Пояснення мережевого виявлення та реагування (NDR)

  • Ключові виноски:
  • Що робить мережеве виявлення та реагування (NDR)?
    NDR постійно аналізує мережевий трафік, створює поведінкові моделі для виявлення аномалій та автоматизує реагування за допомогою штучного інтелекту.
  • Як NDR еволюціонував з NTA?
    Він перейшов від базового моніторингу трафіку до розширеної перевірки та автоматизованого реагування з використанням поведінкової та сигнатурної аналітики.
  • Які ключові функції пропонує NDR від Stellar Cyber?
    Глибока перевірка пакетів, розподілені датчики, централізоване озеро даних, виявлення загроз на основі штучного інтелекту та автоматизована інтеграція SOAR.
  • Як Stellar Cyber ​​зменшує обсяг даних та покращує виявлення?
    Він досягає скорочення обсягу даних до 500 разів, одночасно збагачуючи його інформацією про загрози, що дозволяє здійснювати кореляцію та реагування в режимі реального часу на основі штучного інтелекту.
  • Як NDR допомагає об'єднати операції безпеки?
    NDR Stellar Cyber ​​інтегровано в Open XDR, що забезпечує безперешкодну кореляцію з SIEM, SOAR та UEBA на одній платформі.

Виявлення та реагування на мережу (NDR) додає нову видимість мережам організації шляхом пасивного збору та аналізу внутрішньої мережевої активності. З появою LLM та новими вимогами до глибоко поглибленого захисту мережі, інструменти NDR вже розвиваються за межі цієї основної можливості. Gartner Звіт про недопущення ненадання інформації детально описує, як інструменти на сучасному ринку розширюють межі можливостей доповнення LLM, виявлення мультимодальних загроз та розгортання на основі IaaS.

Вплив сучасного NDR на подальші дії є значним: більш узгоджене реагування на інциденти, точніша аналітика та швидша криміналістика. Цей посібник є вичерпним та глибоким ознайомленням із NDR.

#заголовок_зображення

Рішення Gartner® Magic Quadrant™ NDR

Дізнайтеся, чому ми єдиний постачальник, який знаходиться в квадранті «Челленджер»...

Детальніше
#заголовок_зображення

Відчуйте безпеку на базі штучного інтелекту в дії!

Відкрийте для себе передовий штучний інтелект Stellar Cyber ​​для миттєвого виявлення загроз...

Графік демонстрації

Як працює NDR

NDR унікальні тим, що дозволяють безперервно аналізувати мережеві пакети та метадані трафіку, що відбувається в межах потоків трафіку Схід-Захід (внутрішні) та між Північчю-Півднем (внутрішні мережі та публічний Інтернет). Кожна окрема дія мережі являє собою ключову точку даних, яка надходить до NDR, і кожна з них потім використовується для побудови моделі щоденної поведінки внутрішньої мережі.

Це дозволяє негайно виявляти будь-які відхилення. Ці неприродні закономірності надсилаються аналітикам для подальшого вивчення у вигляді сповіщення; саме тут трафік оцінюється як такий, що свідчить про атаку, або як такий, що нешкідливий. Сучасні звіти про невиправлення помилок (NDR) з можливостями автоматизованого реагування можуть автоматично вживати заходів для усунення недоліків, таких як блокування IP-адрес, у відповідь на виявлену загрозу. Це забезпечує безпеку мережі, поки аналітик визначає її легітимність.

Еволюція НДР

Ранні корені NDR можна простежити до Аналіз мережевого трафіку (NTA)Цей старіший інструмент спільно використовувався адміністраторами безпеки та мережевими адміністраторами: він дозволяв їм відстежувати, які ресурси отримують мережевий трафік, як швидко реагує кожна програма чи пристрій, а також скільки трафіку надсилається до певних джерел і з них.

Однак, у міру розвитку ландшафту загроз на початку 2010-х років, адміністратори безпеки виявили, що дані про обсяг мережі не відображають повної картини. Покладання лише на NTA для виявлення загроз вимагало надзвичайно досвідченого та пильного мережевого адміністратора; багато чого залишалося на волю випадку. Network Detection and Response зосереджується на універсальному зборі мережевих даних, а також на додатковому рівні аналізу.

