- +48 737 185 903
- +48 737 185 902
- +48 727 790 662
- Pn - Pt: 9.00 - 17.00
Szukasz rozwiązania? | Potrzebujesz konsultacji? | Skontaktuj się!
Obecnie osoby zajmujące się bezpieczeństwem w IT stoją przed niezliczonymi wyborami, jeśli chodzi o budowanie nowoczesnego zestawu cyberzabezpieczeń.
Jednym z często pomijanych aspektów bezpieczeństwa jest wykrywanie i reagowanie na zagrożenia w sieci – NDR. Rozwiązania NDR w zakresie cyberbezpieczeństwa nie są nowością. Niestety ze względu na pozorną złożoność wdrażania, konserwacji i użytkowania wielu administratorów obniża priorytet temu rozwiązaniu w swoim zestawie zabezpieczeń, zakładając, że inne produkty zabezpieczające związane z siecią mogą uchronić ich sieci przed zagrożeniami.
Technologie wykrywania i reagowania na incydenty w sieci mają na celu identyfikację zagrożeń w infrastrukturze sieciowej i umożliwienie analitykom cyberbezpieczeństwa szybkiego podejmowania zdecydowanych działań w celu ograniczenia ryzyka groźnego naruszenia. W przeciwieństwie do innych technologii sieciowych, które wymagają od administratorów bardzo wysokich kompetencji w dziedzinie funkcjonowania sieci informatycznych, osoby zajmujące się bezpieczeństwem IT posiadający podstawową wiedzę specjalistyczną mogą z łatwością zacząć korzystać z produktów NDR.
Każda sieć informatyczna jest centralnym układem nerwowym całej organizacji. W przeszłości uważano, że wdrożenie firewalla zapewnia wystarczające bezpieczeństwo sieci. Jednakże dostawcy rozwiązań wprowadzili nowe mechanizmy bezpieczeństwa w celu lepszej ochrony sieci i udoskonalenia metod zwalczania ataków. Systemy wykrywania włamań lub zapobiegania włamaniom zwiększyły zdolność zapory ogniowej do zapobiegania skutecznym cyberatakom, biorąc pod uwagę ataki oparte na znanych sygnaturach sieciowych, większość produktów IDS/IPS stała się dla atakujących sporą uciążliwością.
Ponieważ dostawcy zabezpieczeń dostosują się do wyzwań ze strony atakujących, wprowadzono nowy typ produktu, znany jako analiza ruchu sieciowego (NTA). Jak sugeruje nazwa, produkty NTA analizują zawartość i metryki ruchu pomiędzy zasobami organizacji oraz ruchem do i ze źródeł zewnętrznych. Administrator może zagłębić się w szczegóły nietypowych wzorców, aby określić, czy potrzebne są działania naprawcze. Jako uzupełnienie i rozszerzenie powyższych funkcjonalności powstał właśnie NDR. NDR łączy najlepsze funkcje IDS/IPS, NTA i inne funkcje bezpieczeństwa sieci w jednym rozwiązaniu do ochrony sieci.
Produkty NDR zapewniają całościowy obraz zagrożeń bezpieczeństwa w sieci. Wykorzystując kombinację znanych sygnatur sieciowych, analiz bezpieczeństwa i analizy zachowań, raporty NDR mogą szybko i skutecznie wykrywać zagrożenia. Rozwiązania NDR mogą nie tylko analizować zawartość ruchu sieciowego, ale także identyfikować anomalną aktywność poprzez analizę metadanych ruchu sieciowego. Jest to korzystne w przypadku ruchu zaszyfrowanego, gdzie odszyfrowanie w czasie rzeczywistym przez produkt NDR może być niemożliwe.
Atakujący szukają wszelkich słabych punktów w środowisku organizacji, które mogą wykorzystać. Chociaż punkty końcowe są popularną powierzchnią ataku dla większości atakujących, coraz częściej szukają oni sposobów na maskowanie swoich cyberzagrożeń w zwykłym ruchu sieciowym. Podejście to zyskuje na popularności ze względu na postrzeganą złożoność związaną z monitorowaniem, analizowaniem i wykrywaniem zagrożeń przemieszczających się przez sieć. W przeszłości identyfikacja zagrożeń w ruchu sieciowym wymagała zasobów posiadających duże doświadczenie w konfigurowaniu, utrzymywaniu i monitorowaniu ruchu sieciowego. Obecnie krajobraz cyberbezpieczeństwa jest zupełnie inny, dzięki czemu ochrona sieci jest znacznie bardziej dostępna dla wszystkich specjalistów ds. bezpieczeństwa.
