• +48 737 185 903
  • +48 737 185 902
  • +48 727 790 662
  • Pn - Pt: 9.00 - 17.00
Szukasz rozwiązania? | Potrzebujesz konsultacji? | Skontaktuj się!
Linkedin

Masz pytanie?

+48 737 185 903

darmowa
wycena

Rozwiązania klasy NDR (Network Detection & Response)

Co to jest NDR?

Obecnie osoby zajmujące się bezpieczeństwem w IT stoją przed niezliczonymi wyborami, jeśli chodzi o budowanie nowoczesnego zestawu cyberzabezpieczeń.

Jednym z często pomijanych aspektów bezpieczeństwa jest wykrywanie i reagowanie na zagrożenia w sieci – NDR. Rozwiązania NDR w zakresie cyberbezpieczeństwa nie są nowością. Niestety ze względu na pozorną złożoność wdrażania, konserwacji i użytkowania wielu administratorów obniża priorytet temu rozwiązaniu w swoim zestawie zabezpieczeń, zakładając, że inne produkty zabezpieczające związane z siecią mogą uchronić ich sieci przed zagrożeniami. 

System NDR do chrony sieci

Jak działa rozwiązanie klasy NDR?

Technologie wykrywania i reagowania na incydenty w sieci mają na celu identyfikację zagrożeń w infrastrukturze sieciowej i umożliwienie analitykom cyberbezpieczeństwa szybkiego podejmowania zdecydowanych działań w celu ograniczenia ryzyka groźnego naruszenia. W przeciwieństwie do innych technologii sieciowych, które wymagają od administratorów bardzo wysokich kompetencji w dziedzinie funkcjonowania sieci informatycznych, osoby zajmujące się bezpieczeństwem IT posiadający podstawową wiedzę specjalistyczną mogą z łatwością zacząć korzystać z produktów NDR

Każda sieć informatyczna jest centralnym układem nerwowym całej organizacji. W przeszłości uważano, że wdrożenie firewalla zapewnia wystarczające bezpieczeństwo sieci. Jednakże dostawcy rozwiązań wprowadzili nowe mechanizmy bezpieczeństwa w celu lepszej ochrony sieci i udoskonalenia metod zwalczania ataków. Systemy wykrywania włamań lub zapobiegania włamaniom zwiększyły zdolność zapory ogniowej do zapobiegania skutecznym cyberatakom, biorąc pod uwagę ataki oparte na znanych sygnaturach sieciowych, większość produktów IDS/IPS stała się dla atakujących sporą uciążliwością.

Ponieważ dostawcy zabezpieczeń dostosują się do wyzwań ze strony atakujących, wprowadzono nowy typ produktu, znany jako analiza ruchu sieciowego (NTA). Jak sugeruje nazwa, produkty NTA analizują zawartość i metryki ruchu pomiędzy zasobami organizacji oraz ruchem do i ze źródeł zewnętrznych. Administrator może zagłębić się w szczegóły nietypowych wzorców, aby określić, czy potrzebne są działania naprawcze. Jako uzupełnienie i rozszerzenie powyższych funkcjonalności powstał właśnie NDR. NDR łączy najlepsze funkcje IDS/IPS, NTA i inne funkcje bezpieczeństwa sieci w jednym rozwiązaniu do ochrony sieci. 

Produkty NDR zapewniają całościowy obraz zagrożeń bezpieczeństwa w sieci. Wykorzystując kombinację znanych sygnatur sieciowych, analiz bezpieczeństwa i analizy zachowań, raporty NDR mogą szybko i skutecznie wykrywać zagrożenia. Rozwiązania NDR mogą nie tylko analizować zawartość ruchu sieciowego, ale także identyfikować anomalną aktywność poprzez analizę metadanych ruchu sieciowego. Jest to korzystne w przypadku ruchu zaszyfrowanego, gdzie odszyfrowanie w czasie rzeczywistym przez produkt NDR może być niemożliwe.

Rola rozwiązań NDR w branży cyberbezpieczeństwa

Atakujący szukają wszelkich słabych punktów w środowisku organizacji, które mogą wykorzystać. Chociaż punkty końcowe są popularną powierzchnią ataku dla większości atakujących, coraz częściej szukają oni sposobów na maskowanie swoich cyberzagrożeń w zwykłym ruchu sieciowym. Podejście to zyskuje na popularności ze względu na postrzeganą złożoność związaną z monitorowaniem, analizowaniem i wykrywaniem zagrożeń przemieszczających się przez sieć. W przeszłości identyfikacja zagrożeń w ruchu sieciowym wymagała zasobów posiadających duże doświadczenie w konfigurowaniu, utrzymywaniu i monitorowaniu ruchu sieciowego. Obecnie krajobraz cyberbezpieczeństwa jest zupełnie inny, dzięki czemu ochrona sieci jest znacznie bardziej dostępna dla wszystkich specjalistów ds. bezpieczeństwa.