Сьогоднішні інструменти NDR посилити цей основний поведінковий аналіз за допомогою порівняння сигнатур файлів та впровадження правил. Після виявлення потенційної загрози NDR може автоматично поміщати підозрілі файли в карантин, позначати критично важливу інформацію для адміністраторів безпеки та співвідносити сповіщення з ширшими інцидентами безпеки.

Яка роль NDR у кібербезпеці?

Традиційно, кібербезпека організацій спиралася на статичні інструменти виявлення загроз, такі як антивіруси та брандмауери: вони використовували виявлення на основі сигнатур, оцінюючи файли, що вводяться в мережу або поширюються через неї, за показниками компрометації в базі даних кожного інструменту.

Однак ця система, яку тепер називають кібербезпекою на основі периметра, мала кілька притаманних недоліків. Наприклад, якщо брандмауер не оновлюється постійно, зловмисник може прослизнути крізь прогалини. Після того, як один пристрій або служба скомпрометовано, зловмисник експлуатує невід'ємну довіру між пристроями у внутрішній мережі, починаючи ескалацію привілеїв.

Звіти про невідповідність використовують цей ланцюг атак і визнають, що майже кожна атака стосується принаймні однієї внутрішньої мережі. Команди з кібербезпеки можуть розгорнути рішення NDR як для трафіку Північ-Південь, так і для трафіку Схід-Захід, що надає їм можливість бачити трафік, що надходить до організації, та розподіляється між внутрішніми пристроями відповідно. Це блокує один з найбільших плацдармів, на який покладаються зловмисники. Наш Посібник покупця NDR детально описує, як ці дані трафіку обробляються та аналізуються на предмет можливої ​​шкідливої ​​діяльності.

Яка роль NDR у Центрі операцій безпеки (SOC)?

Сучасний SOC має бути скрізь одночасно: з огляду на розростання, властиве сучасним мережам, це нелегке завдання. Як результат, NDR відіграє важливу роль у сучасній ефективній SOCs, оскільки це централізована платформа виявлення. Наступні можливості можуть бути надані SOC шляхом відповідного NDR.

Повна видимість мережі

Основний компонент для SOC – це його здатність виявляти загрози та реагувати на них по всьому спектру пристроїв, користувачів та сервісів. Мережеві дані є цінним джерелом розвідки, але фахівці з сортування та мисливці за загрозами часто сповільнюються через їхню величезну кількість. Архітектура NDR дозволяє автоматично збирати дані пакетів, потоків та журналів з мережевої інфраструктури та брандмауерів. Він також аналізує зашифрований трафік без необхідності його перехоплення. Це дозволяє проводити поглиблений аналіз, що охоплює ширший спектр джерел, тим самим надаючи... SOC більш повний огляд їхніх мереж.

Підключені сповіщення

Фахівці з сортування відіграють ключову роль в обробці сповіщень безпеки, збираючи необроблені дані та аналізуючи вхідні тривоги. Їхні обов'язки включають перевірку сповіщень, оцінку або коригування їхньої серйозності та збагачення їх контекстуальною інформацією. Сучасні звіти про недоставку прискорюють цей процес, інтегруючись з іншими інструментами безпеки та автоматично позначаючи мережеві аномалії в їх ширшому контексті – від фішингових електронних листів до підозрілих завантажень файлів.

Швидка обізнаність про мережу

SOC менеджери усвідомлюють необхідність глибоких знань про мережі. Цей попит може зробити найм та навчання нових SOC складно та трудомістко для членів команди. З NDR у SOCнавіть нові члени команди, які не мають досвіду роботи з мережами, можуть розгорнути рішення NDR і почати виявляти загрози.

Швидке реагування мережі

Аналітичні можливості NDR пропонуються аналітикам на інтуїтивно зрозумілій панелі інструментів. Цей інтерфейс користувача дозволяє автоматично встановлювати пріоритети сповіщень та значно швидше запускати функції ручного реагування мережі.

