NDR против EDR: основные различия
Network Detection and Response (NDR) становится все более неотъемлемой частью набора инструментов кибербезопасности: они предлагают глубокий обзор внутренней деятельности сети и раскрывают содержимое пакетов, передаваемых между устройствами. Endpoint Detection and Response (EDR), с другой стороны, полностью фокусируется на раскрытии отдельных процессов, происходящих в каждом из конечных устройств организации.
Хотя они опираются на схожие механизмы анализа угроз и профилирования, их развертывания и варианты использования сильно различаются. В этой статье будут рассмотрены различия и затронуто то, как EDR и NDR часто развертываются рядом друг с другом.
Решения Gartner® Magic Quadrant™ NDR
Узнайте, почему мы являемся единственным поставщиком, попавшим в квадрант Challenger...
Испытайте безопасность на основе искусственного интеллекта в действии!
Откройте для себя передовой искусственный интеллект Stellar Cyber для мгновенного обнаружения угроз...
Что такое отчет о недоставке?
NDR это инструмент, который отслеживает взаимодействие между устройствами во внутренней сети организации. Он развертывает датчики в сетях организации, отслеживает, какие устройства взаимодействуют с ней, и анализирует данные, которые они отправляют как одноранговым узлам, так и внешним серверам.
Это может звучать похоже на брандмауэр: хотя брандмауэр анализирует входящий или исходящий трафик сети (так называемый трафик Север-Юг), он не обеспечивает видимости трафика между внутренними устройствами. NDR позволяют контролировать внутренний трафик сети или трафик Восток-Запад: он обеспечивает новую глубину видимости сети без жестких требований к конфигурации.
Необработанные данные, собираемые системами NDR, включают в себя следующее:
- Необработанные сетевые пакеты: Захвачено напрямую из сетевого трафика через порты SPAN, TAP или выделенные датчики. Эти пакеты предлагают полную видимость транзакций, включая заголовки протоколов и метаданные, связанные с полезной нагрузкой.
- Записи потока: Форматы метаданных, такие как NetFlow или IPFIX, которые обобщают шаблоны связи, включая исходные и конечные IP-адреса, номера портов, протоколы и количество байтов.
- Метаданные трафика: Полученные в результате анализа пакетов данные включают в себя длительность сеанса, частоту связи, поведенческие модели устройств и данные из протоколов прикладного уровня.
Все эти данные затем поступают в собственный аналитический движок инструмента NDR и обрабатываются на предмет признаков вредоносного трафика. Чтобы максимизировать вероятность успешного обнаружения угроз, NDR использует две стратегии анализа:
Анализ сети на основе сигнатур
Поскольку каждая отдельная сетевая точка данных собирается в график временного ряда, действия отдельных устройств могут быть сопоставлены с известными угрозами. Обнаружение на основе сигнатур объединяет определенное поведение атак на уровне сети в индикаторы компрометации (IoC), которые хранятся в собственной базе данных NDR.
Подпись относится к любому идентифицируемому атрибуту, связанному с известной кибератакой — это может быть фрагмент кода из определенного варианта вредоносного ПО или узнаваемая строка темы из фишингового письма. Инструменты обнаружения на основе сигнатур сканируют сетевую активность на предмет этих известных шаблонов и запускают оповещения при обнаружении совпадений.
Мониторинг IOC по своей сути является реактивным. Когда обнаруживается IOC, это обычно указывает на то, что нарушение уже произошло. Однако, если вредоносная активность все еще продолжается, раннее обнаружение IOC может сыграть решающую роль в прерывании атаки, позволяя быстрее сдерживать ее и сокращать потенциальный ущерб для организации.
Анализ поведенческой сети
Наряду с обнаружением на основе сигнатур большинство NDR также предлагают поведенческий анализ. Он принимает все точки данных, но вместо статического сравнения их с внешней базой данных рисков он использует их для построения поведенческой базовой линии.
Эта базовая линия представляет собой нормальную активность: она выстраивает устройства и пользователей по частоте их связи, объему данных и использованию протокола. После определения этих ожидаемых моделей поведения решения NDR могут эффективно выявлять отклонения, которые могут сигнализировать о потенциальной угрозе. Могут быть расхождения между ожидаемым и фактическим поведением протокола и необычная активность приложений в нерабочее время. NDR также может интегрироваться с другими инструментами безопасности, чтобы получить еще более полную картину нормальной сетевой активности организации.
В совокупности обнаружение угроз на основе поведения и сигнатур позволяет NDR обеспечивать не только полную видимость по линии Восток-Запад, но и полное обнаружение угроз на уровне сети.
Что такое ЭДР?
- Данные о выполнении процесса: Подробная информация обо всех запущенных процессах, включая родительско-дочерние отношения, аргументы командной строки и временные метки выполнения.
- Изменение файловой системы: Создание, изменение, удаление файлов и проверка целостности (включая хэши файлов и источники загрузки).
