Các tính năng chính cần xem xét khi chọn giải pháp NDR
Hướng dẫn thị trường Gartner XDR
XDR là công nghệ tiên tiến có thể cung cấp khả năng phòng ngừa, phát hiện và ứng phó với mối đe dọa thống nhất...
Trải nghiệm hoạt động bảo mật được hỗ trợ bởi AI!
Khám phá AI tiên tiến của Stellar Cyber để phát hiện mối đe dọa ngay lập tức...
Tại sao bạn cần giải pháp NDR?
Bảo mật mạng luôn là một trong những ranh giới khó kiểm soát nhất. Ngay cả các bố cục mạng tương đối phức tạp cũng có thể dễ dàng bảo mật bằng tường lửa đơn giản, nếu không phải vì thực tế là nhiều dịch vụ hiện nay được phân cấp. Với rất nhiều thiết bị nằm ngoài phạm vi bảo vệ truyền thống, khả năng xảy ra lỗ hổng cao hơn bao giờ hết. Và không chỉ các dịch vụ được tách biệt khỏi hệ thống phòng thủ của riêng bạn: nhân viên luôn phụ thuộc vào mạng không dây dễ bị nghe lén và truy cập trái phép hơn. Bản chất vốn có của truyền thông không dây có nghĩa là việc bảo mật các mạng này đòi hỏi phải cảnh giác liên tục và các giao thức bảo mật tiên tiến.
Bên cạnh bối cảnh mạng lưới đang thay đổi, còn có mối đe dọa liên tục phát triển từ tội phạm mạng kiếm lời. Các kỹ thuật tinh vi ngày càng được chứng kiến trong tự nhiên, trong khi các cuộc tấn công do nhà nước bảo trợ phát triển mạnh mẽ dưới những căng thẳng địa chính trị ngày nay. Những mối đe dọa này thường khai thác các công cụ và cấu hình mạng hợp pháp giúp nhân viên thực sự kết nối, khiến chúng khó bị phát hiện và phòng thủ hơn.
Do đó, các tổ chức cần theo dõi lưu lượng truy cập qua các ngăn xếp công nghệ của họ. Hãy nhập giải pháp NDR: các công cụ này liên tục theo dõi hoạt động mạng đang diễn ra dưới mui xe với AI, cho phép bạn phát hiện và phản hồi các diễn biến đáng lo ngại nhanh hơn nhiều. Tìm hiểu về NDR là gì.
Các tính năng chính của NDR là gì?
Kiểm tra gói sâu
Hoạt động mạng có nhiều dạng, nhưng ở cấp độ ứng dụng, các gói là vua. Khi dữ liệu được gửi qua mạng, nó được chia thành các phần dễ quản lý hơn, được gọi là các gói. Giống như một lá thư, mỗi gói chứa địa chỉ mà nó được gửi đến cũng như thông điệp thực tế – hoặc dữ liệu – đang được truyền đi. Kiểm tra gói truyền thống chỉ kiểm tra phần tiêu đề của dữ liệu này – phần này chỉ chứa thông tin về đích và người gửi. Thật không may, ngay cả việc giả mạo chứng chỉ đơn giản cũng cho phép kẻ tấn công tìm cách vượt qua biện pháp phòng thủ này – có nghĩa là trong thời hiện đại, kiểm tra gói sâu là tiêu chuẩn tối thiểu cho các tính năng NDR an toàn.
Kiểm tra gói sâu dựa vào điểm kết nối trung tâm và điểm nhấn mạng: điều này cấp quyền truy cập đầy đủ vào thông tin gói. Việc có thể xem không chỉ tiêu đề gói mà còn cả nội dung và giao thức đi kèm với nó, mang lại mức độ hiển thị sâu hơn nhiều về những gì được gửi qua mạng của bạn. Việc biết ứng dụng, người dùng và thiết bị nào đang truyền gói dữ liệu nào sẽ giúp bạn hiểu và tối ưu hóa mạng nhanh hơn.
Tuy nhiên, DPI có một số nhược điểm chính. Những kẻ tấn công đã nhận thức được những điều này. Ví dụ: Sở Di Trú yêu cầu rất nhiều sức mạnh xử lý vì nó kiểm tra kỹ lưỡng từng phân đoạn dữ liệu của gói. Do đó, trớ trêu thay, DVI thực sự ít hữu ích hơn trên các mạng băng thông cao vì nó không thể kiểm tra tất cả các gói mạng.