Jak zapewne zgodzi się większość specjalistów ds. cyberbezpieczeństwa, większość ataków w taki czy inny sposób dotyka sieci. Ostatnie badania sugerują, że 99% udanych ataków można wykryć w ruchu sieciowym, a wiele z nich można zidentyfikować i złagodzić, zanim osoba atakująca wykorzysta to z negatywnym skutkiem dla organizacji. Nowoczesne rozwiązania w zakresie ochrony sieci sprawiają, że ochrona sieci jest znacznie bardziej dostępna dla każdego specjalisty ds. bezpieczeństwa, ponieważ ich funkcje oraz obsługa są coraz bardziej intuicyjne. W połączeniu ze wzrostem zautomatyzowanych możliwości dostępnych w większości rozwiązań, identyfikacja zagrożeń w sieci jest teraz łatwiejsza niż kiedykolwiek wcześniej. W przypadku większości zespołów ds. bezpieczeństwa nawet osoby nieposiadające kompleksowej wiedzy o sieciach mogą wdrożyć rozwiązanie NDR w swoim portfolio zabezpieczeń i zacząć identyfikować zagrożenia w miarę przemieszczania się między zasobami sieciowymi oraz do i z sieci przy niewielkiej interwencji człowieka. Włączając NDR do stosowanych zabezpieczeń, zespoły ds. bezpieczeństwa mogą również uzyskać ogromne korzyści strategiczne i taktyczne, które wykraczają poza zwykłą identyfikację zagrożeń w sieci.
Wdrażając NDR w swoim środowisku postępujesz zgodnie z najlepszymi praktykami podejścia do cyberbezpieczeństwa, które między innymi zawarte zostały w koncepcji triady widoczności SOC przedstawionej przez Gartnera. Chociaż platformy ochrony punktów końcowych oraz rozwiązania do wykrywania i reagowania na punkty końcowe są przeznaczone na przykład do identyfikowania zagrożeń na punktach końcowych, zazwyczaj są one ślepe na zagrożenia przemieszczające się w sieci. Podobnie produkty zapobiegające utracie danych bardzo dobrze identyfikują moment przeniesienia ważnych danych z danej lokalizacji. Jednak nie są one zbyt dobre w wychwytywaniu krytycznych informacji przechodzących przez sieć, zwłaszcza jeśli są zaciemnione w zwykłym ruchu sieciowym. W tej sytuacji produkty zabezpieczające NDR mogą potencjalnie zwiększyć zdolność zespołu ds. bezpieczeństwa do zmniejszenia ryzyka skutecznego cyberataku. Podobnie jak inne wymienione produkty służą do wykrywania zagrożeń w konkretnym zasobie lub typie danych, NDR koncentruje się wyłącznie na zrozumieniu ruchu sieciowego w sposób, w jaki żaden inny produkt zabezpieczający nie jest w stanie tego zrobić. Umożliwiając szybką analizę ruchu sieciowego w czasie rzeczywistym, produkty zabezpieczające NDR mogą wykrywać potencjalne zagrożenia w ruchu sieciowym, które mogły pozostać niezauważone.
Po wykryciu zagrożeń informacje te można łatwo udostępnić na platformie SIEM lub XDR w celu powiązania z innymi zagrożeniami, z których niektóre można uznać za słaby sygnał. Dzięki ciągłemu przepływowi zagrożeń sieciowych, które są obecnie analizowane wraz z innymi danymi istotnymi dla bezpieczeństwa, zespoły ds. bezpieczeństwa zyskają bardziej całościowy obraz zagrożeń w całym środowisku sieciowym. Na przykład napastnicy często przeprowadzają ataki wielowektorowe na swoje cele, na przykład inicjując kampanię e-mailową phishingową skierowaną przeciwko wielu pracownikom, jednocześnie próbując wykorzystać znaną lukę wykrytą gdzieś w sieci. Badane oddzielnie, można je uznać za element ataku ukierunkowanego o niższym priorytecie. Dzięki wdrożeniu NDR w połączeniu z XDR ataki te nie są już badane w izolacji. Zamiast tego można je skorelować i uzupełnić odpowiednimi informacjami kontekstowymi, co znacznie ułatwia ustalenie, czy są ze sobą powiązane. Ten dodatkowy krok, który w większości przypadków może nastąpić automatycznie, oznacza, że analitycy bezpieczeństwa stają się bardziej produktywni i wydajni bez większego wysiłku.
