选择 NDR 解决方案时要考虑的关键功能
为什么需要 NDR 解决方案?
网络安全一直是最难掌控的领域之一。如果不是因为如今许多服务都是分散的,即使是相对复杂的网络布局,只需一个简单的防火墙就能轻松保障安全。由于传统边界之外存在如此多的设备,出现漏洞的可能性比以往任何时候都高。而且,不仅仅是那些脱离自身防御体系的服务:员工也始终依赖于更容易受到窃听和未经授权访问的无线网络。无线通信的固有特性意味着,要保护这些网络的安全,需要持续的警惕和先进的安全协议。
除了不断变化的网络格局外,我们还需应对来自牟取暴利的网络犯罪分子不断演变的威胁。日益复杂的技术在野外日益常见,而在当今的地缘政治紧张局势下,国家支持的攻击也日益猖獗。这些威胁通常利用合法的网络工具和配置来保持实际员工的连接,使其更难被发现和防御。
因此,组织需要密切关注其技术栈中的流量。NDR 解决方案应运而生:这些工具利用人工智能持续跟踪引擎盖下的网络活动,让您能够更快地检测并响应相关动态。了解 NDR 是什么.
NDR 的主要特点是什么?
深度包检测
网络活动有多种形式,但在应用程序级别,数据包才是王道。当数据通过网络发送时,它被分解成更易于管理的部分,称为数据包。就像一封信一样,每个数据包都包含要发送到的地址以及要传输的实际消息或数据。传统的数据包检查仅检查该数据的标头部分,其中仅包含有关目的地和发送者的信息。不幸的是,即使是简单的证书欺骗也能让攻击者绕过这种防御——这意味着在当今,深度数据包检测是安全 NDR 功能的最低标准。
深度数据包检测依赖于中央连接点和网络分流器:这允许完全访问数据包信息。不仅能够看到数据包标头,还能看到其附带的内容和协议,可以更深入地了解通过网络发送的内容。了解哪些应用程序、用户和设备正在传输哪些数据包,可以提供一种快速理解和优化网络的方法。
然而,DPI 有一些主要缺点。攻击者已经意识到了这些。例如,DPI 需要大量的处理能力,因为它会彻底检查每个数据包的数据段。因此,具有讽刺意味的是,DPI 实际上在高带宽网络中不太有用,因为它无法检查所有网络数据包。
组织越来越频繁地采用加密作为保护其网络通信和数字交互的手段。不幸的是,攻击者也是如此。 DPI 很难从加密的网络数据中收集大量信息,这意味着他们无法捕获勒索软件木马与其 C2 服务器之间的加密通信。
为了解决这个问题,您的 NDR 工具的工具包中需要包含的不仅仅是 DPI。
元数据分析
元数据分析 (MA) 放弃了 DPI 超特定的逐包方法,而是捕获有关网络通信、应用程序和参与者的完整属性,而无需深入研究每个数据包的整个有效负载。这就是 NDR 能够实现大部分最佳效果的方式 NDR 用例。
对于穿越网络的每个会话,都会记录全面的元数据;该元数据可以扩展以捕获各种关键属性,从而及时识别网络攻击。在最基本的层面上,这包括主机和服务器 IP 地址、端口号以及每个连接的地理位置详细信息。但元数据提供的信息远不止这些:DNS 和 DHCP 日志有助于将设备映射到 IP 地址,而网页访问的更多详细信息可以更清晰地了解正在进行的连接。域控制器日志有助于将用户链接到他们可能有权访问的系统。由于元数据的存在,甚至在加密的网页上,加密的 DPI 问题也得到了解决:从加密类型、密码、散列;客户端和服务器的完全限定域名;以及 JavaScript 和图像等各种对象的哈希值,所有这些网络数据都可以汇集到现代 NDR 中。
元数据分析可提供整个网络的可见性,使 MA 成为不受 DPI 保护的网络的最佳选择。即,更加分布式的高带宽网络。同时请注意,MA 不受加密的影响:这使其能够检测并防止隐藏在流量加密过程背后的高级网络攻击。对多源网络信息的关注更适合当今的跨功能和紧密集成的安全堆栈。
行为分析
我们已经介绍了应该收集哪些数据以及为什么收集数据,但没有介绍如何使用这些数据来更好地保护您的网络。过去,网络保护尝试的重点是将数据包信息与已知恶意软件攻击中存在的签名对齐。虽然这种方法总比没有好,但它会让您的网络容易遭受新的攻击。今天的攻击不允许犯任何错误——正如以下所证明的那样 最近针对 Change Healthcare 的勒索软件攻击造成了 22 万美元的勒索软件攻击,未来还会有更多勒索软件攻击.
