Ключові характеристики, які слід враховувати під час вибору рішення для NDR
Gartner XDR Путівник по ринку
XDR це технологія, що постійно розвивається, яка може запропонувати уніфіковані можливості запобігання, виявлення та реагування на загрози...
Відчуйте безпеку на базі штучного інтелекту в дії!
Відкрийте для себе передовий штучний інтелект Stellar Cyber для миттєвого виявлення загроз...
Навіщо вам потрібне рішення для NDR?
Мережева безпека постійно є одним із найскладніших рубежів для контролю. Навіть відносно складні мережеві структури можна було б легко захистити за допомогою простого брандмауера, якби не той факт, що багато сучасних сервісів децентралізовані. З такою кількістю пристроїв поза традиційним периметром потенціал для вразливостей вищий, ніж будь-коли раніше. І справа не лише в сервісах, які абстраговані від вашого власного захисту: співробітники постійно залежать від бездротових мереж, які більш вразливі до прослуховування та несанкціонованого доступу. Внутрішня природа бездротового зв'язку означає, що захист цих мереж вимагає постійної пильності та передових протоколів безпеки.
Поряд зі зміною мережевого ландшафту, існує також постійно зростаюча загроза з боку спекулянтів-кіберзлочинців, з якою доводиться боротися. Складні методи все частіше трапляються в реальних умовах, тоді як атаки, що спонсоруються державами, процвітають в умовах сучасної геополітичної напруженості. Ці загрози часто використовують легітимні мережеві інструменти та конфігурації, що забезпечують зв'язок між реальними співробітниками, що ускладнює їх виявлення та захист.
Тому організаціям потрібно стежити за трафіком, що проходить через їхні технологічні стеки. Зустрічайте рішення NDR: ці інструменти постійно відстежують мережеву активність, що відбувається «під капотом», за допомогою штучного інтелекту, що дозволяє вам набагато швидше виявляти та реагувати на тривожні події. Дізнайтеся про що таке НДР.
Які ключові характеристики NDR?
Глибокий пакетний огляд
Мережева активність може мати різні форми, але на рівні застосунків пакети є найважливішими. Коли дані надсилаються мережею, вони розбиваються на більш керовані частини, які називаються пакетами. Як і лист, кожен пакет містить адресу, на яку його надсилають, а також фактичне повідомлення – або дані – що передаються. Традиційна перевірка пакетів перевіряла лише заголовок цих даних, який містив лише інформацію про одержувача та відправника. На жаль, навіть проста підміна сертифікатів дозволяє зловмисникам обійти цей захист, тобто в сучасному світі глибока перевірка пакетів є мінімальним стандартом для безпечних функцій NDR.
Глибока перевірка пакетів спирається на центральну точку підключення та мережевий відгалуження: це забезпечує повний доступ до інформації про пакети. Можливість бачити не лише заголовок пакета, але й вміст і протокол, з яким він постачається, забезпечує набагато глибший ступінь видимості того, що надсилається через вашу мережу. Знання того, яка програма, користувач і пристрій передають які пакети даних, пропонує спосіб швидкого розуміння та оптимізації мережі.
Однак, DPI має кілька ключових недоліків. Зловмисники вже знають про них. Наприклад, DPI вимагає багато обчислювальної потужності, оскільки ретельно перевіряє сегмент даних кожного пакета. За іронією долі, тому DPI насправді менш корисний у мережах з високою пропускною здатністю, оскільки він просто не може перевірити всі мережеві пакети.
Організації все частіше звертаються до шифрування як засобу захисту своїх мережевих комунікацій та цифрових взаємодій. На жаль, те саме стосується і зловмисників. DPI має труднощі з отриманням великої кількості інформації із зашифрованих мережевих даних, а це означає, що вони не зможуть перехопити зашифровані повідомлення між трояном-вимагачем та його C2-сервером.
Щоб боротися з цим, ваш інструмент NDR повинен мати у своєму наборі набагато більше, ніж просто роздільна здатність на дюйм.
Аналіз метаданих
Аналіз метаданих (MA) відступає від гіперспецифічного пакетно-пакетного підходу DPI, натомість фіксуючи повний спектр атрибутів мережевого зв'язку, програм та учасників – без детального аналізу всього корисного навантаження кожного пакета. Саме так NDR може досягти більшості своїх найкращих результатів. Випадки використання звітів про недоставку (NDR).
