NDR so với EDR: Sự khác biệt chính
Phát hiện và phản hồi mạng (NDR) là một phần ngày càng không thể thiếu của bộ công cụ an ninh mạng: chúng cung cấp khả năng hiển thị sâu vào các hoạt động nội bộ của mạng và khám phá nội dung gói tin đang truyền giữa các thiết bị. Mặt khác, Phát hiện và phản hồi điểm cuối (EDR) tập trung hoàn toàn vào việc khám phá các quy trình riêng lẻ xảy ra trong từng thiết bị điểm cuối của tổ chức.
Mặc dù chúng dựa trên các cơ chế phân tích và lập hồ sơ mối đe dọa tương tự, nhưng cách triển khai và trường hợp sử dụng của chúng lại rất khác biệt. Bài viết này sẽ đề cập đến sự khác biệt và đề cập đến cách EDR và NDR thường được triển khai cùng nhau.
Giải pháp NDR của Gartner® Magic Quadrant™
Xem lý do tại sao chúng tôi là nhà cung cấp duy nhất được xếp vào nhóm Challenger...
Trải nghiệm hoạt động bảo mật được hỗ trợ bởi AI!
Khám phá AI tiên tiến của Stellar Cyber để phát hiện mối đe dọa ngay lập tức...
NDR là gì?
NDR là một công cụ giám sát tương tác giữa các thiết bị trên mạng nội bộ của một tổ chức. Công cụ này triển khai các cảm biến trên khắp các mạng của tổ chức, giám sát những thiết bị nào đang tương tác với nó và phân tích dữ liệu mà chúng gửi đến các đối tác và máy chủ bên ngoài.
Điều này có vẻ giống như tường lửa: trong khi tường lửa phân tích lưu lượng truy cập vào hoặc ra khỏi mạng – được gọi là lưu lượng truy cập Bắc-Nam – thì nó không cung cấp khả năng hiển thị lưu lượng truy cập giữa các thiết bị nội bộ. NDR cho phép giám sát lưu lượng truy cập nội bộ hoặc Đông-Tây của mạng: nó cung cấp khả năng hiển thị mạng sâu hơn mà không cần yêu cầu cấu hình nặng nề.
Dữ liệu thô được thu thập bởi hệ thống NDR bao gồm:
- Các gói mạng thô: Được thu thập trực tiếp từ lưu lượng mạng qua các cổng SPAN, TAP hoặc cảm biến chuyên dụng. Các gói này cung cấp khả năng hiển thị giao dịch đầy đủ, bao gồm tiêu đề giao thức và siêu dữ liệu liên quan đến tải trọng.
- Bản ghi lưu lượng: Các định dạng siêu dữ liệu như NetFlow hoặc IPFIX tóm tắt các mẫu giao tiếp, bao gồm địa chỉ IP nguồn và đích, số cổng, giao thức và số lượng byte.
- Siêu dữ liệu lưu lượng truy cập: Có nguồn gốc từ phân tích gói tin, thông tin này bao gồm thời lượng phiên, tần suất giao tiếp, mô hình hành vi của thiết bị và dữ liệu từ các giao thức lớp ứng dụng.
Tất cả dữ liệu này sau đó được đưa vào công cụ phân tích riêng của công cụ NDR và được xử lý để tìm dấu hiệu của lưu lượng truy cập độc hại. Để tối đa hóa cơ hội phát hiện mối đe dọa thành công, NDR sử dụng hai chiến lược phân tích:
Phân tích mạng dựa trên chữ ký
Khi mỗi điểm dữ liệu mạng riêng lẻ được lắp ráp thành biểu đồ chuỗi thời gian, các hoạt động của từng thiết bị có thể được lập bản đồ so với các mối đe dọa đã biết. Phát hiện dựa trên chữ ký hợp nhất các hành vi tấn công cấp độ mạng cụ thể thành các Chỉ số xâm phạm (IoC), được lưu trữ trên cơ sở dữ liệu riêng của NDR.
Chữ ký ám chỉ bất kỳ thuộc tính nhận dạng nào được liên kết với một cuộc tấn công mạng đã biết—đây có thể là một đoạn mã từ một biến thể phần mềm độc hại cụ thể hoặc một dòng chủ đề dễ nhận biết từ một email lừa đảo. Các công cụ phát hiện dựa trên chữ ký sẽ quét hoạt động mạng để tìm các mẫu đã biết này và kích hoạt cảnh báo khi tìm thấy kết quả trùng khớp.