Jak zapewne zgodzi się większość specjalistów ds. cyberbezpieczeństwa, większość ataków w taki czy inny sposób dotyka sieci. Ostatnie badania sugerują, że 99% udanych ataków można wykryć w ruchu sieciowym, a wiele z nich można zidentyfikować i złagodzić, zanim osoba atakująca wykorzysta to z negatywnym skutkiem dla organizacji. Nowoczesne rozwiązania w zakresie ochrony sieci sprawiają, że ochrona sieci jest znacznie bardziej dostępna dla każdego specjalisty ds. bezpieczeństwa, ponieważ ich funkcje oraz obsługa są coraz bardziej intuicyjne. W połączeniu ze wzrostem zautomatyzowanych możliwości dostępnych w większości rozwiązań, identyfikacja zagrożeń w sieci jest teraz łatwiejsza niż kiedykolwiek wcześniej. W przypadku większości zespołów ds. bezpieczeństwa nawet osoby nieposiadające kompleksowej wiedzy o sieciach mogą wdrożyć rozwiązanie NDR w swoim portfolio zabezpieczeń i zacząć identyfikować zagrożenia w miarę przemieszczania się między zasobami sieciowymi oraz do i z sieci przy niewielkiej interwencji człowieka. Włączając NDR do stosowanych zabezpieczeń, zespoły ds. bezpieczeństwa mogą również uzyskać ogromne korzyści strategiczne i taktyczne, które wykraczają poza zwykłą identyfikację zagrożeń w sieci.

Dogłębna ochrona

Wdrażając NDR w swoim środowisku postępujesz zgodnie z najlepszymi praktykami podejścia do cyberbezpieczeństwa, które między innymi zawarte zostały w koncepcji triady widoczności SOC przedstawionej przez Gartnera. Chociaż platformy ochrony punktów końcowych oraz rozwiązania do wykrywania i reagowania na punkty końcowe są przeznaczone na przykład do identyfikowania zagrożeń na punktach końcowych, zazwyczaj są one ślepe na zagrożenia przemieszczające się w sieci. Podobnie produkty zapobiegające utracie danych bardzo dobrze identyfikują moment przeniesienia ważnych danych z danej lokalizacji. Jednak nie są one zbyt dobre w wychwytywaniu krytycznych informacji przechodzących przez sieć, zwłaszcza jeśli są zaciemnione w zwykłym ruchu sieciowym. W tej sytuacji produkty zabezpieczające NDR mogą potencjalnie zwiększyć zdolność zespołu ds. bezpieczeństwa do zmniejszenia ryzyka skutecznego cyberataku. Podobnie jak inne wymienione produkty służą do wykrywania zagrożeń w konkretnym zasobie lub typie danych, NDR koncentruje się wyłącznie na zrozumieniu ruchu sieciowego w sposób, w jaki żaden inny produkt zabezpieczający nie jest w stanie tego zrobić. Umożliwiając szybką analizę ruchu sieciowego w czasie rzeczywistym, produkty zabezpieczające NDR mogą wykrywać potencjalne zagrożenia w ruchu sieciowym, które mogły pozostać niezauważone.

Wymiana informacji między rozwiązaniami NDR i EDR

Po wykryciu zagrożeń informacje te można łatwo udostępnić na platformie SIEM lub XDR w celu powiązania z innymi zagrożeniami, z których niektóre można uznać za słaby sygnał. Dzięki ciągłemu przepływowi zagrożeń sieciowych, które są obecnie analizowane wraz z innymi danymi istotnymi dla bezpieczeństwa, zespoły ds. bezpieczeństwa zyskają bardziej całościowy obraz zagrożeń w całym środowisku sieciowym. Na przykład napastnicy często przeprowadzają ataki wielowektorowe na swoje cele, na przykład inicjując kampanię e-mailową phishingową skierowaną przeciwko wielu pracownikom, jednocześnie próbując wykorzystać znaną lukę wykrytą gdzieś w sieci. Badane oddzielnie, można je uznać za element ataku ukierunkowanego o niższym priorytecie. Dzięki wdrożeniu NDR w połączeniu z XDR ataki te nie są już badane w izolacji. Zamiast tego można je skorelować i uzupełnić odpowiednimi informacjami kontekstowymi, co znacznie ułatwia ustalenie, czy są ze sobą powiązane. Ten dodatkowy krok, który w większości przypadków może nastąpić automatycznie, oznacza, że ​​analitycy bezpieczeństwa stają się bardziej produktywni i wydajni bez większego wysiłku.