Przy tak dużej liczbie produktów i usług związanych z cyberbezpieczeństwem zapewniających podobne korzyści wielu osobom odpowiedzialnym za cyberbezpieczeństwo może być trudno zdecydować, które produkty wdrożyć, aby uzyskać dodatkowe korzyści. Dotyczy to także NDR, dlatego aby pomóc zrozumieć specyfikę oraz funkcjonalności tych rozwiązań, poniżej przedstawiamy różnice między NDR, EDR i XDR.
Rozwiązania EDR muszą zapewniać następujące możliwości, aby zapewnić niezbędną ochronę obszaru, na którym się skupiają, czyli urządzeń końcowych:
Rozwiązania z rozszerzonym wykrywaniem i reagowaniem to jedna z najnowszych technologii na rynku, zrodzona z potrzeby ułatwienia zespołom ds. bezpieczeństwa zapewniania ciągłych wyników w zakresie bezpieczeństwa w całym przedsiębiorstwie.
Podsumowując, zarówno produkty NDR, jak i EDR stanowią ostatecznie wkład w platformę XDR, która umożliwia działom IT przeprowadzanie dochodzeń w sprawie cyberbezpieczeństwa szybciej i skuteczniej niż kiedykolwiek.
Częstym wyzwaniem dla osób zajmujących się cyberbezpieczeństwem jest zrozumienie, kiedy atakujący porusza się ruchem bocznym w infrastrukturze. Na przykład, jeśli osoba atakująca pomyślnie złamie konto użytkownika lub punkt końcowy bez wykrycia, kolejnym logicznym krokiem dla osoby atakującej będzie próba dalszego wejścia w środowisko. Załóżmy, że atakujący przenosi się z jednego urządzenia na drugie w trybie ukrytym. W takim przypadku atakujący może odkryć, gdzie w środowisku znajdują się wrażliwe informacje, co w przypadku dodatkowego wykorzystania oprogramowania ransomware może zwiększyć skuteczność ataku.
Poruszając się po sieci, atakujący mogą również zidentyfikować podatną na ataki aplikację lub usługę, która umożliwi im późniejsze otwarcie „tylnych drzwi” i ponowne wejście do środowiska w dowolnym momencie. Co więcej, aby zachować trwałość środowiska, wielu atakujących będzie próbowało eskalować uprawnienia konta użytkownika, które zostało zaatakowane, do uprawnień administratora, dając im wolną rękę w zakresie wprowadzania zmian w środowisku, potencjalnego wyłączania niektórych funkcji zabezpieczeń, usuwania dzienników, które może pozostawić informacje, które zespoły bezpieczeństwa mogłyby wykorzystać do realizacji dochodzeń.
Dzięki raportowi NDR monitorującemu aktywność sieciową w czasie rzeczywistym, działy IT mogą szybko zidentyfikować podejrzaną aktywność między zasobami sieciowymi oraz nieprawidłowe wzorce ruchu z ich sieci do świata zewnętrznego. Produkty NDR korelują to nietypowe działanie z działaniami użytkownika, które mogą uwypuklić, kiedy osoba atakująca swobodnie porusza się po zasobach sieciowych.
Inna sytuacja w jakiej wykorzystywane są rozwiązania NDR wiąże się z naruszeniem poświadczeń. Niestety, obecnie osoba atakująca może uzyskać prawidłowe dane uwierzytelniające użytkownika na wiele sposobów, od zakupu ich w darknecie po nakłonienie nieświadomego pracownika do dobrowolnego podania swoich danych uwierzytelniających w odpowiedzi na fałszywy e-mail lub za pośrednictwem złośliwej witryny internetowej. Gdy osoba atakująca uzyska poświadczenia, uzyskanie dostępu do środowiska stanie się dla niego łatwe.
Po wejściu do organizacji osoba atakująca może przeprowadzić dowolną liczbę złośliwych działań, takich jak wykorzystanie oprogramowania ransomware, usunięcie danych o znaczeniu krytycznym lub ujawnienie poufnych informacji. Produkty NDR ułatwiają wykrywanie naruszonych danych uwierzytelniających ze względu na charakter działania NDR. Na przykład, jeśli wykryto, że pracownik z Europy loguje się z Chin. W takim przypadku rozwiązanie NDR wykryje tę anomalię i wygeneruje alert, który będzie mógł szybko zweryfikować analityk bezpieczeństwa. Ponieważ rozwiązanie NDR automatycznie dopasuje ostrzeżenie do kontekstu, administratora może szybko określić, czy ta anomalia stanowi zagrożenie i w ciągu kilku sekund zainicjować automatyczną reakcję, na przykład ograniczając dostęp użytkownika do wszystkich środowisk sieciowych i wymuszając zresetowanie hasła.
// Chętnie porozmawiamy i doradzimy
737 185 902 | 737 185 903 | 727 790 662
737 191 570