NDR проти виявлення та реагування на кінцеві точки (EDR)

Сучасна кібербезпека вимагає видимості не лише мережевої активності – EDR – це відповідне рішення, яке зосереджено на поведінці кінцевих точок. Виявлення мережі та кінцевих точок досить просте: так само, як NDR фіксує кожну дію в мережі та розміщує її на ширшому графіку трендів, EDR бере кожну дію на рівні пристрою та аналізує її стосовно її історичної або специфічної для ролі поведінки.

Продукти EDR зазвичай постачаються через розгортаний агент кінцевої точки на кожній кінцевій точці. Завдяки локальній присутності EDR може отримувати інформацію про процеси, що допомагає виявляти потенційно шкідливі програми, відстежуючи, які процеси запущені в системі. Інформація про файли також перевіряється для перевірки цілісності файлів, а інформація про користувача перевіряє легітимність кожного облікового запису. Нарешті, збирається системна інформація для підтримки повного уявлення про стан кінцевої точки.

Замість порівняння NDR та EDR, більшість організацій розгортають NDR разом з EDR – це дозволяє відстежувати та контролювати повний ланцюжок атак. Від початкового компрометування облікового запису до ескалації привілеїв на рівні мережі та остаточного розгортання шкідливого програмного забезпечення, усі складні атаки можна виявити заздалегідь. Бачачи потенціал цього, деякі постачальники кібербезпеки почали пропонувати ще один рівень аналізу та оркестрації між ними – розширене виявлення та реагування (XDR).

Як NDR порівнюється з EDR та XDR?

NDR, EDR та XDR – це дещо різні технології, кожна з яких спрямована на різні аспекти процесів виявлення та реагування на загрози. Вони також мають різні сфери застосування – від специфічних для мережі до всієї поверхні атаки організації.

NDR (виявлення та відповідь мережі)

EDR (виявлення кінцевої точки та відповідь)

XDR (Розширене виявлення та реагування)
Сфера Мережевий трафік. Кінцеві точки (ноутбуки, сервери, пристрої). Усі (кінцеві точки, мережа, хмара).
Первинні джерела даних Мережеві метадані, потоки трафіку. Телеметрія кінцевих точок, поведінка файлів і процесів. Агрегована телеметрія з кількох доменів.
Можливості реагування Обмежено діями на рівні мережі, все частіше пропонуючи автоматизоване реагування. Ізольовані для реагування на кінцеві точки, такі як карантин. Пропонує повну свободу кросплатформного автоматизованого реагування.
Складність розгортання Середній (вимагає інтеграції з мережею). Середній (потрібне встановлення агента на кінцевих точках). Високий (вимагає інтеграції на всіх платформах безпеки або первинних джерелах даних).
Найкращий варіант використання Виявлення бічного руху, прихованих загроз. Виявлення скомпрометованих кінцевих точок. Комплексне виявлення загроз та реагування на них.

Методи, що використовуються в рішеннях NDR

Оскільки звіти про невиправдане ненадання інформації (NDR) постійно обробляють та аналізують такі великі обсяги даних, важливо розуміти різні стратегії, які вони використовують проти складних загроз.

Аналіз зашифрованого трафіку

Захист зашифрованого трафіку традиційно був делікатною темою: а оскільки переважна більшість сучасного трафіку зараз зашифрована, неможливість адекватного аналізу зашифрованого трафіку може бути серйозним недоліком. Однак розшифрування всіх мережевих пакетів під час передачі може значно збільшити ризик витоку даних і токенів.

Щоб обійти це, провідні інструменти часто покладаються на комплекс методів NDR. Для запобігання витоку токенів або розшифрованих даних, датчики можна розгортати за проксі-серверами. Це використовує виявлення зашифрованого трафіку та маршрутизацію його через проксі: трафік розшифровується як завжди, а потім датчики передають всю інформацію до центрального механізму NDR. Дізнайтеся більше про наші можливості з питань недоставлення тут.

