Объяснение обнаружения и реагирования сети (NDR)

  • Основные выводы:
  • Что делает система обнаружения и реагирования на сетевые угрозы (NDR)?
    NDR непрерывно анализирует сетевой трафик, строит поведенческие модели для обнаружения аномалий и автоматизирует ответы с помощью ИИ.
  • Как NDR эволюционировал из NTA?
    Компания перешла от базового мониторинга трафика к расширенной проверке и автоматизированному реагированию с использованием поведенческой и сигнатурной аналитики.
  • Какие основные функции предлагает NDR от Stellar Cyber?
    Глубокая проверка пакетов, распределенные датчики, централизованное озеро данных, обнаружение угроз на основе искусственного интеллекта и автоматизированная интеграция SOAR.
  • Каким образом Stellar Cyber ​​сокращает объем данных и повышает эффективность обнаружения?
    Он обеспечивает сокращение объема данных до 500 раз, одновременно обогащая их данными об угрозах, что позволяет в режиме реального времени проводить корреляцию и реагировать на угрозы с помощью искусственного интеллекта.
  • Как NDR помогает унифицировать операции по обеспечению безопасности?
    Система NDR компании Stellar Cyber ​​интегрирована в Open XDRобеспечивая беспрепятственную корреляцию с SIEM, SOAR и UEBA в одной платформе.

Network Detection and Response (NDR) добавляет новую видимость в сети организации, пассивно поглощая и анализируя внутреннюю сетевую активность. С появлением LLM и новыми требованиями к глубокой защите сети инструменты NDR уже развиваются за пределы этой основной возможности. Gartner отчет о неразрушающем контроле подробно рассказывается о том, как инструменты на современном рынке расширяют границы возможностей с помощью дополнения LLM, мультимодального обнаружения угроз и развертывания на основе IaaS.

Влияние современного NDR на нисходящий поток значительно: более сплоченный ответ на инциденты, более строгая аналитика и более быстрая экспертиза. Это руководство представляет собой всестороннее глубокое погружение в NDR.

#image_title

Решения Gartner® Magic Quadrant™ NDR

Узнайте, почему мы являемся единственным поставщиком, попавшим в квадрант Challenger...

Подробнее
#image_title

Испытайте безопасность на основе искусственного интеллекта в действии!

Откройте для себя передовой искусственный интеллект Stellar Cyber ​​для мгновенного обнаружения угроз...

Заказать визит

Как работает отчет о недоставке

NDR уникальны тем, что способны непрерывно анализировать сетевые пакеты и метаданные трафика, которые происходят в потоках трафика Восток-Запад (внутренних) и между Севером-Югом (внутренние сети и общедоступный интернет). Каждое отдельное сетевое действие представляет собой ключевую точку данных, которая поглощается NDR – каждая из них затем используется для построения модели повседневного поведения внутренней сети.

Это позволяет немедленно обнаруживать любые отклонения. Эти неестественные шаблоны отправляются аналитикам для дальнейшего изучения в форме оповещения; именно здесь трафик оценивается как указывающий на атаку или безвредный. Современные NDR с возможностями автоматического реагирования могут автоматически развертывать корректирующее действие — например, блокировку IP — в ответ на распознанную угрозу. Это обеспечивает безопасность сети, пока аналитик определяет ее легитимность.

Эволюция NDR

Ранние корни NDR можно проследить до Анализ сетевого трафика (NTA). Этот старый инструмент использовался совместно администраторами безопасности и сетей: он позволял им следить за тем, какие активы получают сетевой трафик, как быстро реагирует каждое приложение или устройство и какой объем трафика отправляется в определенные источники и из них.

Однако по мере развития ландшафта угроз в начале 2010-х годов администраторы безопасности обнаружили, что данные об объеме сети не дают полной картины. Для того чтобы полагаться только на NTA при обнаружении угроз, требовался исключительно опытный и внимательный сетевой администратор; многое оставалось на волю случая. Network Detection and Response подчеркивает универсальный сбор сетевых данных наряду с дополнительным уровнем анализа.

Современные инструменты NDR Укрепите этот базовый поведенческий анализ с помощью сравнения сигнатур файлов и внедрения правил. После обнаружения потенциальной угрозы NDR может автоматически помещать подозрительные файлы в карантин, отмечать важную информацию для администраторов безопасности и сопоставлять оповещения с более широкими инцидентами безопасности.

Какова роль NDR в кибербезопасности

Традиционно кибербезопасность организаций опиралась на статические инструменты обнаружения угроз, такие как антивирусы и межсетевые экраны: они полагались на обнаружение на основе сигнатур, оценивая файлы, внедряемые в сеть или распространяемые по ней, на основе индикаторов компрометации в базе данных каждого инструмента.