行为分析是业界针对当今日益新颖的分布式攻击的答案。机器学习算法允许将所有这些元数据和数据包信息分组为更广泛的行为模式。这是通过两种不同的方式实现的:监督学习技术和无监督学习技术。受监督的机器学习可以查明各种威胁变体常见的基本行为(例如新部署的恶意软件通常会访问 C2 服务器),从而可以在不同的场景中进行一致的检测。另一方面,无监督机器学习算法在更大范围内筛选企业数据,根据观察到的数据执行数十亿次基于概率的计算。这些算法不依赖于先前的威胁知识,而是独立对数据进行分类并识别重要模式。
本质上,无监督算法允许网络降噪工具建立网络正常状态的基线。然后,它们允许您 SOC 团队需要密切关注任何突然出现的异常连接:如果这些连接突然源自同一来源,则可能表明供应链遭到攻击;或者,如果发送到外部设备的数据量异常增加,则可能表明存在恶意用户或系统已被入侵。监督学习模型和非监督学习模型都非常重要,因为它们共同涵盖了网络所需的所有行为分析。
威胁情报
与威胁情报源集成使 NDR 系统能够针对已知威胁、恶意 IP 地址和危害指标 (IoC) 交叉引用网络活动。这有助于 NDR 解决方案识别和检测更广泛的安全社区观察和记录的威胁。与 NDR 解决方案结合使用时,威胁情报源可充当快速、准确的上下文提供者。这远远超出了旧的基本恶意软件签名,具有市场领先的威胁情报源,包括最近攻击的策略、技术和程序及其影响。
此上下文信息有助于 NDR 解决方案更好地了解每个检测到的异常的性质,并就适当的响应做出更明智的决策。通过与 MITRE ATT&CK 框架的进一步集成,以及来自已经保证组织其他部分安全的工具的一些额外支持,可以加深对分析师的这种支持。
安全技术栈集成
你不会将安全分析师的工作范围限制在单一平台上——正如第三方情报源可以提供有关现有威胁的背景信息一样,你更广泛的技术堆栈可以提供定制化的自身安全环境视图。当 NDR 与端点检测与响应 (EDR) 以及安全信息和事件管理 (SIEM) 集成时,SIEM凭借您已有的工具,您的团队能够达到与攻击者相同的多方面水平。
以 MITRE ATT&CK 框架为例:虽然明确开发用于识别策略、技术和程序 (TTP),但 MITRE ATT&CK 对端点策略抱有重大偏见。因此,EDR 经历了跨行业重大投资的阶段。这是完全可以理解的:将您的工具与行业领先的框架相匹配是朝着正确方向迈出的一步。尽管如此,密切关注漏洞利用的现实仍然至关重要。当攻击活动结束时,从网络角度来看,许多关键技术实际上更容易检测。在后期攻击的同一时间范围内,时间以令人难以置信的速度流逝 - 通过降低网络活动的重要性,一些组织实际上正在削弱其在最关键时刻的安全响应潜力。分析和关联来自端点和网络源的数据使分析师能够获得全方位的可见性。
使用 Stellar Cyber 自动化网络检测和响应
当 NDR 检测到网络内的可疑或恶意活动时,需要以最大的清晰度和效率将该数据传送给您的安全团队。在重大安全事件中,每一秒都很重要。传统上,基于网络的警报将与其他所有警报一样发送到相同的警报列表,从而导致积压数英里,从而占用安全分析师有限的工作时间中越来越多的宝贵时间。现代 NDR 认识到无休止的警报流会以自己的方式损害组织安全:相反,它们的目标是将单个问题整理成更广泛的上下文警报。
通过连接到更广泛的防御工具套件,自动化 NDR 解决方案可以承担一些当今拖慢安全团队速度的繁忙工作。自动手动分类仍然是令人震惊的线性且缓慢。因此,虽然多方面的响应能够将威胁检测推向新的高度,但薄弱环节仍然是分析师在同一时间只能处理这么多信息。输入,算法。
这种日益全面的安全方法是扩展检测和响应的基础。新阶段的网络安全旨在通过自动化利用触手可及的大量信息,而不是向分析师提供越来越多的工具、仪表板和警报。
恒星网络 Open XDR 该平台将独立的网络检测与响应 (NDR) 功能与事件检测与响应 (EDR) 和自动化算法相结合。这样一来,您的安全防护不再局限于对技术栈中每个孤立区域的浅层分析:而是可以将来自单个设备的警报与相关的网络活动进行对比分析。更多信息不仅有助于安全分析师全面了解检测到的威胁的性质和潜在影响,而且对高级分析的依赖还能让各个方面都影响警报的严重程度。
通过预先设置警报的严重程度,Stellar Cyber 的 XDR 工具能够快速便捷地识别潜在影响和被利用的可能性。这种自动化不仅对于处理海量网络数据至关重要,而且对于识别真正需要修复的异常情况和问题也至关重要。立即重新评估贵组织与网络警报的关系。 了解 Stellar 如何指导安全团队比以往更快地解决问题.
