Stellar Cyber​​ Open XDR - 徽标
搜索
关闭此搜索框。

选择 NDR 解决方案时要考虑的关键功能

了解整个组织网络的状况对于确保用户、设备和服务器的安全至关重要。本文将介绍基于 AI 的网络检测和响应 (NDR) 技术如何巩固其作为网络安全未来的地位,以及哪些特定功能被证明最物有所值。

为什么需要 NDR 解决方案?

网络安全一直是最难控制的领域之一。如果不是因为当今许多服务都是分散的,即使是相对复杂的网络布局也可以通过简单的防火墙轻松保护。由于传统边界之外有如此多的设备,出现漏洞的可能性比以往任何时候都高。不仅仅是从您自己的防御中抽象出来的服务:员工始终依赖无线网络,而无线网络更容易受到窃听和未经授权的访问。无线通信的固有性质意味着保护这些网络需要始终保持警惕并采用先进的安全协议。

除了不断变化的网络环境之外,还需要应对来自牟取暴利的网络犯罪分子的不断变化的威胁。复杂的技术越来越多地在野外出现,而国家支持的攻击在当今地缘政治紧张局势下蓬勃发展。这些威胁通常利用合法的网络工具和配置来保持实际员工的连接,从而使他们更难以检测和防御。

因此,组织需要密切关注流经其技术堆栈的流量。输入 NDR 解决方案:这些工具通过 AI 持续跟踪后台发生的网络活动,使您能够更快地检测和响应相关的发展。学习关于 NDR 是什么.

NDR 的主要特点是什么?

鉴于 NDR 在确保设备间通信安全方面至关重要,因此,您选择的工具必须具备一系列功能,能够让您了解网络中难以触及的角落。然而,要知道哪些功能很重要,需要更深入地了解 NDR 如何保持您的防御能力。

深度包检测

网络活动有多种形式,但在应用程序级别,数据包才是王道。当数据通过网络发送时,它被分解成更易于管理的部分,称为数据包。就像一封信一样,每个数据包都包含要发送到的地址以及要传输的实际消息或数据。传统的数据包检查仅检查该数据的标头部分,其中仅包含有关目的地和发送者的信息。不幸的是,即使是简单的证书欺骗也能让攻击者绕过这种防御——这意味着在当今,深度数据包检测是安全 NDR 功能的最低标准。

深度数据包检测依赖于中央连接点和网络分流器:这允许完全访问数据包信息。不仅能够看到数据包标头,还能看到其附带的内容和协议,可以更深入地了解通过网络发送的内容。了解哪些应用程序、用户和设备正在传输哪些数据包,可以提供一种快速理解和优化网络的方法。

然而,DPI 有一些主要缺点。攻击者已经意识到了这些。例如,DPI 需要大量的处理能力,因为它会彻底检查每个数据包的数据段。因此,具有讽刺意味的是,DPI 实际上在高带宽网络中不太有用,因为它无法检查所有网络数据包。

组织越来越频繁地采用加密作为保护其网络通信和数字交互的手段。不幸的是,攻击者也是如此。 DPI 很难从加密的网络数据中收集大量信息,这意味着他们无法捕获勒索软件木马与其 C2 服务器之间的加密通信。

为了解决这个问题,您的 NDR 工具的工具包中需要包含的不仅仅是 DPI。

元数据分析

元数据分析 (MA) 放弃了 DPI 超特定的逐包方法,而是捕获有关网络通信、应用程序和参与者的完整属性,而无需深入研究每个数据包的整个有效负载。这就是 NDR 能够实现大部分最佳效果的方式 NDR 用例。

对于穿越网络的每个会话,都会记录全面的元数据;该元数据可以扩展以捕获各种关键属性,从而及时识别网络攻击。在最基本的层面上,这包括主机和服务器 IP 地址、端口号以及每个连接的地理位置详细信息。但元数据提供的信息远不止这些:DNS 和 DHCP 日志有助于将设备映射到 IP 地址,而网页访问的更多详细信息可以更清晰地了解正在进行的连接。域控制器日志有助于将用户链接到他们可能有权访问的系统。由于元数据的存在,甚至在加密的网页上,加密的 DPI 问题也得到了解决:从加密类型、密码、散列;客户端和服务器的完全限定域名;以及 JavaScript 和图像等各种对象的哈希值,所有这些网络数据都可以汇集到现代 NDR 中。

元数据分析可提供整个网络的可见性,使 MA 成为不受 DPI 保护的网络的最佳选择。即,更加分布式的高带宽网络。同时请注意,MA 不受加密的影响:这使其能够检测并防止隐藏在流量加密过程背后的高级网络攻击。对多源网络信息的关注更适合当今的跨功能和紧密集成的安全堆栈。

行为分析

我们已经介绍了应该收集哪些数据以及为什么收集数据,但没有介绍如何使用这些数据来更好地保护您的网络。过去,网络保护尝试的重点是将数据包信息与已知恶意软件攻击中存在的签名对齐。虽然这种方法总比没有好,但它会让您的网络容易遭受新的攻击。今天的攻击不允许犯任何错误——正如以下所证明的那样 最近针对 Change Healthcare 的勒索软件攻击造成了 22 万美元的勒索软件攻击,未来还会有更多勒索软件攻击.

