paghahanap
Isara ang box para sa paghahanap na ito.

Talaan ng nilalaman

Ano ang NDR? Ang Depinitibong Gabay

Ngayon, ang mga gumagawa ng desisyon sa seguridad ay nahaharap sa napakaraming pagpipilian pagdating sa pagbuo ng modernong stack ng seguridad. Ang isang kontrol sa seguridad na karaniwang hindi napapansin ay ang Network Detection and Response, o NDR. Ang mga solusyon sa cybersecurity ng NDR ay hindi bago. Gayunpaman, dahil sa nakikitang pagiging kumplikado ng pag-deploy, pagpapanatili, at paggamit, maraming mga may-ari ng seguridad ang nag-aalis ng priyoridad sa teknolohiyang ito sa kanilang stack ng seguridad, sa pag-aakalang maaaring pigilan ng ibang mga produktong panseguridad na nauugnay sa network ang kanilang mga network na makompromiso. Ang gabay na ito ay nagbibigay ng komprehensibong kahulugan ng NDR bilang isang modernong solusyon sa cybersecurity at ang kahalagahan nito sa paglaban sa mga cyberattack.

Paano Gumagana ang NDR

Idinisenyo ang mga teknolohiya ng Network Detection at Response para matukoy ang mga banta sa iyong imprastraktura ng network at bigyang-daan ang mga security analyst na magsagawa ng mga mapagpasyang aksyong pagtugon nang mabilis upang mabawasan ang panganib ng isang nakakapinsalang paglabag. Hindi tulad ng iba pang mga teknolohiya ng network na nangangailangan ng mga user na maging semi-eksperto sa networking, ang mga Security analyst na may iba't ibang kadalubhasaan ay madaling gumamit ng mga produkto ng NDR. Para mas maintindihan kung paano Ang mga kakayahan ng NDR ay nagpapanatili ng isang network na secure, kailangan muna nating i-unpack kung paano sila na-deploy at gumagana. 

Ang iyong network ay ang central nervous system ng iyong buong organisasyon. Kung ikaw ay nag-iisang naka-deploy na "on-metal," nang walang presensya sa cloud, o naging "All-In" sa isang cloud provider, pinapagana ng network ang mahalagang komunikasyon mula sa isang business center patungo sa isa pa. Sa kasaysayan, ang pag-deploy ng firewall ay naisip na nagbibigay ng sapat na seguridad para sa isang network. Gayunpaman, ipinakilala ng mga vendor ang mga bagong kontrol sa seguridad upang protektahan ang network at labanan ang mga pagsulong sa mga pamamaraan ng pag-atake. Ang intrusion detection o Intrusion prevention system ay nagpalaki sa kakayahan ng firewall na pigilan ang matagumpay na cyberattacks, dahil sa pag-asa sa mga kilalang network signature ng mga pag-atake, nang binago ng mga attacker ang kanilang mga taktika kahit na bahagya, karamihan sa mga produkto ng IDS/IPS ay naging kaunting istorbo para sa mga umaatake na “ harapin.”