Якщо проксі-сервери не підходять для конкретного випадку використання, можна точно визначити легітимність трафіку за його шаблонами. Повністю зашифрований трафік можна оцінити на наявність шкідливого програмного забезпечення за допомогою відбитків JA3, не порушуючи його шифрування. Крім того, шаблони та метадані можуть поєднуватися для виявлення наміру, що стоїть за зашифрованим пакетом, оскільки датчик все ще може витягувати сертифікат сервера, IP-адреси, доменні імена, тривалість сеансу та кількість байтів із заголовка пакета та підтвердження TLS/SSL.

Зрештою, якщо розшифрування трафіку є абсолютно необхідним, сучасні NDR можуть інтегруватися зі службами розшифрування пакетів. Отримані мережеві дані потім надсилаються до центрального механізму аналізу у звичайному режимі.

Автоматизоване виявлення активів

Знання того, які пристрої передають дані в мережу та з неї, є життєво важливим. NDR автоматично відстежують та додають активи до панелі керування активами відповідно до MAC-адреси, IP-адреси та імені хоста кожного з них. Це дозволяє відображати ризики на рівні мережі відповідно до активів, на які вони впливають.

Декодування протоколу

Мережеві протоколи – це встановлені набори правил, які визначають, як дані форматуються, передаються, отримуються та інтерпретуються між пристроями в мережі. Це важливі елементи контекстуальної головоломки; таким чином, звіти про недоставку по суті перебудовують необроблені дані, які вони мають, щоб визначити відповідний протокол. Потім вони порівнюють реальні мережеві дані з цим очікуваним протоколом, що дозволяє швидко виявляти будь-які відхилення трафіку.

Поведінковий аналіз

Поряд із протоколами, що стоять за кожним потоком трафіку, звіти про недоставку (NDR) здатні побудувати модель того, як кожна мережа працює щодня. Наприклад, протягом кількох місяців може спостерігатися, як співробітник завантажує дані на певний сайт через SFTP о 10:5 ранку. Коли раптом цей співробітник завантажує файл на 2 інших внутрішніх пристроїв о XNUMX:XNUMX ночі, мережа знає, що потрібно позначити цю підозрілу дію для подальшого аналізу.

Як розгорнути мережеве виявлення та реагування

Розгортання NDR має охоплювати всі мережі, від яких залежить ваша організація – хмарні, повністю локальні чи поєднання цих двох. Наведені нижче методи розгортання мають дати вам детальне уявлення про те, як технічно розгортаються NDR в організації.

Розгортання датчика

NDR вимагає розгортання датчиків у будь-якій мережі, що контролюється. Однак існують спеціальні датчики для різних випадків використання, і для успішного розгортання потрібен правильний датчик для роботи. Наприклад, для середовищ дистрибутивів Linux потрібен датчик сервера Linux. Вони часто розгортаються із заздалегідь визначеною кількістю доступних ресурсів процесора, які вони можуть використовувати в будь-який момент часу, щоб захистити якість сервера під час збору даних про виконання команд і журналів. Сервери Windows також потребують власного типу датчиків; вони збирають повний обсяг даних Windows. типи подій.

Модульні датчики – це ще один тип: вони дозволяють налаштовувати функції разом із датчиком. Наприклад, це може включати пересилання журналів – якщо виникне потреба розгортати з SIEM або інший інструмент безпеки – та прийом мережевого трафіку – відповідно до вимог NDR. Для більш суворих вимог безпеки модульні датчики також можуть бути розгорнуті разом із системами ізольованого програмного середовища та виявлення вторгнень.

Після визначення правильних датчиків для кожного розгортання важливо налаштувати їх відповідно. Для цього доступний цілий ряд методів розгортання: порт SPAN є одним із найпоширеніших, і він працює шляхом дзеркалювання мережевого трафіку на мережевому комутаторі до порту з датчиком NDR. Це дозволяє інструменту NDR пасивно захоплювати весь трафік, що надходить на цей порт, пакетно.