行为分析是业界针对当今日益新颖的分布式攻击的答案。机器学习算法允​​许将所有这些元数据和数据包信息分组为更广泛的行为模式。这是通过两种不同的方式实现的:监督学习技术和无监督学习技术。受监督的机器学习可以查明各种威胁变体常见的基本行为(例如新部署的恶意软件通常会访问 C2 服务器),从而可以在不同的场景中进行一致的检测。另一方面,无监督机器学习算法在更大范围内筛选企业数据,根据观察到的数据执行数十亿次基于概率的计算。这些算法不依赖于先前的威胁知识,而是独立对数据进行分类并识别重要模式。

从本质上讲,无监督算法允许 NDR 工具建立网络正常情况的基线。然后,它们允许您的 SOC 团队看到突然出现的任何异常连接:如果它们突然从一个来源出现,这些可能是供应链攻击的指标;或者,如果发送到外部设备的数据多于平均水平,则可能是恶意或受损用户的证据。监督学习模型和无监督学习模型都很重要,因为它们共同涵盖了网络所需的全部行为分析。

威胁情报

与威胁情报源集成使 NDR 系统能够针对已知威胁、恶意 IP 地址和危害指标 (IoC) 交叉引用网络活动。这有助于 NDR 解决方案识别和检测更广泛的安全社区观察和记录的威胁。与 NDR 解决方案结合使用时,威胁情报源可充当快速、准确的上下文提供者。这远远超出了旧的基本恶意软件签名,具有市场领先的威胁情报源,包括最近攻击的策略、技术和程序及其影响。

此上下文信息有助于 NDR 解决方案更好地了解每个检测到的异常的性质,并就适当的响应做出更明智的决策。通过与 MITRE ATT&CK 框架的进一步集成,以及来自已经保证组织其他部分安全的工具的一些额外支持,可以加深对分析师的这种支持。

安全技术栈集成

您不会将安全分析师限制在一个平台上 - 正如第三方情报源提供有关威胁的背景信息一样,您更广泛的技术堆栈可以提供您自己的情况的定制视图。当 NDR 与您已有的端点检测和响应 (EDR) 以及安全信息和事件管理 (SIEM) 工具集成时,您的团队能够在与攻击者相同的多方面级别上执行操作。

以 MITRE ATT&CK 框架为例:虽然明确开发用于识别策略、技术和程序 (TTP),但 MITRE ATT&CK 对端点策略抱有重大偏见。因此,EDR 经历了跨行业重大投资的阶段。这是完全可以理解的:将您的工具与行业领先的框架相匹配是朝着正确方向迈出的一步。尽管如此,密切关注漏洞利用的现实仍然至关重要。当攻击活动结束时,从网络角度来看,许多关键技术实际上更容易检测。在后期攻击的同一时间范围内,时间以令人难以置信的速度流逝 - 通过降低网络活动的重要性,一些组织实际上正在削弱其在最关键时刻的安全响应潜力。分析和关联来自端点和网络源的数据使分析师能够获得全方位的可见性。

使用 Stellar Cyber​​ 自动化网络检测和响应

当 NDR 检测到网络内的可疑或恶意活动时,需要以最大的清晰度和效率将该数据传送给您的安全团队。在重大安全事件中,每一秒都很重要。传统上,基于网络的警报将与其他所有警报一样发送到相同的警报列表,从而导致积压数英里,从而占用安全分析师有限的工作时间中越来越多的宝贵时间。现代 NDR 认识到无休止的警报流会以自己的方式损害组织安全:相反,它们的目标是将单个问题整理成更广泛的上下文警报。

通过连接到更广泛的防御工具套件,自动化 NDR 解决方案可以承担一些当今拖慢安全团队速度的繁忙工作。自动手动分类仍然是令人震惊的线性且缓慢。因此,虽然多方面的响应能够将威胁检测推向新的高度,但薄弱环节仍然是分析师在同一时间只能处理这么多信息。输入,算法。

这种日益全面的安全方法是扩展检测和响应的基础。新阶段的网络安全旨在通过自动化利用触手可及的大量信息,而不是向分析师提供越来越多的工具、仪表板和警报。

Stellar Cyber​​ 的 Open XDR 平台采用隔离 NDR 的功能,并将其与 EDR 和自动化算法结合起来。这样,您的安全性就不仅仅是对技术堆栈的每个隔离区域进行肤浅的分析:相反,可以将来自一台设备的警报与与其关联的网络活动进行比较和对比。更多信息不仅可以帮助安全分析师全面了解检测到的威胁的性质和潜在影响,而且对高级分析的依赖可以让各个方面影响警报的严重级别。

通过预先烘焙警报的严重性,Stellar Cyber​​ 的 XDR 工具能够快速、轻松地了解潜在影响和被利用的可能性。这种自动化不仅是处理大量网络数据的关键,也是识别真正需要修复的异常和问题的关键。今天重新评估您的组织与网络警报的关系 了解 Stellar 如何指导安全团队比以往更快地解决问题.
滚动到顶部