Các tổ chức đang chuyển sang mã hóa thường xuyên hơn như một phương tiện để bảo mật thông tin liên lạc mạng và tương tác kỹ thuật số của họ. Thật không may, những kẻ tấn công cũng vậy. IRS gặp khó khăn trong việc thu thập nhiều thông tin từ dữ liệu mạng được mã hóa, nghĩa là họ sẽ không thể bắt được các liên lạc được mã hóa giữa trojan ransomware và máy chủ C2 của nó.
Để giải quyết vấn đề này, công cụ NDR của bạn cần phải có nhiều hơn nữa chỉ số dpi trong bộ công cụ của nó.
Phân tích siêu dữ liệu
Phân tích siêu dữ liệu (MA) lùi một bước so với phương pháp tiếp cận theo từng gói siêu cụ thể của DPI, thay vào đó nắm bắt toàn bộ mảng thuộc tính về giao tiếp mạng, ứng dụng và tác nhân – mà không cần đi sâu vào toàn bộ tải trọng của từng gói. Đây là cách NDR có thể đạt được phần lớn hiệu quả tốt nhất của nó Các trường hợp sử dụng NDR
Đối với mỗi phiên đi qua mạng, siêu dữ liệu toàn diện sẽ được ghi lại; siêu dữ liệu này mở rộng để nắm bắt nhiều thuộc tính quan trọng có thể xác định kịp thời một cuộc tấn công mạng. Ở cấp độ cơ bản nhất, điều này bao gồm địa chỉ IP máy chủ và máy chủ, số cổng và chi tiết vị trí địa lý của mọi kết nối. Nhưng siêu dữ liệu còn cung cấp nhiều thông tin hơn thế: nhật ký DNS và DHCP giúp ánh xạ thiết bị tới địa chỉ IP, trong khi các chi tiết khác về quyền truy cập trang web có thể tạo ra một bức tranh rõ ràng hơn về tốc độ kết nối. Nhật ký Bộ điều khiển Miền giúp liên kết người dùng với các hệ thống mà họ có thể có quyền truy cập. Vấn đề mã hóa của mã hóa bị cản trở nhờ sự hiện diện của siêu dữ liệu ngay cả trên các trang web được mã hóa: từ kiểu mã hóa, mật mã, hàm băm; đến các tên miền đủ điều kiện của máy khách và máy chủ; và hàm băm của nhiều đối tượng khác nhau như JavaScript và hình ảnh, tất cả dữ liệu mạng này có thể được chuyển vào NDR hiện đại.
Phân tích siêu dữ liệu mang lại khả năng hiển thị cho toàn bộ mạng, giúp MA trở nên tối ưu cho các mạng không được bảo mật bởi dpi. Cụ thể là các mạng băng thông cao được phân phối nhiều hơn. Đồng thời, lưu ý rằng MA không bị ảnh hưởng bởi mã hóa: điều này cho phép nó phát hiện và ngăn chặn các cuộc tấn công mạng nâng cao ẩn sau các quy trình mã hóa lưu lượng. Việc tập trung vào thông tin mạng đa nguồn phù hợp hơn nhiều với các hệ thống bảo mật được tích hợp chặt chẽ và đa chức năng ngày nay.
Phân tích hành vi
Chúng tôi đã đề cập đến dữ liệu nào nên được thu thập và lý do – nhưng chưa đề cập đến cách sử dụng dữ liệu đó để bảo mật mạng của bạn tốt hơn. Trước đây, các nỗ lực bảo vệ mạng tập trung vào việc căn chỉnh thông tin gói với các dấu hiệu có trong các cuộc tấn công bằng phần mềm độc hại đã biết. Mặc dù tốt hơn là không có gì, cách tiếp cận này khiến mạng của bạn có nguy cơ bị tấn công mới. Các cuộc tấn công ngày nay không còn chỗ cho sai sót – như đã được chứng minh bởi cuộc tấn công ransomware trị giá 22 triệu đô la gần đây vào Change Healthcare, và còn nhiều điều nữa sẽ xảy ra.