Ano ang NDR? Ang Depinitibong Gabay - Ang Ebolusyon ng NDR

Ang Ebolusyon ng NDR

Dahil ang mga tagapagbigay ng seguridad ay madaling gawin kapag nahaharap sa mga umuusbong na hamon sa pag-atake, isang bagong uri ng produkto ang ipinakilala na kilala bilang Network Traffic Analysis (NTA). Gaya ng iminumungkahi ng pangalan nito, susuriin ng mga produkto ng NTA ang mga nilalaman at sukatan ng trapiko sa pagitan ng mga asset ng mga organisasyon at trapiko papunta at mula sa mga panlabas na mapagkukunan. Ang isang analyst ay maaaring maghukay sa mga detalye ng hindi karaniwan na mga pattern upang matukoy kung kinakailangan ang mga pagwawasto. Ngayon, pumasok ang NDR sa larawan. Pinagsasama ng NDR ang pinakamahusay na mga IDS/IPS, NTA, at iba pang mga kakayahan sa seguridad ng network sa isang solong solusyon upang maprotektahan ang isang network. Ang mga produkto ng NDR ay mukhang naghahatid ng isang holistic na pagtingin sa mga banta sa seguridad sa iyong network. Gamit ang kumbinasyon ng mga kilalang malisyosong network signature, security analytics, at behavior analysis, mabilis na makakapagbigay ang mga NDR ng threat detection na may mataas na kahusayan. Upang maging mas tiyak, hindi lamang masusuri ng mga produkto ng NDR ang nilalaman ng trapiko sa network ngunit matukoy din ang maanomalyang aktibidad sa pamamagitan ng pagsusuri sa metadata ng trapiko sa network (laki/hugis ng trapiko). Ang kakayahang ito ay kapaki-pakinabang kapag nakikitungo sa naka-encrypt na trapiko, kung saan maaaring imposible para sa produkto ng NDR na mag-decrypt nang real-time. Ang mga karaniwang produkto ng NDR ay naghahatid ng mga kakayahan sa pagtuklas at kakayahang tumugon sa isang potensyal na banta.

Ano ang Papel ng NDR sa Cybersecurity

Ang mga modernong umaatake ay naghahanap ng anumang kahinaan sa kapaligiran ng isang organisasyon na maaari nilang pagsamantalahan. Bagama't ang mga endpoint ay sikat na pang-atake para sa karamihan ng mga umaatake, lalo silang naghahanap ng mga paraan upang itago ang kanilang mga banta sa cyber sa loob ng regular na trapiko sa network. Ang diskarte na ito ay nakakakuha ng katanyagan dahil sa nakikitang pagiging kumplikado na nauugnay sa pagsubaybay, pagsusuri, at pag-detect ng mga banta habang binabagtas nila ang network. Sa hindi kalayuang nakaraan, ang pagtukoy ng mga banta sa trapiko sa network ay nangangailangan ng mga mapagkukunan na may malawak na karanasan sa pag-configure, pagpapanatili, at pagsubaybay sa trapiko sa network. Ngayon, gayunpaman, ang tanawin ng cybersecurity ay ibang-iba na, na ginagawang mas naa-access ang proteksyon ng isang network para sa lahat ng mga propesyonal sa seguridad, hindi lamang sa mga eksperto sa network. 

Tulad ng karamihan sa mga propesyonal sa cybersecurity ay sumang-ayon, karamihan sa mga pag-atake ay nakakaapekto sa network sa isang paraan o iba pa. Iminumungkahi ng mga kamakailang pag-aaral na 99% ng mga matagumpay na pag-atake ay maaaring matukoy sa trapiko sa network, na marami sa mga ito ay maaaring makilala at mabawasan bago i-deploy ng umaatake ang kanilang mga payload. Ang mga modernong solusyon sa proteksyon sa network ay ginagawang mas naa-access ang pagprotekta sa mga network para sa sinumang propesyonal sa seguridad sa pamamagitan ng paggawa ng kanilang mga kakayahan na madaling gamitin. Kasabay ng pagtaas ng mga awtomatikong kakayahan na kasama sa karamihan ng mga solusyon, ang pagtukoy sa mga banta sa isang network ay mas "hands-off" na ngayon kaysa dati. Para sa karamihan ng mga security team, kahit na ang mga kulang sa network expertise ay maaari mag-deploy ng solusyon sa NDR sa kanilang stack ng seguridad at magsimulang tumukoy ng mga banta habang lumilipat sila sa pagitan ng mga asset ng network at papasok at palabas ng network na may kaunting interbensyon ng tao. Sa pamamagitan ng pagsasama ng isang NDR sa isang security stack, makikita rin ng mga security team ang napakalaking estratehiko at taktikal na benepisyo na higit sa simpleng pagtukoy ng mga banta sa network.