Giám sát IOC vốn có tính phản ứng. Khi phát hiện ra IOC, thông thường là dấu hiệu cho thấy vi phạm đã xảy ra. Tuy nhiên, nếu hoạt động độc hại vẫn đang diễn ra, việc phát hiện sớm IOC có thể đóng vai trò quan trọng trong việc ngăn chặn cuộc tấn công, cho phép ngăn chặn nhanh hơn và giảm thiểu thiệt hại tiềm tàng cho tổ chức.
Phân tích mạng lưới hành vi
Bên cạnh phát hiện dựa trên chữ ký, hầu hết NDR cũng cung cấp phân tích hành vi. Điều này thu thập tất cả các điểm dữ liệu, nhưng thay vì so sánh chúng một cách tĩnh với cơ sở dữ liệu rủi ro bên ngoài, nó sử dụng chúng để xây dựng đường cơ sở hành vi.
Đường cơ sở này biểu thị hoạt động bình thường: nó sắp xếp các thiết bị và người dùng theo tần suất giao tiếp, khối lượng dữ liệu và cách sử dụng giao thức của họ. Khi các kiểu hành vi dự kiến này đã được xác định, các giải pháp NDR có thể xác định hiệu quả các sai lệch có thể báo hiệu mối đe dọa tiềm ẩn. Có thể có sự khác biệt giữa hành vi giao thức dự kiến và thực tế, và hoạt động ứng dụng bất thường trong giờ ngoài giờ. NDR cũng có thể tích hợp với các công cụ bảo mật khác để có được bức tranh đầy đủ hơn về hoạt động mạng bình thường của một tổ chức.
Nhìn chung, cả phát hiện mối đe dọa dựa trên hành vi và chữ ký đều cho phép NDR không chỉ cung cấp khả năng hiển thị toàn diện theo hướng Đông-Tây mà còn phát hiện toàn diện mối đe dọa ở cấp độ mạng.
EDR là gì?
- Dữ liệu thực hiện quy trình: Chi tiết về tất cả các tiến trình đang chạy, bao gồm mối quan hệ cha-con, đối số dòng lệnh và dấu thời gian thực thi.
- Thay đổi hệ thống tập tin: Tạo, sửa đổi, xóa và kiểm tra tính toàn vẹn của tệp (bao gồm cả hàm băm tệp và nguồn tải xuống).
- Sửa đổi sổ đăng ký: Thay đổi khóa sổ đăng ký Windows và cài đặt cấu hình quan trọng đối với hoạt động của hệ thống.
- Tài khoản người dùng: Tất cả tài khoản người dùng đã đăng nhập, cả trực tiếp và từ xa
- Cấu hình hệ thống: Các ứng dụng đã cài đặt, trạng thái dịch vụ và dữ liệu tuân thủ chính sách bảo mật.
Giống như các cảm biến NDR, các tác nhân EDR liên tục truyền dữ liệu thô đến một nền tảng tập trung, tại đó các mô hình máy học sẽ phân tích dữ liệu để tìm ra các bất thường như chuỗi quy trình trái phép, liên lạc mạng đáng ngờ hoặc thay đổi sổ đăng ký liên quan đến các kỹ thuật tấn công đã biết.
EDR so với NDR: Các trường hợp sử dụng khác nhau
Bảo mật IoT
Các cảm biến NDR thường dựa trên các cổng SPAN – chúng hoạt động bằng cách tạo các bản sao của mỗi gói tin đi qua mạng của chúng. Các bản sao này sau đó được chuyển tiếp đến các công cụ giám sát của NDR: quá trình sao chép thông tin tình báo gói tin này, thay vì chuyển tiếp tất cả các gói tin gốc đến công cụ phân tích, ngăn chặn sự nhiễu loạn đến mạng máy chủ.
Bên cạnh việc bảo vệ các mạng nhạy cảm, thiết lập này cho phép theo dõi và bảo mật các hoạt động mạng của các thiết bị Internet vạn vật (IoT). IoT thường quá nhẹ và quá nhiều để có thể cài đặt các tác nhân trên đó, khiến chúng trở thành mối đe dọa bảo mật hiện đã nổi tiếng. Mật khẩu yếu, cài đặt mặc định kém và thiếu nghiêm trọng các tùy chọn quản lý thiết bị đã khiến các thiết bị IoT cực kỳ khó giữ an toàn - nhưng vì các công cụ NDR nắm bắt mọi thông tin liên lạc mạng - nên có thể theo dõi hành vi Đông-Tây của IoT. Hơn nữa, vì lưu lượng đáng ngờ giữa các thiết bị IoT và mạng rộng hơn của chúng có thể được ánh xạ tới các mối đe dọa đã biết, nên Thời gian phản hồi trung bình được tăng tốc đáng kể.