Однако эта настройка — теперь называемая периметральной кибербезопасностью — имела несколько неотъемлемых недостатков. Например, если брандмауэр не обновляется постоянно, злоумышленник может проскользнуть через бреши. Как только одно устройство или служба скомпрометированы, внутреннее доверие между устройствами во внутренней сети затем эксплуатируется, поскольку злоумышленник начинает повышение привилегий.

NDR используют эту цепочку атак и признают, что почти каждая атака касается как минимум одной внутренней сети. Команды по кибербезопасности могут развернуть решение NDR через трафик Север-Юг и Восток-Запад, предоставляя им видимость трафика, поступающего в организацию, и распределяемого между внутренними устройствами соответственно. Это закрывает одну из самых больших точек опоры, на которую полагаются злоумышленники. Наш Руководство для покупателей NDR подробно описано, как обрабатываются и анализируются данные трафика на предмет возможной вредоносной активности.

Какова роль NDR в Центре оперативного управления безопасностью?SOC)?

Современный SOC Необходимо быть повсюду одновременно: с учетом разветвленности современных сетей это непростая задача. В результате, NDR играет важную роль в обеспечении эффективной работы современных сетей. SOCпоскольку это централизованная платформа обнаружения. Следующие возможности могут быть предоставлены платформе. SOC с помощью соответствующего NDR.

Полная видимость сети

Основной компонент SOC Его преимущество заключается в способности обнаруживать угрозы и реагировать на них во всем спектре устройств, пользователей и сервисов. Сетевые данные являются ценным источником информации, но специалисты по сортировке угроз и охотники за угрозами часто сталкиваются с трудностями из-за их огромного количества. Архитектура NDR позволяет автоматически собирать данные о пакетах, потоках и журналах из сетевой инфраструктуры и межсетевых экранов. Она также анализирует зашифрованный трафик, не перехватывая его. Это позволяет проводить углубленный анализ с использованием более широкого спектра источников, тем самым повышая эффективность системы. SOC более полное представление об их сетях.

Подключенные оповещения

Специалисты по сортировке играют ключевую роль в обработке оповещений безопасности, собирая необработанные данные и анализируя входящие оповещения. В их обязанности входит проверка оповещений, оценка или корректировка их серьезности и обогащение их контекстной информацией. Современные NDR ускоряют этот процесс за счет интеграции с другими инструментами безопасности и автоматической маркировки сетевых аномалий в более широком контексте — от фишинговых писем до подозрительных загрузок файлов.

Быстрая сетевая осведомленность

SOC Руководители осознают необходимость глубоких знаний в области сетевых технологий. Этот спрос может привести к проблемам с наймом и обучением новых сотрудников. SOC Члены команды — сложные и отнимающие много времени. С NDR в SOCДаже новые члены команды, не обладающие опытом работы в сетях, могут развернуть решение NDR и начать выявлять угрозы.

Быстрое сетевое реагирование

Аналитическая мощь NDR предлагается аналитикам в интуитивно понятной панели. Этот пользовательский интерфейс позволяет автоматически расставлять приоритеты для оповещений и позволяет гораздо раньше запускать возможности ручного сетевого реагирования.

NDR против обнаружения и реагирования на конечные точки (EDR)

Современная кибербезопасность требует видимости не только сетевых действий — EDR — это соответствующее решение, которое фокусируется на поведении конечной точки. Обнаружение сети и конечной точки довольно просто: так же, как NDR принимает каждое действие в сети и размещает его на более широком графике тенденций, EDR берет каждое действие на уровне устройства и анализирует его в связи с его историческим или ролевым поведением.

Продукты EDR обычно доставляются через развертываемый агент конечной точки на каждой конечной точке. Имея локальное присутствие, EDR может поглощать информацию о процессе, которая помогает идентифицировать потенциально вредоносные программы, отслеживая, какие процессы запущены в системе. Информация о файлах также проверяется для проверки целостности файлов, в то время как информация о пользователе проверяет легитимность каждой учетной записи. Наконец, собирается системная информация для поддержания всестороннего представления о работоспособности конечной точки.

Вместо разделения на NDR и EDR, большинство организаций используют NDR вместе с EDR — это позволяет отслеживать и контролировать всю цепочку атак. От первоначального взлома учетной записи до повышения привилегий на сетевом уровне и последующего развертывания вредоносного ПО — все сложные атаки могут быть обнаружены заранее. Видя потенциал этого, некоторые поставщики решений в области кибербезопасности начали предлагать еще один уровень анализа и координации между ними — расширенное обнаружение и реагирование (EDR).XDR).