Depensa-malalim

Una, sa pamamagitan ng pagsasama ng NDR sa iyong stack ng seguridad, sinusunod mo ang pinakamahusay na kagawian ng "malalim na pagtatanggol" na diskarte sa seguridad. Bagama't ang mga endpoint protection platform at endpoint detection at response solution ay idinisenyo upang matukoy ang mga banta sa mga endpoint, halimbawa, sila ay karaniwang bulag sa mga banta habang lumilipat sila sa network. Katulad nito, ang mga produkto ng pag-iwas sa pagkawala ng data ay napakahusay sa pagtukoy kapag ang mahalagang data ay gumagalaw mula sa isang partikular na lokasyon. Gayunpaman, hindi sila mahusay sa pagkuha sa kritikal na impormasyong ito na tumatawid sa network, lalo na kung na-obfuscate sa loob ng regular na trapiko sa network. Ang sitwasyong ito ay kung saan ang mga produktong panseguridad ng NDR ay may potensyal na i-uplevel ang kakayahan ng isang security team na bawasan ang panganib ng isang matagumpay na cyberattack. Tulad ng iba pang mga produktong nabanggit na nakatuon sa pagtukoy ng mga banta sa isang partikular na asset o uri ng data, ang NDR ay nakatuon lamang sa pag-unawa sa trapiko sa network sa paraang hindi magagawa ng ibang produkto ng seguridad. Sa pamamagitan ng pagpapagana ng mabilis na pagsusuri ng real-time na trapiko sa network, ang mga produkto ng seguridad ng NDR ay maaaring magpakita ng mga potensyal na banta sa trapiko sa network na maaaring hindi napansin.

Pagbabahagi ng Impormasyon

Kapag natukoy na ang mga banta, madaling maibabahagi ang impormasyong iyon sa isang platform ng SIEM o XDR upang maiugnay sa iba pang mga banta, na ang ilan ay maaaring ituring na mahinang signal. Sa patuloy na daloy ng mga banta sa network na sinuri na ngayon kasama ng iba pang data na nauugnay sa seguridad, makikinabang ang mga security team mula sa isang mas holistic na pagtingin sa mga banta sa kanilang buong network environment. Halimbawa, karaniwan para sa mga umaatake na mag-deploy ng mga multi-vector na pag-atake laban sa kanilang mga target, tulad ng pagsisimula ng phishing email campaign laban sa maraming empleyado habang sabay-sabay na naghahanap upang pagsamantalahan ang isang kilalang kahinaan na natuklasan sa isang lugar sa buong network. Kapag iniimbestigahan nang hiwalay, maaaring ituring ang mga ito na mas mababang priyoridad kaysa kapag itinuturing na bahagi ng isang naka-target na pag-atake. Sa pagkakaroon ng NDR, kasabay ng isang XDR, ang mga pag-atakeng ito ay hindi na sinisiyasat nang hiwalay. Sa halip, maaari silang maiugnay at madagdagan ng may-katuturang impormasyon sa konteksto, na ginagawang mas madali ang pagtukoy sa mga ito na nauugnay. Ang karagdagang hakbang na ito, na sa karamihan ng mga kaso ay maaaring awtomatikong mangyari, ay nangangahulugan na ang mga analyst ng seguridad ay nagiging mas produktibo at mahusay nang hindi nagsusumikap. Para sa karagdagang impormasyon sa mga estratehikong benepisyo ng NDR, suriin ang Gabay sa mga Mamimili ng NDR.

Paano inihahambing ang NDR sa EDR at XDR?

Sa napakaraming produkto at serbisyo ng cybersecurity na nagsasabing naghahatid ng mga katulad na benepisyo, maaaring mahirap para sa ilang gumagawa ng desisyon sa seguridad na matukoy kung aling mga produkto ang i-deploy upang makakuha ng mga karagdagang benepisyo. Ang NDR ay hindi immune mula sa pagkalito na ito, kaya upang matulungan ang mga gumagawa ng desisyon na maunawaan ang mga pagkakatulad at pagkakaiba sa pagitan ng mga karaniwang kontrol sa seguridad, binabalangkas ng sumusunod ang mga pagkakaiba sa pagitan ng NDR, EDR, at XDR.