- Изменения в реестре: Изменения в разделах реестра Windows и параметрах конфигурации, имеющие решающее значение для поведения системы.
- Учетные записи пользователей: Все учетные записи пользователей, вошедших в систему как напрямую, так и удаленно
- Конфигурации системы: Установленные приложения, состояния служб и данные о соответствии политике безопасности.
Как и датчики NDR, агенты EDR непрерывно передают необработанные данные на централизованную платформу, где модели машинного обучения анализируют их на предмет аномалий, таких как несанкционированные цепочки процессов, подозрительные сетевые коммуникации или изменения реестра, связанные с известными методами атак.
EDR против NDR: разные варианты использования
Безопасность IoT
Датчики NDR часто основаны на портах SPAN – они работают, создавая копии каждого пакета, проходящего через их сеть. Затем эти копии пересылаются в инструменты мониторинга NDR: этот процесс копирования данных пакетов, а не пересылка всех исходных пакетов в механизм анализа, предотвращает помехи в хост-сети.
Наряду с защитой чувствительных сетей эта настройка позволяет отслеживать и защищать сетевую активность устройств Интернета вещей (IoT). IoT часто слишком легкие и многочисленные, чтобы на них устанавливались агенты, что делает их теперь известной угрозой безопасности. Слабые пароли, плохие настройки по умолчанию и серьезная нехватка опций управления устройствами сделали устройства IoT чрезвычайно сложными для обеспечения безопасности, но поскольку инструменты NDR захватывают все сетевые коммуникации, можно отслеживать поведение IoT по направлению «Восток-Запад». Кроме того, поскольку подозрительный трафик между устройствами IoT и их более широкой сетью можно сопоставить с известными угрозами, среднее время реагирования резко ускоряется.
Удаленная защита сотрудников
EDR обеспечивает непрерывный мониторинг, обнаружение угроз и автоматизированные возможности реагирования непосредственно на конечной точке. Это особенно важно, поскольку удаленные конечные точки не всегда могут быть ограничены определенными сетями и периферийными устройствами. Без этой защиты гибридные сотрудники рискуют стать переносчиками инфекции, когда они подключают удаленные устройства обратно к сетям организации.
Кроме того, когда на удаленном устройстве обнаруживается событие безопасности, EDR может инициировать ответную схему действий в соответствии с окружающими факторами. Например, если обнаружен набор IoC, указывающих на наличие программы-вымогателя, она может изолировать затронутые устройства до того, как она распространится.
Обнаружение бокового движения
NDR против EDR: краткий обзор различий
|
Функция/Возможность |
NDR |
EDR |
| Зона фокусировки |
Отслеживает сетевой трафик и коммуникации. |
Осуществляет мониторинг отдельных конечных устройств (например, ноутбуков, серверов). |
| Источники данных | Сетевые пакеты, записи потоков (NetFlow/IPFIX), метаданные. | Системные журналы, активность файлов, поведение процессов, изменения реестра. |
| Область видимости | Широкая видимость по всей сети. | Глубокая видимость на уровне устройства. |
| Методы обнаружения угроз | Обнаружение аномалий, поведенческая аналитика, проверка зашифрованного трафика. | Анализ файлов, мониторинг поведения, обнаружение на основе сигнатур. |
| Случаи использования | Горизонтальное перемещение, трафик команд и управления, утечка данных. | Заражения вредоносным ПО, внутренние угрозы, попытки эксплойтов. |
| Возможности реагирования | Оповещения и интеграция с SIEM/SOAR; ограниченная прямая рекультивация. | Автоматическое сдерживание угроз (например, завершение процесса, изоляция устройства). |
| Сценарий развертывания | Корпоративные сети с большим количеством подключенных устройств. | Удалённая работа, среды BYOD, конечные точки с высоким уровнем риска. |
| Требования к развертыванию | Обычно без агентов; использует сетевые датчики, такие как ответвители и порты SPAN. | Требует установки агентов на каждом контролируемом конечном устройстве. |
Интеграция EDR с NDR через Stellar Cyber
Поскольку эти два инструмента работают в тандеме так хорошо, их часто используют вместе. Это повышает важность возможностей интеграции каждого инструмента, поскольку разведданные, полученные от каждого, могут значительно ускорить MTTR. Stellar Cyber воплощает эту совместную возможность с помощью ОткрытоXDR продукт — интегрируется с любым EDR, проводит глубокую проверку пакетов (DPI) и изоляцию вредоносных программ для постоянного обнаружения и предотвращения вредоносных программ «нулевого дня».
ОткрытоXDR Stellar сопоставляет сетевые оповещения с оповещениями, генерируемыми собственным набором инструментов безопасности организации, и преобразует их в доступные инциденты. Вместо того чтобы загромождать рабочие процессы аналитиков бесконечными оповещениями, Stellar заблаговременно сортирует и фильтрует их, выделяя требования для немедленных действий. Узнайте больше о том, как работает Open.XDR может вернуть вашей команде безопасности возможности для проактивного реагирования с демо сегодня.
