Over 1000 years we help companies reach their financial and branding goals. Engitech is a values-driven technology agency dedicated.

Gallery

Contacts

411 University St, Seattle, USA

engitech@oceanthemes.net

+1 -800-456-478-23

Co to jest NDR?

Obecnie osoby zajmujące się bezpieczeństwem w IT stoją przed niezliczonymi wyborami, jeśli chodzi o budowanie nowoczesnego zestawu cyberzabezpieczeń.

Jednym z często pomijanych aspektów bezpieczeństwa jest wykrywanie i reagowanie na zagrożenia w sieci – NDR. Rozwiązania NDR w zakresie cyberbezpieczeństwa nie są nowością. Niestety ze względu na pozorną złożoność wdrażania, konserwacji i użytkowania wielu administratorów obniża priorytet temu rozwiązaniu w swoim zestawie zabezpieczeń, zakładając, że inne produkty zabezpieczające związane z siecią mogą uchronić ich sieci przed zagrożeniami. 

System NDR do chrony sieci

Jak działa rozwiązanie klasy NDR?

Technologie wykrywania i reagowania na incydenty w sieci mają na celu identyfikację zagrożeń w infrastrukturze sieciowej i umożliwienie analitykom cyberbezpieczeństwa szybkiego podejmowania zdecydowanych działań w celu ograniczenia ryzyka groźnego naruszenia. W przeciwieństwie do innych technologii sieciowych, które wymagają od administratorów bardzo wysokich kompetencji w dziedzinie funkcjonowania sieci informatycznych, osoby zajmujące się bezpieczeństwem IT posiadający podstawową wiedzę specjalistyczną mogą z łatwością zacząć korzystać z produktów NDR

Każda sieć informatyczna jest centralnym układem nerwowym całej organizacji. W przeszłości uważano, że wdrożenie firewalla zapewnia wystarczające bezpieczeństwo sieci. Jednakże dostawcy rozwiązań wprowadzili nowe mechanizmy bezpieczeństwa w celu lepszej ochrony sieci i udoskonalenia metod zwalczania ataków. Systemy wykrywania włamań lub zapobiegania włamaniom zwiększyły zdolność zapory ogniowej do zapobiegania skutecznym cyberatakom, biorąc pod uwagę ataki oparte na znanych sygnaturach sieciowych, większość produktów IDS/IPS stała się dla atakujących sporą uciążliwością.

Ponieważ dostawcy zabezpieczeń dostosują się do wyzwań ze strony atakujących, wprowadzono nowy typ produktu, znany jako analiza ruchu sieciowego (NTA). Jak sugeruje nazwa, produkty NTA analizują zawartość i metryki ruchu pomiędzy zasobami organizacji oraz ruchem do i ze źródeł zewnętrznych. Administrator może zagłębić się w szczegóły nietypowych wzorców, aby określić, czy potrzebne są działania naprawcze. Jako uzupełnienie i rozszerzenie powyższych funkcjonalności powstał właśnie NDR. NDR łączy najlepsze funkcje IDS/IPS, NTA i inne funkcje bezpieczeństwa sieci w jednym rozwiązaniu do ochrony sieci. 

Produkty NDR zapewniają całościowy obraz zagrożeń bezpieczeństwa w sieci. Wykorzystując kombinację znanych sygnatur sieciowych, analiz bezpieczeństwa i analizy zachowań, raporty NDR mogą szybko i skutecznie wykrywać zagrożenia. Rozwiązania NDR mogą nie tylko analizować zawartość ruchu sieciowego, ale także identyfikować anomalną aktywność poprzez analizę metadanych ruchu sieciowego. Jest to korzystne w przypadku ruchu zaszyfrowanego, gdzie odszyfrowanie w czasie rzeczywistym przez produkt NDR może być niemożliwe.