Mga Kinakailangan sa NDR

Una, upang magtatag ng baseline na pag-unawa sa pokus ng gabay na ito, ang NDR, narito ang mga karaniwang kakayahan ng table-stake ng isang solusyon sa NDR:
  • Mga produkto ng NDR dapat mangolekta ng impormasyon sa trapiko ng network sa real time at mag-imbak ng nakolektang data upang gawing posible ang awtomatikong pagsusuri.
  • Mga produkto ng NDR dapat na magawang gawing normal at pagyamanin ang mga nakolektang data gamit ang impormasyong nauugnay sa konteksto upang mapadali ang komprehensibong pagsusuri
  • Mga produkto ng NDR dapat ding magtatag ng baseline ng regular na trapiko sa network, kadalasang gumagamit ng mga algorithm ng machine learning. Kapag naitatag na ang baseline, ang produkto ng NDR ay dapat na mabilis na lumabas ng mga pagkakataon kapag ang trapiko sa network na nasaksihan ay nasa labas ng karaniwang mga pattern ng trapiko, na nagpapaalerto sa mga security analyst sa totoong oras ng anomalya. 
  • Mga produkto ng NDR dapat sumaklaw sa parehong nasa nasasakupan at cloud asset.
  • Mga produkto ng NDR dapat magtrabaho upang pagsama-samahin ang mga nauugnay na alerto sa naaaksyunan na mga bucket ng pagsisiyasat, na ginagawang madali para sa mga analyst ng seguridad na 1) maunawaan ang saklaw ng isang pag-atake at 2) gumawa ng mga aksyon sa pagtugon
  • Mga produkto ng NDR dapat magbigay ng automated na paraan upang magsagawa ng naaangkop na mga aksyon sa pagtugon kapag ang mga ito ay itinuturing na kinakailangan dahil sa uri at saklaw ng isang pag-atake

Mga Kinakailangan sa EDR

Ang mga produkto ng Endpoint Detection and Response (EDR) ay dapat maghatid ng mga sumusunod na kakayahan upang maibigay ang kinakailangang proteksyon sa kanilang lugar ng focus, mga endpoint device:
  • Mga produkto ng EDR dapat magbigay sa mga security team ng paraan para mangolekta at magsuri ng data ng endpoint sa real time. Karaniwan, ito ay inihahatid sa pamamagitan ng isang nade-deploy na endpoint agent na madaling maipamahagi sa pamamagitan ng tool na pinili ng organisasyon. Ang mga endpoint agent na ito ay dapat na pinamamahalaan sa gitna at madaling ma-update nang hindi nangangailangan na i-reboot ang device. 
  • Mga produkto ng EDR ay dapat na makapagsuri ng mga application at serbisyo sa real-time upang ma-root out ang mga potensyal na nakakahamak na file at serbisyo. Kapag natuklasan, posibleng awtomatikong i-quarantine ang mga kahina-hinalang file at serbisyo. 
  • Mga produkto ng EDR dapat magsama ng isang nako-customize na engine ng mga panuntunan sa ugnayan kung saan maaaring mag-upload ang mga pangkat ng seguridad ng isang hanay ng mga panuntunan sa ugnayan na available sa publiko o lumikha ng sarili nilang mga panuntunan mula sa simula. Dapat kasama sa mga panuntunang ito ang kakayahang makakita ng isang banta at isang paraan upang kumuha ng awtomatikong tugon kung kinakailangan. 
  • Mga produkto ng EDR dapat na madaling isama mula sa pananaw ng data sa isa pang produkto ng seguridad, tulad ng isang platform ng SIEM o XDR, upang masuri ang rich data na nakolekta sa loob ng konteksto ng iba pang impormasyong nauugnay sa seguridad. 
  • Mga produkto ng EDR dapat suportahan ang mga deployment sa mga Microsoft Windows device at iba't ibang flavor ng Linux device. 
  • Makabagong EDR ang mga produkto ay maaari ding i-deploy sa ilang partikular na cloud-based na platform at iba pang cloud-delivered na application gaya ng Microsoft Office 365. 