Для кожного сеансу, що проходить мережею, записуються комплексні метадані; ці метадані охоплюють різноманітні критичні атрибути, які можуть вчасно ідентифікувати кібератаку. На найпростішому рівні це включає IP-адреси хоста та сервера, номери портів та геолокаційні дані кожного з’єднання. Але метадані пропонують набагато більше інформації, ніж просто це: журнали DNS та DHCP допомагають зіставляти пристрої з IP-адресами, а додаткові деталі доступу до веб-сторінок можуть створити чіткіше уявлення про те, що відбувається з’єднання. Журнали контролера домену допомагають пов’язати користувача із системами, до яких він може мати доступ. Проблема шифрування DPI усувається завдяки наявності метаданих навіть на зашифрованих веб-сторінках: від типу шифрування, шифру, хешу до повних доменних імен клієнта та сервера; та хешів різних об’єктів, таких як JavaScript та зображення, всі ці мережеві дані можна спрямовувати в сучасні звіти про недоставку.
Аналіз метаданих забезпечує видимість усієї мережі, що робить MA оптимальним для мереж, незахищених DPI. А саме для мереж з високою пропускною здатністю, які є більш розподіленими. Водночас зауважте, що MA не залежить від шифрування: це дозволяє їй виявляти та запобігати складним кібератакам, що ховаються за процесами шифрування трафіку. Зосередження на багатоджерельній мережевій інформації набагато краще підходить для сучасних міжфункціональних та тісно інтегрованих стеків безпеки.
Поведінковий аналіз
Ми розглянули, які дані слід збирати та чому, але не те, як вони використовуються для кращого захисту ваших мереж. У минулому спроби захисту мережі були зосереджені на узгодженні інформації про пакети з сигнатурами, присутніми у відомих атаках шкідливого програмного забезпечення. Хоча це краще, ніж нічого, такий підхід робить ваші мережі широко відкритими для нових атак. Сьогоднішні атаки не залишають місця для помилок, як доведено... нещодавня атака програм-вимагачів на суму 22 мільйони доларів на Change Healthcare, і ще попереду.
Поведінковий аналіз – це відповідь галузі на сучасні дедалі новіші та розподілені атаки. Алгоритми машинного навчання дозволяють групувати всі ці метадані та інформацію про пакети в ширші моделі поведінки. Це досягається двома різними способами: методами навчання з учителем та без учителя. Машинне навчання з учителем визначає фундаментальні моделі поведінки, спільні для різних варіантів загроз (наприклад, той факт, що нещодавно розгорнуте шкідливе програмне забезпечення зазвичай звертається до сервера C2), що дозволяє послідовно виявляти загрози в різних сценаріях. З іншого боку, алгоритми машинного навчання без учителя просіюють корпоративні дані у набагато більшому масштабі, виконуючи мільярди обчислень на основі ймовірності на основі спостережуваних даних. Ці алгоритми не спираються на попередні знання про загрози, а самостійно класифікують дані та виявляють важливі моделі.
По суті, неконтрольовані алгоритми дозволяють інструментам NDR встановити базовий рівень норми для вашої мережі. Потім вони дозволяють вашій SOC команді бачити будь-які незвичайні з’єднання, що раптово виникають: це можуть бути ознаки атаки на ланцюг поставок, якщо вони раптово виникають з одного джерела; або, якщо на зовнішній пристрій надсилається більше даних, ніж у середньому, це може свідчити про зловмисного або скомпрометованого користувача. Важливі як моделі навчання з учителем, так і без учителя, оскільки разом вони охоплюють весь спектр поведінкового аналізу, необхідного вашим мережам.
Загроза інтелекту
Інтеграція зі стрічками даних про загрози дозволяє системі NDR порівнювати мережеву активність з відомими загрозами, шкідливими IP-адресами та індикаторами компрометації (IoC). Це допомагає рішенню NDR ідентифікувати та виявляти загрози, які були помічені та задокументовані широкою спільнотою безпеки. У поєднанні з рішеннями NDR стрічки даних про загрози виступають швидкими та точними постачальниками контексту. Це виходить далеко за рамки базових сигнатур шкідливого програмного забезпечення минулого, а провідні на ринку стрічки даних про загрози включають тактику, методи та процедури останніх атак, а також їх вплив.
Ця контекстна інформація допомагає рішенню NDR краще зрозуміти природу кожної виявленої аномалії та приймати більш обґрунтовані рішення щодо відповідної реакції. Цю підтримку ваших аналітиків можна поглибити шляхом подальшої інтеграції з платформою MITRE ATT&CK, а також додаткової підтримки з боку інструментів, які вже забезпечують безпеку решти вашої організації.