Rola rozwiązań NDR w branży cyberbezpieczeństwa

Atakujący szukają wszelkich słabych punktów w środowisku organizacji, które mogą wykorzystać. Chociaż punkty końcowe są popularną powierzchnią ataku dla większości atakujących, coraz częściej szukają oni sposobów na maskowanie swoich cyberzagrożeń w zwykłym ruchu sieciowym. Podejście to zyskuje na popularności ze względu na postrzeganą złożoność związaną z monitorowaniem, analizowaniem i wykrywaniem zagrożeń przemieszczających się przez sieć. W przeszłości identyfikacja zagrożeń w ruchu sieciowym wymagała zasobów posiadających duże doświadczenie w konfigurowaniu, utrzymywaniu i monitorowaniu ruchu sieciowego. Obecnie krajobraz cyberbezpieczeństwa jest zupełnie inny, dzięki czemu ochrona sieci jest znacznie bardziej dostępna dla wszystkich specjalistów ds. bezpieczeństwa.

Jak zapewne zgodzi się większość specjalistów ds. cyberbezpieczeństwa, większość ataków w taki czy inny sposób dotyka sieci. Ostatnie badania sugerują, że 99% udanych ataków można wykryć w ruchu sieciowym, a wiele z nich można zidentyfikować i złagodzić, zanim osoba atakująca wykorzysta to z negatywnym skutkiem dla organizacji. Nowoczesne rozwiązania w zakresie ochrony sieci sprawiają, że ochrona sieci jest znacznie bardziej dostępna dla każdego specjalisty ds. bezpieczeństwa, ponieważ ich funkcje oraz obsługa są coraz bardziej intuicyjne. W połączeniu ze wzrostem zautomatyzowanych możliwości dostępnych w większości rozwiązań, identyfikacja zagrożeń w sieci jest teraz łatwiejsza niż kiedykolwiek wcześniej. W przypadku większości zespołów ds. bezpieczeństwa nawet osoby nieposiadające kompleksowej wiedzy o sieciach mogą wdrożyć rozwiązanie NDR w swoim portfolio zabezpieczeń i zacząć identyfikować zagrożenia w miarę przemieszczania się między zasobami sieciowymi oraz do i z sieci przy niewielkiej interwencji człowieka. Włączając NDR do stosowanych zabezpieczeń, zespoły ds. bezpieczeństwa mogą również uzyskać ogromne korzyści strategiczne i taktyczne, które wykraczają poza zwykłą identyfikację zagrożeń w sieci.

Dogłębna ochrona

Wdrażając NDR w swoim środowisku postępujesz zgodnie z najlepszymi praktykami podejścia do cyberbezpieczeństwa, które między innymi zawarte zostały w koncepcji triady widoczności SOC przedstawionej przez Gartnera. Chociaż platformy ochrony punktów końcowych oraz rozwiązania do wykrywania i reagowania na punkty końcowe są przeznaczone na przykład do identyfikowania zagrożeń na punktach końcowych, zazwyczaj są one ślepe na zagrożenia przemieszczające się w sieci. Podobnie produkty zapobiegające utracie danych bardzo dobrze identyfikują moment przeniesienia ważnych danych z danej lokalizacji. Jednak nie są one zbyt dobre w wychwytywaniu krytycznych informacji przechodzących przez sieć, zwłaszcza jeśli są zaciemnione w zwykłym ruchu sieciowym. W tej sytuacji produkty zabezpieczające NDR mogą potencjalnie zwiększyć zdolność zespołu ds. bezpieczeństwa do zmniejszenia ryzyka skutecznego cyberataku. Podobnie jak inne wymienione produkty służą do wykrywania zagrożeń w konkretnym zasobie lub typie danych, NDR koncentruje się wyłącznie na zrozumieniu ruchu sieciowego w sposób, w jaki żaden inny produkt zabezpieczający nie jest w stanie tego zrobić. Umożliwiając szybką analizę ruchu sieciowego w czasie rzeczywistym, produkty zabezpieczające NDR mogą wykrywać potencjalne zagrożenia w ruchu sieciowym, które mogły pozostać niezauważone.