NDR проти EDR: ключові відмінності
Виявлення та реагування на мережу (NDR) стає дедалі важливішою частиною інструментарію кібербезпеки: вони пропонують глибокий огляд внутрішньої активності мережі та виявляють вміст пакетів, що передаються між пристроями. Виявлення та реагування на кінцеві точки (EDR), з іншого боку, повністю зосереджені на виявленні окремих процесів, що відбуваються в кожному з кінцевих пристроїв організації.
Хоча вони спираються на схожі механізми аналізу загроз та профілювання, їх розгортання та варіанти використання дуже відрізняються. У цій статті буде розглянуто відмінності та розглянуто, як EDR та NDR часто розгортаються разом.
Рішення Gartner® Magic Quadrant™ NDR
Дізнайтеся, чому ми єдиний постачальник, який знаходиться в квадранті «Челленджер»...
Відчуйте безпеку на базі штучного інтелекту в дії!
Відкрийте для себе передовий штучний інтелект Stellar Cyber для миттєвого виявлення загроз...
Що таке NDR?
NDR – це інструмент, який контролює взаємодію між пристроями у внутрішній мережі організації. Він розгортає датчики в мережах організації, контролює, які пристрої взаємодіють з ними, та аналізує дані, які вони надсилають як вузлам, так і зовнішнім серверам.
Це може звучати як брандмауер: хоча брандмауер аналізує трафік, що входить до мережі або виходить з неї – так званий трафік «Північ-Південь» – він не забезпечує видимості трафіку між внутрішніми пристроями. Записи про невідповідність (NDR) дозволяють контролювати внутрішній трафік мережі, або трафік «Схід-Захід», що пропонує нову глибину видимості мережі без складних вимог до конфігурації.
Необроблені дані, зібрані системами NDR, складаються з наступного:
- Необроблені мережеві пакети: Захоплюється безпосередньо з мережевого трафіку через порти SPAN, TAP або спеціальні датчики. Ці пакети забезпечують повну видимість транзакцій, включаючи заголовки протоколів та метадані, пов'язані з корисним навантаженням.
- Записи потоку: Формати метаданих, такі як NetFlow або IPFIX, які узагальнюють схеми зв'язку, включаючи IP-адреси джерела та призначення, номери портів, протоколи та кількість байтів.
- Метадані трафіку: Отримані з аналізу пакетів, це включає тривалість сеансу, частоту зв'язку, моделі поведінки пристроїв та дані з протоколів прикладного рівня.
Потім усі ці дані надходять до власного механізму аналізу інструменту NDR та обробляються на наявність ознак шкідливого трафіку. Щоб максимізувати ймовірність успішного виявлення загроз, NDR використовує дві стратегії аналізу:
Аналіз мережі на основі сигнатур
Оскільки кожна окрема точка мережевих даних об'єднується в графік часових рядів, активність окремих пристроїв можна зіставити з відомими загрозами. Виявлення на основі сигнатур об'єднує конкретні моделі поведінки атак на рівні мережі в індикатори компрометації (IoC), які зберігаються у власній базі даних NDR.
Підпис стосується будь-якого ідентифікованого атрибута, пов’язаного з відомою кібератакою — це може бути фрагмент коду певного варіанту шкідливого програмного забезпечення або впізнаваний рядок теми фішингового електронного листа. Інструменти виявлення на основі підписів сканують мережеву активність на наявність цих відомих шаблонів і запускають сповіщення, коли виявляються збіги.
Моніторинг IOC за своєю суттю є реактивним. Виявлення IOC зазвичай вказує на те, що порушення вже сталося. Однак, якщо шкідлива діяльність все ще триває, раннє виявлення IOC може відіграти вирішальну роль у перериванні атаки, що дозволить швидше стримувати її та зменшувати потенційну шкоду для організації.
Аналіз поведінкових мереж
Поряд із виявленням на основі сигнатур, більшість звітів про недоставку також пропонують поведінковий аналіз. Він обробляє всі точки даних, але замість статичного порівняння їх із зовнішньою базою даних ризиків, він використовує їх для побудови базової поведінкової лінії.
Цей базовий рівень відображає нормальну активність: він зіставляє пристрої та користувачів з їхньою частотою зв'язку, обсягом даних та використанням протоколу. Після визначення цих очікуваних моделей поведінки, рішення NDR можуть ефективно виявляти відхилення, які можуть сигналізувати про потенційну загрозу. Можуть бути розбіжності між очікуваною та фактичною поведінкою протоколу, а також незвичайна активність програм у неробочий час. NDR також може інтегруватися з іншими інструментами безпеки, щоб отримати ще повніше уявлення про нормальну мережеву активність організації.
Разом, як поведінкове, так і сигнатурне виявлення загроз дозволяють NDR забезпечувати не лише повну видимість схід-захід, але й повне виявлення загроз на рівні мережі.
Що таке EDR?
- Дані виконання процесу: Деталі всіх запущених процесів, включаючи зв'язки між батьками та дітьми, аргументи командного рядка та позначки часу виконання.
- Зміна файлової системи: Створення, модифікація, видалення та перевірка цілісності файлів (включно з хешами файлів та джерелами завантаження).