Phân tích hành vi là câu trả lời của ngành đối với các cuộc tấn công phân tán và ngày càng mới lạ ngày nay. Các thuật toán Machine Learning cho phép tất cả siêu dữ liệu và thông tin gói này được nhóm thành các mẫu hành vi rộng hơn. Điều này đạt được theo hai cách khác nhau: kỹ thuật học có giám sát và không giám sát. Học máy được giám sát xác định chính xác các hành vi cơ bản phổ biến đối với các biến thể mối đe dọa khác nhau (chẳng hạn như thực tế là phần mềm độc hại mới được triển khai thường sẽ tiếp cận máy chủ C2), cho phép phát hiện nhất quán trong các tình huống khác nhau. Mặt khác, các thuật toán học máy không giám sát sẽ sàng lọc dữ liệu doanh nghiệp ở quy mô lớn hơn nhiều, thực hiện hàng tỷ phép tính dựa trên xác suất từ dữ liệu được quan sát. Các thuật toán này không dựa vào kiến thức về mối đe dọa trước đó mà phân loại dữ liệu một cách độc lập và xác định các mẫu quan trọng.
Về cơ bản, các thuật toán không giám sát cho phép các công cụ NDR thiết lập đường cơ sở về mức bình thường đối với mạng của bạn. Sau đó, chúng cho phép nhóm SOC của bạn nhìn thấy bất kỳ kết nối bất thường nào đột nhiên xuất hiện: đây có thể là dấu hiệu của một cuộc tấn công chuỗi cung ứng nếu chúng đột nhiên xuất hiện từ một nguồn; hoặc nếu nhiều dữ liệu được gửi đến thiết bị bên ngoài hơn mức trung bình thì đó có thể là bằng chứng về người dùng độc hại hoặc bị xâm phạm. Cả hai mô hình học tập có giám sát và không giám sát đều quan trọng vì chúng bao trùm toàn bộ phạm vi phân tích hành vi mà mạng của bạn cần.
Mối đe dọa thông minh
Việc tích hợp với nguồn cấp dữ liệu thông minh về mối đe dọa cho phép hệ thống NDR tham chiếu chéo hoạt động mạng chống lại các mối đe dọa đã biết, địa chỉ IP độc hại và các chỉ báo xâm phạm (IoC). Điều này giúp giải pháp NDR xác định và phát hiện các mối đe dọa đã được cộng đồng bảo mật rộng lớn hơn quan sát và ghi lại. Khi kết hợp với các giải pháp NDR, nguồn cấp dữ liệu thông tin về mối đe dọa đóng vai trò là nhà cung cấp bối cảnh nhanh chóng và chính xác. Điều này vượt xa các dấu hiệu phần mềm độc hại cơ bản trước đây, với nguồn cấp dữ liệu thông tin về mối đe dọa hàng đầu thị trường bao gồm chiến thuật, kỹ thuật và quy trình của các cuộc tấn công gần đây nhất cũng như tác động của chúng.
Thông tin theo ngữ cảnh này giúp giải pháp NDR hiểu rõ hơn về bản chất của từng điểm bất thường được phát hiện và đưa ra quyết định sáng suốt hơn về phản hồi thích hợp. Sự hỗ trợ này dành cho các nhà phân tích của bạn có thể được tăng cường bằng cách tích hợp sâu hơn với khung MITER ATT&CK, cũng như một số hỗ trợ bổ sung từ các công cụ đã giữ an toàn cho phần còn lại của tổ chức của bạn.
Tích hợp ngăn xếp công nghệ bảo mật
Bạn sẽ không giới hạn nhà phân tích bảo mật chỉ trong một nền tảng – giống như nguồn cấp dữ liệu thông minh của bên thứ ba cung cấp bối cảnh về các mối đe dọa ngoài kia, nhóm công nghệ rộng hơn của bạn có thể cung cấp cái nhìn riêng biệt về bối cảnh của riêng bạn. Khi NDR tích hợp với các công cụ Phát hiện và phản hồi điểm cuối (EDR) và Quản lý sự kiện và thông tin bảo mật (SIEM) mà bạn đã có, các nhóm của bạn có thể hoạt động ở cấp độ đa diện giống như những kẻ tấn công.