Інтеграція стеку технологій безпеки
Ви б не обмежували аналітика з безпеки лише однією платформою – так само, як сторонні аналітичні канали надають контекст про існуючі загрози, ваш ширший технологічний стек може запропонувати індивідуальне уявлення про ваш власний ландшафт. Коли NDR інтегрується з Endpoint Detection and Response (EDR) та Security Information and Event Management (керування інформацією та подіями безпеки).SIEM) інструменти, які у вас вже є, ваші команди здатні діяти на тому ж багатогранному рівні, що й атакуючі.
Візьмемо, наприклад, фреймворк MITRE ATT&CK: хоча він був спеціально розроблений для визначення тактик, технік та процедур (TTP), MITRE ATT&CK має значну перевагу в бік тактик, спрямованих на кінцеві точки. Завдяки цьому EDR зазнала значних інвестицій у різних галузях. Це цілком зрозуміло: узгодження вашого інструментарію з провідними фреймворками – це крок у правильному напрямку. Незважаючи на це, важливо стежити за реальністю експлуатації вразливостей. Коли атакуюча кампанія завершується, багато критичних методів насправді легше виявити з точки зору мережі. У той самий період атаки на пізній стадії хвилини спливають з неймовірною швидкістю – знижуючи важливість мережевої активності, деякі організації фактично погіршують свій потенціал реагування на вразливості в той момент, коли це найважливіше. Аналіз та співвіднесення даних як з кінцевих точок, так і з мережевих джерел надає аналітикам повний спектр видимості.
Автоматизуйте виявлення та реагування в мережі за допомогою Stellar Cyber
Коли NDR виявляє підозрілу або шкідливу активність у мережі, ці дані необхідно передати вашій команді безпеки з максимальною чіткістю та ефективністю. У критичних випадках безпеки кожна секунда має значення. Традиційно мережеві сповіщення надсилалися до тих самих списків сповіщень, що й усе інше, що призводило до кілометрових затримок, які поглинали все більше дорогоцінного часу ваших аналітиків безпеки з обмежених годин. Сучасні NDR визнають, що нескінченні потоки сповіщень по-своєму шкодять безпеці організації: натомість вони прагнуть об’єднати окремі проблеми в ширші, контекстні сповіщення.
Підключившись до вашого ширшого набору інструментів захисту, автоматизоване рішення для NDR може взяти на себе частину напруженої роботи, яка сьогодні уповільнює роботу ваших команд безпеки. Автоматизоване ручне сортування все ще разюче лінійне – і повільне. Тож, хоча багатогранне реагування здатне підняти виявлення загроз на нові висоти, слабкою ланкою все ще залишається той факт, що аналітики можуть обробляти лише певну кількість інформації одночасно. Ось і алгоритми.
Цей дедалі цілісніший підхід до безпеки є основою розширеного виявлення та реагування. Замість того, щоб обтяжувати аналітиків дедалі більшою кількістю інструментів, панелей інструментів та сповіщень, новий етап кібербезпеки спрямований на використання широких обсягів інформації, які вже є у вас під рукою, за допомогою автоматизації.
Зоряні кібер Open XDR Платформа використовує можливості ізольованого NDR та поєднує їх з EDR та алгоритмами автоматизації. Таким чином, ваша безпека – це більше, ніж просто поверхневий аналіз кожної ізольованої області вашого технологічного стеку: натомість, сповіщення з одного пристрою можна порівняти та зіставити з мережевою активністю, пов’язаною з ним. Більше інформації не лише допомагає аналітику з безпеки всебічно зрозуміти природу та потенційний вплив виявленої загрози, але й опора на розширену аналітику дозволяє кожному аспекту впливати на рівень серйозності сповіщення.
Попередньо готуючи сповіщення з його критичністю, Stellar Cyber XDR Інструменти дозволяють швидко та легко виявити потенційний вплив та ймовірність зловмисних дій. Ця автоматизація є ключовою не лише для обробки величезних обсягів мережевих даних, але й для виявлення аномалій та проблем, які дійсно потребують виправлення. Переоцініть взаємодію вашої організації з мережевими сповіщеннями вже сьогодні та Дізнайтеся, як Stellar допомагає командам безпеки швидше, ніж будь-коли раніше, вирішувати проблеми.