- Зміни в реєстрі: Зміни в розділах реєстру Windows та параметрах конфігурації, критично важливі для роботи системи.
- Облікові записи користувачів: Усі облікові записи користувачів, які ввійшли в систему, як безпосередньо, так і віддалено
- Конфігурації системи: Встановлені програми, стани служб та дані про відповідність політикам безпеки.
Як і датчики NDR, агенти EDR безперервно передають необроблені дані на централізовану платформу, де моделі машинного навчання аналізують їх на наявність аномалій, таких як несанкціоновані ланцюжки процесів, підозрілі мережеві зв'язки або зміни в реєстрі, пов'язані з відомими методами атаки.
EDR проти NDR: різні варіанти використання
IoT Security
Датчики NDR часто базуються на портах SPAN – вони працюють, створюючи копії кожного пакета, який проходить через їхню мережу. Ці копії потім пересилаються до інструментів моніторингу NDR: цей процес копіювання інформації про пакети, а не пересилання всіх оригінальних пакетів до механізму аналізу, запобігає порушенням роботи хост-мережі.
Поряд із захистом чутливих мереж, ця конфігурація дозволяє відстежувати та захищати мережеву активність пристроїв Інтернету речей (IoT). IoT часто занадто легкі та численні, щоб на них встановлювати агенти, що робить їх нині відомою загрозою безпеці. Слабкі паролі, погані налаштування за замовчуванням та серйозна відсутність опцій керування пристроями зробили пристрої IoT надзвичайно складними для захисту, але, оскільки інструменти NDR фіксують усі мережеві комунікації, можна контролювати поведінку IoT у напрямку «Схід-Захід». Крім того, оскільки підозрілий трафік між пристроями IoT та їхньою ширшою мережею можна зіставити з відомими загрозами, середній час реагування значно прискорюється.
Захист віддалених співробітників
EDR забезпечує безперервний моніторинг, виявлення загроз та можливості автоматичного реагування безпосередньо на кінцевій точці. Це особливо важливо, оскільки віддалені кінцеві точки не завжди можуть бути обмежені певними мережами та периферійними пристроями. Без цього захисту гібридні співробітники ризикують стати векторами зараження, коли вони підключають віддалені пристрої назад до мереж організації.
Крім того, коли на віддаленому пристрої виявляється подія безпеки, EDR може ініціювати сценарій реагування відповідно до навколишніх факторів. Наприклад, якщо виявлено набір IoC, які вказують на програму-вимагач, він може ізолювати уражені пристрої до того, як вони поширяться.
Виявлення бокового руху
NDR проти EDR: Відмінності з першого погляду
|
Функція / Можливість |
NDR |
EDR |
| Область фокусування |
Моніторинг мережевого трафіку та зв'язку. |
Моніторинг окремих кінцевих пристроїв (наприклад, ноутбуків, серверів). |
| джерела даних | Мережеві пакети, записи потоків (NetFlow/IPFIX), метадані. | Системні журнали, активність файлів, поведінка процесів, зміни в реєстрі. |
| Область видимості | Широка видимість по всій мережі. | Глибока видимість на рівні пристрою. |
| Методи виявлення загроз | Виявлення аномалій, поведінкова аналітика, перевірка зашифрованого трафіку. | Аналіз файлів, моніторинг поведінки, виявлення на основі сигнатур. |
| Використовуйте випадки | Латеральний рух, командно-контрольний трафік, витік даних. | Зараження шкідливим програмним забезпеченням, внутрішні загрози, спроби експлуатації. |
| Можливості реагування | Сповіщення та інтеграції з SIEM/SOAR; обмежене пряме відновлення. | Автоматизоване стримування загроз (наприклад, завершення процесу, ізоляція пристрою). |
| Сценарій розгортання | Корпоративні мережі з багатьма підключеними пристроями. | Віддалена робоча сила, середовища BYOD, кінцеві точки високого ризику. |
| Вимоги до розгортання | Зазвичай без агентів; використовує мережеві датчики, такі як відгалужувачі та порти SPAN. | Потрібно встановити агенти на кожному контрольованому кінцевому пристрої. |
Інтеграція EDR з NDR через Stellar Cyber
Оскільки ці два інструменти так добре працюють разом, їх часто розгортають разом. Це підвищує важливість можливостей інтеграції кожного інструменту, оскільки інформація, отримана від кожного з них, може значно пришвидшити MTTR. Stellar Cyber втілює цю спільну можливість завдяки своїм відкритийXDR продукт – інтегруючись з будь-яким EDR, він проводить глибоку перевірку пакетів (DPI) разом із «пісочницею» шкідливого програмного забезпечення для постійного виявлення та запобігання шкідливому програмному забезпеченню «нульового дня».
відкритийXDR зіставляє сповіщення на рівні мережі з тими, що генеруються власним набором інструментів безпеки організації, у доступні інциденти. Замість того, щоб заповнювати робочі процеси аналітиків нескінченними сповіщеннями, Stellar проактивно сортує та фільтрує їх, вимагаючи негайних дій. Дізнайтеся, як OpenXDR може повернути вашій команді безпеки можливості проактивного реагування з демонстрацією сьогодні.