Lấy khung MITER ATT&CK: mặc dù được phát triển rõ ràng để xác định Chiến thuật, Kỹ thuật và Quy trình (TTP), MITER ATT&CK có xu hướng thiên về chiến thuật điểm cuối. Nhờ đó, EDR đã chứng kiến một giai đoạn đầu tư đáng kể vào các ngành. Điều này hoàn toàn dễ hiểu: việc kết hợp công cụ của bạn với các khuôn khổ dẫn đầu ngành là một bước đi đúng hướng. Mặc dù vậy, điều quan trọng là phải theo dõi thực tế khai thác lỗ hổng. Khi một chiến dịch tấn công sắp kết thúc, nhiều kỹ thuật quan trọng thực sự dễ dàng bị phát hiện hơn từ góc độ mạng. Trong cùng khung thời gian của một cuộc tấn công ở giai đoạn cuối, thời gian trôi qua với tốc độ đáng kinh ngạc – bằng cách giảm tầm quan trọng của các hoạt động mạng, một số tổ chức thực sự đang làm suy yếu khả năng ứng phó bảo mật của họ vào thời điểm quan trọng nhất. Việc phân tích và tương quan dữ liệu từ cả điểm cuối và nguồn mạng cho phép các nhà phân tích có được khả năng hiển thị đầy đủ.
Tự động phát hiện và phản hồi mạng với Stellar Cyber
Khi NDR phát hiện hoạt động đáng ngờ hoặc độc hại trong mạng, dữ liệu này cần được chuyển đến nhóm bảo mật của bạn với độ rõ ràng và hiệu quả tối đa. Trong các sự kiện bảo mật quan trọng, mỗi giây đều quan trọng. Theo truyền thống, các cảnh báo dựa trên mạng sẽ được gửi đến cùng danh sách cảnh báo như mọi thứ khác, dẫn đến các hồ sơ tồn đọng kéo dài hàng dặm khiến ngày càng tốn nhiều thời gian quý báu hơn so với số giờ giới hạn của các nhà phân tích bảo mật của bạn. NDR hiện đại nhận ra rằng các luồng cảnh báo vô tận gây tổn hại đến an ninh của tổ chức theo cách riêng của chúng: thay vào đó, chúng nhắm đến việc đối chiếu các vấn đề riêng lẻ thành các cảnh báo theo ngữ cảnh, rộng hơn.
Bằng cách kết nối với bộ công cụ phòng thủ rộng hơn của bạn, giải pháp NDR tự động có thể đảm nhận một số công việc bận rộn đang làm chậm các nhóm bảo mật của bạn hiện nay. Việc phân loại thủ công tự động vẫn cực kỳ tuyến tính – và chậm. Vì vậy, mặc dù phản ứng đa diện có thể đẩy khả năng phát hiện mối đe dọa lên một tầm cao mới, nhưng điểm yếu vẫn là thực tế là các nhà phân tích chỉ có thể xử lý rất nhiều thông tin cùng một lúc. Nhập, thuật toán.
Cách tiếp cận bảo mật ngày càng toàn diện này là nền tảng của Phát hiện và Phản hồi mở rộng. Thay vì tải lên cho các nhà phân tích ngày càng nhiều công cụ, bảng thông tin và cảnh báo, giai đoạn mới của an ninh mạng nhằm mục đích tận dụng lượng thông tin rộng lớn sẵn có trong tầm tay bạn thông qua tự động hóa.
Nền tảng Open XDR của Stellar Cyber tận dụng các khả năng của NDR riêng biệt và kết hợp chúng với EDR và các thuật toán tự động hóa. Bằng cách này, bảo mật của bạn không chỉ là phân tích sâu về từng khu vực biệt lập trong nhóm công nghệ của bạn: thay vào đó, cảnh báo từ một thiết bị có thể được so sánh và đối chiếu với hoạt động mạng được liên kết với đó. Nhiều thông tin hơn không chỉ giúp nhà phân tích bảo mật hiểu toàn diện về bản chất và tác động tiềm ẩn của mối đe dọa được phát hiện mà việc dựa vào phân tích nâng cao cho phép mọi khía cạnh ảnh hưởng đến mức độ nghiêm trọng của cảnh báo.
Bằng cách đưa ra cảnh báo trước về mức độ nghiêm trọng của nó, công cụ XDR của Stellar Cyber có thể nhanh chóng và dễ dàng nhìn thấy tác động tiềm ẩn và khả năng bị khai thác. Tính năng tự động hóa này là chìa khóa để không chỉ xử lý lượng lớn dữ liệu mạng mà còn xác định những điểm bất thường và mối lo ngại thực sự cần khắc phục. Đánh giá lại mối quan hệ của tổ chức bạn với các cảnh báo mạng ngay hôm nay và xem cách Stellar hướng dẫn các nhóm bảo mật đạt được thời gian giải quyết nhanh hơn bao giờ hết.