Mga Kinakailangan sa XDR

Extended Detection and Response (XDR) Ang mga produkto ay isa sa mga pinakabagong teknolohiya sa merkado, na ipinanganak dahil sa pangangailangang gawing mas madali para sa mga lean security team na maghatid ng tuloy-tuloy na mga resulta ng seguridad sa kanilang buong enterprise. Dapat isama ng mga produkto ng XDR ang mga sumusunod na kakayahan upang maihatid ang mga benepisyong inaasahan ng karamihan sa mga security team. 

  • Mga produkto ng XDR dapat kumuha ng data mula sa anumang available na data source. Maaaring kabilang sa data na ito ang 1) mga alerto mula sa anumang naka-deploy na kontrol sa seguridad, 2) data ng log mula sa anumang serbisyong ginagamit ng isang organisasyon, gaya ng mga log na ginawa ng system ng pamamahala ng pagkakakilanlan ng organisasyon, at 3) log at impormasyong nauugnay sa aktibidad mula sa anumang cloud kapaligiran at aplikasyon, gaya ng impormasyon ng aktibidad na nakolekta mula sa solusyon sa Cloud Access Security Broker (CASB).
  • Mga produkto ng XDR dapat na gawing normal ang lahat ng nakolektang data upang paganahin ang komprehensibong pagsusuri sa sukat.
  • Mga produkto ng XDR dapat gumamit ng machine learning at artificial intelligence (AI) upang maiugnay ang tila hindi magkakaugnay na data ng alerto at aktibidad sa madaling maimbestigahan na mga insidente/kaso sa seguridad. 
  • Mga produkto ng XDR dapat awtomatikong i-conteksto ang lahat ng nakolektang data gamit ang mahalagang impormasyon, na ginagawang madali para sa mga security analyst na kumpletuhin ang mga pagsisiyasat nang mabilis.
  • Mga produkto ng XDR dapat idirekta ang mga pagsisikap ng mga security analyst sa pamamagitan ng pagbibigay-priyoridad sa mga pinaghihinalaang insidente ng seguridad sa pamamagitan ng kanilang potensyal na epekto sa organisasyon.
  • Mga produkto ng XDR dapat magbigay ng awtomatikong kakayahan sa pagtugon na maaaring simulan nang walang interbensyon ng tao batay sa kalubhaan/epekto ng isang potensyal na banta. 

Sa kabuuan, ang parehong mga produkto ng NDR at EDR ay mga input sa isang XDR platform na nagbibigay-daan sa mga security analyst na kumpletuhin ang mga pagsisiyasat sa cybersecurity nang mas mabilis at mas epektibo kaysa dati. 

Mga Karaniwang Kaso ng Paggamit ng NDR

Dapat itong makita na ang mga produkto ng NDR ay nakatuon sa pagtukoy ng mga banta sa seguridad habang binabagtas nila ang imprastraktura ng network ng isang organisasyon. Iyon ay sinabi, maaaring mas madali para sa mga gumagawa ng desisyon sa seguridad na maunawaan ang mga benepisyong ibinibigay ng isang produkto ng NDR sa pamamagitan ng paglalapat ng use case lens sa talakayan. Ang sumusunod na talakayan ay nagbabalangkas ng ilang karaniwang kaso ng paggamit ng seguridad na maaaring makatulong sa isang pangkat ng seguridad na matugunan ng isang produkto ng NDR.

Kilusan ng Pag-ilid

Ang isang karaniwang hamon para sa isang pangkat ng seguridad ay ang pag-unawa kapag ang isang umaatake ay gumagalaw sa gilid sa kanilang kapaligiran. Halimbawa, kapag matagumpay na nakompromiso ng isang attacker ang isang user account o isang endpoint nang walang detection, ang susunod na lohikal na hakbang ay para sa attacker na subukang lumipat pa sa kapaligiran. Ipagpalagay na maaari silang lumipat mula sa isang device patungo sa isa pa sa stealth mode. Sa ganoong sitwasyon, maaari nilang matuklasan kung saan umiiral ang sensitibong impormasyon sa kapaligiran, na ginagawang mas makakaapekto ang kanilang pag-atake sa kaso ng ransomware.

