikong tugon kung kinakailangan.
- Mga produkto ng EDR dapat na madaling isama mula sa pananaw ng data sa isa pang produkto ng seguridad, tulad ng isang platform ng SIEM o XDR, upang masuri ang rich data na nakolekta sa loob ng konteksto ng iba pang impormasyong nauugnay sa seguridad.
- Mga produkto ng EDR dapat suportahan ang mga deployment sa mga Microsoft Windows device at iba't ibang flavor ng Linux device.
- Makabagong EDR ang mga produkto ay maaari ding i-deploy sa ilang partikular na cloud-based na platform at iba pang cloud-delivered na application gaya ng Microsoft Office 365.
Mga Kinakailangan sa XDR
Extended Detection and Response (XDR) Ang mga produkto ay isa sa mga pinakabagong teknolohiya sa merkado, na ipinanganak dahil sa pangangailangang gawing mas madali para sa mga lean security team na maghatid ng tuloy-tuloy na mga resulta ng seguridad sa kanilang buong enterprise. Dapat isama ng mga produkto ng XDR ang mga sumusunod na kakayahan upang maihatid ang mga benepisyong inaasahan ng karamihan sa mga security team.
- Mga produkto ng XDR dapat kumuha ng data mula sa anumang available na data source. Maaaring kabilang sa data na ito ang 1) mga alerto mula sa anumang naka-deploy na kontrol sa seguridad, 2) data ng log mula sa anumang serbisyong ginagamit ng isang organisasyon, gaya ng mga log na ginawa ng system ng pamamahala ng pagkakakilanlan ng organisasyon, at 3) log at impormasyong nauugnay sa aktibidad mula sa anumang cloud kapaligiran at aplikasyon, gaya ng impormasyon ng aktibidad na nakolekta mula sa solusyon sa Cloud Access Security Broker (CASB).
- Mga produkto ng XDR dapat na gawing normal ang lahat ng nakolektang data upang paganahin ang komprehensibong pagsusuri sa sukat.
- Mga produkto ng XDR dapat gumamit ng machine learning at artificial intelligence (AI) upang maiugnay ang tila hindi magkakaugnay na data ng alerto at aktibidad sa madaling maimbestigahan na mga insidente/kaso sa seguridad.
- Mga produkto ng XDR dapat awtomatikong i-conteksto ang lahat ng nakolektang data gamit ang mahalagang impormasyon, na ginagawang madali para sa mga security analyst na kumpletuhin ang mga pagsisiyasat nang mabilis.
- Mga produkto ng XDR dapat idirekta ang mga pagsisikap ng mga security analyst sa pamamagitan ng pagbibigay-priyoridad sa mga pinaghihinalaang insidente ng seguridad sa pamamagitan ng kanilang potensyal na epekto sa organisasyon.
- Mga produkto ng XDR dapat magbigay ng awtomatikong kakayahan sa pagtugon na maaaring simulan nang walang interbensyon ng tao batay sa kalubhaan/epekto ng isang potensyal na banta.
Sa kabuuan, ang parehong mga produkto ng NDR at EDR ay mga input sa isang XDR platform na nagbibigay-daan sa mga security analyst na kumpletuhin ang mga pagsisiyasat sa cybersecurity nang mas mabilis at mas epektibo kaysa dati.
Mga Karaniwang Kaso ng Paggamit ng NDR
Kilusan ng Pag-ilid
Sa pamamagitan ng paglipat sa buong network, maaari din nilang matukoy ang isang mahina na application o serbisyo na nagbibigay-daan sa kanila na magbukas ng "pinto sa likod" sa ibang pagkakataon upang muling makapasok sa kapaligiran sa kalooban. Dagdag pa, upang mapanatili ang pagpupursige sa isang kapaligiran, maraming mga umaatake ang susubukang iangat ang mga pribilehiyo ng isang nakompromisong user account sa mga karapatan ng administrator, na nagbibigay sa kanila ng carte-blanche sa mga tuntunin ng paggawa ng mga pagbabago sa kapaligiran, posibleng i-off ang ilang partikular na feature ng seguridad, pagtanggal ng mga log na maaaring mag-iwan ng mga breadcrumb para magamit ng mga security team para kumpletuhin ang kanilang mga pagsisiyasat. Sa isang NDR na sumusubaybay sa aktibidad ng network sa real-time, mabilis na matutukoy ng mga security team ang kahina-hinalang aktibidad sa pagitan ng mga asset ng network at abnormal na mga pattern ng trapiko mula sa kanilang network hanggang sa labas ng mundo. Iniuugnay ng mga produkto ng NDR ang abnormal na aktibidad na ito sa mga pagkilos ng user, na maaaring mag-highlight kapag ang isang attacker ay malayang gumagalaw sa kanilang mga asset ng network.