Bảo vệ nhân viên từ xa
EDR cung cấp khả năng giám sát liên tục, phát hiện mối đe dọa và phản hồi tự động trực tiếp tại điểm cuối. Điều này đặc biệt quan trọng vì các điểm cuối từ xa không phải lúc nào cũng có thể giới hạn ở các mạng và thiết bị ngoại vi cụ thể. Nếu không có biện pháp bảo vệ này, nhân viên lai có nguy cơ trở thành tác nhân lây nhiễm khi họ kết nối lại các thiết bị từ xa với mạng của tổ chức.
Hơn nữa, khi phát hiện sự kiện bảo mật trên thiết bị từ xa, EDR có thể khởi tạo playbook phản hồi theo các yếu tố xung quanh. Ví dụ, nếu tìm thấy một tập hợp IoC chỉ ra phần mềm tống tiền, nó có thể cô lập các thiết bị bị ảnh hưởng trước khi nó lây lan.
Phát hiện chuyển động bên
NDR so với EDR: Sự khác biệt trong nháy mắt
|
Tính năng / Khả năng |
NDR |
BDU |
| Khu vực tiêu điểm |
Giám sát lưu lượng mạng và truyền thông. |
Giám sát từng thiết bị đầu cuối (ví dụ: máy tính xách tay, máy chủ). |
| Nguồn dữ liệu | Gói mạng, bản ghi luồng (NetFlow/IPFIX), siêu dữ liệu. | Nhật ký hệ thống, hoạt động của tệp, hành vi của quy trình, thay đổi sổ đăng ký. |
| Phạm vi hiển thị | Khả năng hiển thị rộng rãi trên toàn mạng lưới. | Khả năng hiển thị sâu ở cấp độ thiết bị. |
| Phương pháp phát hiện mối đe dọa | Phát hiện bất thường, phân tích hành vi, kiểm tra lưu lượng được mã hóa. | Phân tích tệp, giám sát hành vi, phát hiện dựa trên chữ ký. |
| Trường hợp sử dụng | Chuyển động ngang, giao thông chỉ huy và kiểm soát, rò rỉ dữ liệu. | Nhiễm phần mềm độc hại, mối đe dọa nội bộ, nỗ lực khai thác. |
| Khả năng đáp ứng | Cảnh báo và tích hợp với SIEM/SOAR; khả năng khắc phục trực tiếp hạn chế. | Tự động ngăn chặn mối đe dọa (ví dụ: hủy quy trình, cô lập thiết bị). |
| Kịch bản triển khai | Mạng doanh nghiệp có nhiều thiết bị được kết nối. | Lực lượng lao động từ xa, môi trường BYOD, điểm cuối có rủi ro cao. |
| Yêu cầu triển khai | Thông thường không cần tác nhân; sử dụng các cảm biến mạng như tap và cổng SPAN. | Yêu cầu phải cài đặt tác nhân trên mỗi thiết bị đầu cuối được giám sát. |
Tích hợp EDR với NDR thông qua Stellar Cyber
Vì hai công cụ này hoạt động song song rất tốt nên chúng thường được triển khai cùng nhau. Điều này làm tăng tầm quan trọng của khả năng tích hợp của từng công cụ, vì thông tin thu được từ mỗi công cụ có thể tăng tốc đáng kể MTTR. Stellar Cyber thể hiện khả năng kết hợp này với mởXDR sản phẩm – tích hợp với bất kỳ EDR nào, nó sẽ tiến hành Kiểm tra gói tin sâu (DPI) cùng với hộp cát phần mềm độc hại để phát hiện và ngăn chặn phần mềm độc hại luôn hoạt động, ngay từ ngày đầu.
OpenXDR liên kết các cảnh báo cấp độ mạng với các cảnh báo được tạo ra bởi các công cụ bảo mật của riêng tổ chức thành các sự cố có thể truy cập được. Thay vì lấp đầy quy trình làm việc của các nhà phân tích bằng các cảnh báo vô tận, Stellar chủ động sắp xếp và lọc chúng thành các yêu cầu hành động ngay lập tức. Khám phá cách OpenXDR có thể cung cấp khả năng phản hồi chủ động cho nhóm bảo mật của bạn với bản demo ngày hôm nay.