Różnice między NDR, EDR i XDR

Przy tak dużej liczbie produktów i usług związanych z cyberbezpieczeństwem zapewniających podobne korzyści wielu osobom odpowiedzialnym za cyberbezpieczeństwo może być trudno zdecydować, które produkty wdrożyć, aby uzyskać dodatkowe korzyści. Dotyczy to także NDR, dlatego aby pomóc  zrozumieć specyfikę oraz funkcjonalności tych rozwiązań, poniżej przedstawiamy różnice między NDR, EDR i XDR.

Funkcje NDR:

  • Zbierają informacje o ruchu sieciowym w czasie rzeczywistym i przechowują zebrane dane, aby umożliwić automatyczną analizę.
  • Umożliwiają normalizację i wzbogacanie zebranych danych o informacje istotne kontekstowo, aby ułatwić wszechstronną analizę.
  • Ustalają poziom bazowy regularnego ruchu sieciowego, zazwyczaj przy użyciu algorytmów uczenia maszynowego. Po ustaleniu poziomu bazowego rozwiązanie NDR powinno szybko wykrywać przypadki, w których obserwowany ruch sieciowy wykracza poza typowe wzorce ruchu, ostrzegając analityków bezpieczeństwa w czasie rzeczywistym o anomalii. 
  • Obejmują zarówno zasoby lokalne, jak i w chmurze.
  • Łączą powiązane alerty w przydatne grupy dochodzeń, ułatwiając analitykom bezpieczeństwa zrozumienie zakresu ataku oraz podjęcie działań jako odpowiedzi na nie
  • Muszą zapewniać zautomatyzowane środki umożliwiające podjęcie odpowiednich działań, gdy zostaną uznane za konieczne ze względu na charakter i zakres ataku

Funkcje EDR:

Rozwiązania EDR muszą zapewniać następujące możliwości, aby zapewnić niezbędną ochronę obszaru, na którym się skupiają, czyli urządzeń końcowych:

  • Zapewniają zespołom ds. bezpieczeństwa możliwość gromadzenia i analizowania danych z punktów końcowych w czasie rzeczywistym. Zazwyczaj jest to zapewniane za pośrednictwem agenta dla punktów końcowych, który można łatwo dystrybuować za pomocą wybranego przez organizację narzędzia. Agenci na punktach końcowych powinni być zarządzani centralnie i można je łatwo aktualizować bez konieczności ponownego uruchamiania urządzenia. 
  • Mają możliwość analizowania aplikacji i usług w czasie rzeczywistym w celu wykorzenienia potencjalnie złośliwych plików i usług. Po wykryciu powinno być możliwe automatyczne poddanie kwarantannie podejrzanych plików i usług. 
  • Zazwyczaj zawierają konfigurowalny silnik reguł korelacji, w ramach którego zespoły ds. bezpieczeństwa mogą przesyłać zestaw publicznie dostępnych reguł korelacji lub tworzyć od podstaw własne reguły. Zasady te powinny obejmować możliwość wykrycia zagrożenia i możliwość podjęcia automatycznej reakcji, jeśli zajdzie taka potrzeba. 
  • Powinny być łatwo integrowane z perspektywy danych z innym rozwiązaniami, takim jak platforma SIEM lub XDR, aby zebrane dane mogły być analizowane w kontekście innych informacji istotnych dla bezpieczeństwa. 
  • Zazwyczaj obsługują urządzenia z systemem Microsoft Windows i różnych odmianach urządzeń z systemem Linux. 
  • Rozwiązania EDR można również wdrażać na niektórych platformach opartych na chmurze i innych aplikacjach dostarczanych w chmurze, takich jak Microsoft Office 365. 

Funkcje XDR:

Rozwiązania z rozszerzonym wykrywaniem i reagowaniem to jedna z najnowszych technologii na rynku, zrodzona z potrzeby ułatwienia zespołom ds. bezpieczeństwa zapewniania ciągłych wyników w zakresie bezpieczeństwa w całym przedsiębiorstwie. 

  • Gromadzą dane z dowolnego dostępnego źródła danych. Dane te mogą obejmować alerty z wszelkich wdrożonych mechanizmów kontroli bezpieczeństwa, dane dziennika z dowolnej usługi używanej przez organizację, takie jak dzienniki utworzone przez system zarządzania tożsamością organizacji oraz dzienniki i informacje dotyczące aktywności z dowolnej chmury, takie jak informacje o aktywności zebrane z rozwiązania Cloud Access Security Broker (CASB).
  • Powinny normalizować wszystkie zebrane dane, aby umożliwić kompleksową analizę na dużą skalę.
  • Wykorzystują uczenie maszynowe i sztuczną inteligencję do korelowania pozornie odmiennych, niepowiązanych danych o alertach i aktywności, w łatwe do zbadania incydenty. 
  • Automatycznie umieszczają w kontekście wszystkich zebranych danych ważne informacje, ułatwiając analitykom bezpieczeństwa szybkie zakończenie dochodzeń.
  • Wspierają analityków bezpieczeństwa, ustalając priorytety podejrzanych incydentów bezpieczeństwa na podstawie ich potencjalnego wpływu na organizację.
  • Zapewniają funkcję automatycznego reagowania, którą można zainicjować bez interwencji człowieka, w zależności od powagi lub skutku potencjalnego zagrożenia. 