Віртуальні середовища залежать від розгортання віртуальних точок доступу (TAP), які захоплюють копії даних, що передаються між віртуальними машинами всередині хоста; фізичні TAP пропускають цей трафік, оскільки він ніколи не проходить через фізичні мережеві кабелі. Мережеву активність віддалених кінцевих точок можна контролювати за допомогою агентних колекторів; легких колекторів, які встановлюються безпосередньо на пристрій.

Приймання даних

Оскільки всі дані постійно контролюються датчиками, їх потім має отримувати та аналізувати центральний механізм аналізу NDR. Це здійснюється двома процесами: приймачами та з’єднувачами. Перший – це запущене завдання, яке приймає вхідні дані датчиків та розподіляє їх між IP-адресами або номерами портів, з якими здійснюється зв’язок, а другий аналізує пов’язані з ними необроблені мережеві пакетні дані.

Завантаження та налаштування

Завантаження та налаштування консолі керування NDR залежить від обраного постачальника, але всі вони повинні вимагати початкового встановлення ролей адміністратора, порогів сповіщень та протоколів сповіщень. Тиждень або два навчання зазвичай є мінімальною вимогою при першому розгортанні нового інструменту; це допомагає зрозуміти, як він інтегрується з робочими процесами аналітиків.

Увімкнення та налаштування автоматичних відповідей

Автоматизовані відповіді є ключовою можливістю сучасних інструментів NDR: вони також забезпечують значну економію часу у разі потенційних атак. Залежно від NDR, необхідно налаштувати його автоматичні дії реагування, такі як завершення TCP-сеансу, динамічна сегментація мережі або обмеження трафіку, а також профіль поведінки, який має запускати кожну дію. Дізнайтеся більше про те, як розгорнути NDR, тут.

Інтеграція NDR з іншими інструментами безпеки

Здатність NDR створювати евристичні моделі нормальної поведінки мережі – і, отже, виявляти будь-які відхилення від неї – значно доповнює інформацію, надану іншими технологіями безпеки. Якщо їх можна інтегрувати, у кожне сповіщення можна впроваджувати інформацію на рівні мережі. Наведені нижче інструменти безпеки – це ті, які мають поширені та успішні інтеграції з NDR.

EDR

Інтеграція EDR з NDR дозволяє отримати не лише повне розуміння ланцюжка атак, але й автоматично реагувати на загрози через пристрій EDR. Наприклад, коли шкідливе програмне забезпечення пов’язане з пристроєм, спільне рішення EDR/NDR може автоматично ізолювати його від мережі. Таке стримування запобігає поширенню загрози, водночас надаючи командам безпеки можливість розслідувати інцидент і вжити необхідних заходів щодо усунення наслідків.

SIEM

SIEMповсюдно використовуються в командах безпеки – вони дозволяють аналізувати та виявляти журнали і є попередниками сучасного управління загрозами. Однак, оскільки SIEMобробляють так багато журналів, а самі журнали не дають найглибшого уявлення про загрози, SIEMдуже схильні до хибнопозитивних результатів. Результатом є тисячі сповіщень на день, які функціонально неможливо переглянути вручну.

NDR дозволяють встановити рівень автентифікації – щоразу, коли SIEM виявляє потенційний інцидент, можна проаналізувати відповідні мережеві дані. Якщо обидва джерела даних вказують на атаку, сповіщення можна видати через центральну панель інструментів NDR. Це не лише допомагає відфільтрувати неправильні сповіщення, але й надає аналітику, який проводить перевірку, кращу основу для роботи.

Брандмауери

NDR покращує розвідку загроз брандмауером, виявляючи незвичайну або шкідливу поведінку мережі. Оскільки він відстежує поведінку до певної IP-адреси, ця інформація в режимі реального часу може бути передана брандмауеру, розгорнутому навколо кожної мережі або підмережі. Він потім автоматично створює та застосовує відповідну політику, блокуючи підозрілий трафік.

Звучить занадто добре, щоб
бути правдою?
Подивіться самі!

Запит на демонстрацію
Прокрутка до початку
Підпишіться на розсилку