Sa pamamagitan ng paglipat sa buong network, maaari din nilang matukoy ang isang mahina na application o serbisyo na nagbibigay-daan sa kanila na magbukas ng "pinto sa likod" sa ibang pagkakataon upang muling makapasok sa kapaligiran sa kalooban. Dagdag pa, upang mapanatili ang pagpupursige sa isang kapaligiran, maraming mga umaatake ang susubukang iangat ang mga pribilehiyo ng isang nakompromisong user account sa mga karapatan ng administrator, na nagbibigay sa kanila ng carte-blanche sa mga tuntunin ng paggawa ng mga pagbabago sa kapaligiran, posibleng i-off ang ilang partikular na feature ng seguridad, pagtanggal ng mga log na maaaring mag-iwan ng mga breadcrumb para magamit ng mga security team para kumpletuhin ang kanilang mga pagsisiyasat. Sa isang NDR na sumusubaybay sa aktibidad ng network sa real-time, mabilis na matutukoy ng mga security team ang kahina-hinalang aktibidad sa pagitan ng mga asset ng network at abnormal na mga pattern ng trapiko mula sa kanilang network hanggang sa labas ng mundo. Iniuugnay ng mga produkto ng NDR ang abnormal na aktibidad na ito sa mga pagkilos ng user, na maaaring mag-highlight kapag ang isang attacker ay malayang gumagalaw sa kanilang mga asset ng network.

Mga Nakompromisong Kredensyal

Ang isa pang pang-araw-araw na kaso ng paggamit ng seguridad na maaaring matugunan ng mga produkto ng NDR ay nauugnay sa mga nakompromisong kredensyal. Sa kasamaang palad, ngayon, ang isang umaatake ay maaaring makakuha ng wastong mga kredensyal ng user sa maraming paraan, mula sa pagbili ng mga ito mula sa dark web hanggang sa pagkuha ng isang hindi sinasadyang empleyado na magboluntaryo ng kanilang mga kredensyal bilang tugon sa isang mapanlinlang na email o sa pamamagitan ng isang nakakahamak na website. Sa sandaling makuha ng umaatake ang mga kredensyal, nagiging madali para sa umaatake na makakuha ng access sa kapaligiran. Kapag nasa loob na ng organisasyon, maaaring magsagawa ang attacker ng anumang bilang ng mga nakakahamak na aktibidad, tulad ng pag-deploy ng nakakapanghinang ransomware, pagtanggal ng data na kritikal sa misyon, o paglalantad ng kumpidensyal na impormasyon ng kumpanya sa labas ng mundo upang magdulot ng kalituhan. Pinapadali ng mga produkto ng NDR ang pagtuklas ng mga nakompromisong kredensyal ayon sa likas na katangian ng kung paano gumagana ang isang NDR. Halimbawa, kung ang isang empleyadong nakabase sa North American ay nakitang nagla-log in mula sa China. Sa ganoong sitwasyon, matutukoy ng produkto ng NDR ang anomalyang ito at bubuo ng alerto na maaaring mabilis na mag-imbestiga ang isang security analyst. Dahil awtomatikong ikokonteksto ng produkto ng NDR ang babala, mabilis na matutukoy ng security analyst kung ang anomalyang ito ay isang banta at magpapasimula ng isang awtomatikong tugon sa ilang segundo, gaya ng paghihigpit sa access ng user sa lahat ng kapaligiran ng network at pagpilit ng pag-reset ng password. Maaari din nilang tiyakin na ang access ng user sa anumang cloud-based na application at network asset ay hindi pinagana sa pamamagitan ng pagsasama sa isang produkto ng CASB.
Mag-scroll sa Tuktok