Podsumowując, zarówno produkty NDR, jak i EDR stanowią ostatecznie wkład w platformę XDR, która umożliwia działom IT przeprowadzanie dochodzeń w sprawie cyberbezpieczeństwa szybciej i skuteczniej niż kiedykolwiek

Zastosowanie rozwiązań NDR

Ruch boczny:

Częstym wyzwaniem dla osób zajmujących się cyberbezpieczeństwem jest zrozumienie, kiedy atakujący porusza się ruchem bocznym w infrastrukturze. Na przykład, jeśli osoba atakująca pomyślnie złamie konto użytkownika lub punkt końcowy bez wykrycia, kolejnym logicznym krokiem dla osoby atakującej będzie próba dalszego wejścia w środowisko. Załóżmy, że atakujący przenosi się z jednego urządzenia na drugie w trybie ukrytym. W takim przypadku atakujący może odkryć, gdzie w środowisku znajdują się wrażliwe informacje, co w przypadku dodatkowego wykorzystania oprogramowania ransomware może zwiększyć skuteczność ataku.

Poruszając się po sieci, atakujący mogą również zidentyfikować podatną na ataki aplikację lub usługę, która umożliwi im późniejsze otwarcie „tylnych drzwi” i ponowne wejście do środowiska w dowolnym momencie. Co więcej, aby zachować trwałość środowiska, wielu atakujących będzie próbowało eskalować uprawnienia konta użytkownika, które zostało zaatakowane, do uprawnień administratora, dając im wolną rękę w zakresie wprowadzania zmian w środowisku, potencjalnego wyłączania niektórych funkcji zabezpieczeń, usuwania dzienników, które może pozostawić informacje, które zespoły bezpieczeństwa mogłyby wykorzystać do realizacji dochodzeń.

Dzięki raportowi NDR monitorującemu aktywność sieciową w czasie rzeczywistym, działy IT mogą szybko zidentyfikować podejrzaną aktywność między zasobami sieciowymi oraz nieprawidłowe wzorce ruchu z ich sieci do świata zewnętrznego. Produkty NDR korelują to nietypowe działanie z działaniami użytkownika, które mogą uwypuklić, kiedy osoba atakująca swobodnie porusza się po zasobach sieciowych.

Kompromitacja danych uwierzytelniających:

Inna sytuacja w jakiej wykorzystywane są rozwiązania NDR wiąże się z naruszeniem poświadczeń. Niestety, obecnie osoba atakująca może uzyskać prawidłowe dane uwierzytelniające użytkownika na wiele sposobów, od zakupu ich w darknecie po nakłonienie nieświadomego pracownika do dobrowolnego podania swoich danych uwierzytelniających w odpowiedzi na fałszywy e-mail lub za pośrednictwem złośliwej witryny internetowej. Gdy osoba atakująca uzyska poświadczenia, uzyskanie dostępu do środowiska stanie się dla niego łatwe.

Po wejściu do organizacji osoba atakująca może przeprowadzić dowolną liczbę złośliwych działań, takich jak wykorzystanie oprogramowania ransomware, usunięcie danych o znaczeniu krytycznym lub ujawnienie poufnych informacji. Produkty NDR ułatwiają wykrywanie naruszonych danych uwierzytelniających ze względu na charakter działania NDR. Na przykład, jeśli wykryto, że pracownik z Europy loguje się z Chin. W takim przypadku rozwiązanie NDR wykryje tę anomalię i wygeneruje alert, który będzie mógł szybko zweryfikować analityk bezpieczeństwa. Ponieważ rozwiązanie NDR automatycznie dopasuje ostrzeżenie do kontekstu, administratora może szybko określić, czy ta anomalia stanowi zagrożenie i w ciągu kilku sekund zainicjować automatyczną reakcję, na przykład ograniczając dostęp użytkownika do wszystkich środowisk sieciowych i wymuszając zresetowanie hasła. 

// ROZWIĄZANIA KLASY NDR:

NETWORK DETECTION & RESPONSE

Gatewatcher - rozwiązanie klasy NDR
Gatewatcher
Vectra - rozwiązanie NDR, które wykrywa i reaguje na zagrożenia w sieci.
Vectra
Hillstone Networks

// Chętnie porozmawiamy i doradzimy

Nie znalazłeś tego,
czego szukałeś?

Skontaktuj się

737 185 902 | 737 185 903 | 727 790 662

737 191 570