Как NDR соотносится с EDR и XDR?

NDR, EDR и XDR Это несколько различающиеся технологии, каждая из которых нацелена на разные аспекты процессов выявления угроз и реагирования на них. Они также имеют разный охват – от специфичных для сети до всей поверхности атаки организации.

NDR (сетевое обнаружение и ответ)

EDR (обнаружение конечных точек и реагирование)

XDR (Расширенное обнаружение и ответ)
Объем Сетевой трафик. Конечные точки (ноутбуки, серверы, устройства). Все (конечные точки, сеть, облако).
Первичные источники данных Сетевые метаданные, потоки трафика. Телеметрия конечной точки, поведение файлов и процессов. Агрегированная телеметрия по нескольким доменам.
Возможности реагирования Ограничен действиями на сетевом уровне, все чаще предлагается автоматизированный ответ. Изолирован для реагирования, специфичного для конечной точки, например, карантина. Обеспечивает полную свободу кроссплатформенного автоматизированного реагирования.
Сложность развертывания Средний (требуется сетевая интеграция). Средний (требуется установка агента на конечных точках). Высокий (требуется интеграция со всеми платформами безопасности или основными источниками данных).
Лучший вариант использования Обнаружение бокового движения, скрытых угроз. Выявление скомпрометированных конечных точек. Комплексное обнаружение и реагирование на угрозы.

Методы, используемые в решениях NDR

Поскольку NDR постоянно обрабатывают и анализируют большие объемы данных, важно понимать различные стратегии, которые они применяют против сложных угроз.

Анализ зашифрованного трафика

Защита зашифрованного трафика традиционно была щекотливой темой: и поскольку подавляющее большинство сегодняшнего трафика теперь зашифровано, невозможность адекватно анализировать зашифрованный трафик может быть серьезным упущением. Однако расшифровка всех сетевых пакетов в процессе передачи может существенно увеличить риск раскрытия данных и токенов.

Чтобы обойти это, ведущие на рынке инструменты часто полагаются на стек методов NDR. Чтобы предотвратить утечку токенов или расшифрованных данных, датчики могут быть развернуты за прокси-серверами. Это использует обнаружение зашифрованного трафика и направляет его через прокси: трафик расшифровывается как обычно, а затем датчики передают всю информацию в центральный механизм NDR. Узнайте больше о наших возможностях NDR здесь.

Если прокси-серверы не подходят для конкретного варианта использования, можно точно определить легитимность трафика по его шаблонам. Полностью зашифрованный трафик можно оценить на наличие вредоносного ПО с помощью JA3-отпечатков пальцев, не нарушая его шифрование. Более того, шаблоны и метаданные можно объединить для обнаружения намерения, стоящего за зашифрованным пакетом, поскольку датчик все еще может извлечь сертификат сервера, IP-адреса, доменные имена, длительность сеанса и количество байтов из заголовка пакета и квитирования TLS/SSL.

Наконец, если расшифровка трафика полностью необходима, современные NDR могут интегрироваться с сервисами расшифровки пакетов. Полученные сетевые данные затем отправляются в центральный аналитический движок в обычном режиме.

Автоматизированное обнаружение активов

Знание того, какие устройства передают данные в сеть и из нее, имеет жизненно важное значение. NDR автоматически отслеживают и добавляют активы на панель управления активами в соответствии с соответствующим MAC-адресом, IP-адресом и именем хоста каждого из них. Это затем позволяет отображать риски на уровне сети в соответствии с их затронутыми активами.

Декодирование протокола

Сетевые протоколы представляют собой установленные наборы правил, которые определяют, как данные форматируются, передаются, принимаются и интерпретируются между устройствами в сети. Это жизненно важные части контекстной головоломки; как таковые, NDR по сути перестраивают имеющиеся у них необработанные данные для определения соответствующего протокола. Затем они сравнивают реальные сетевые данные с этим ожидаемым протоколом, что позволяет быстро обнаруживать любые отклонения трафика.

Поведенческий анализ

Наряду с протоколами, стоящими за каждым потоком трафика, NDR способны построить модель того, как каждая сеть работает изо дня в день. Например, в течение нескольких месяцев он может увидеть, как сотрудник загружает файл на определенный сайт через SFTP в 10 утра. Когда внезапно этот сотрудник загружает файл на 5 других внутренних устройств в 2 часа ночи, он знает, что нужно отметить это подозрительное действие для дальнейшего анализа.

Как развернуть сетевое обнаружение и реагирование

Развертывание NDR должно охватывать все сети, на которые полагается ваша организация – будь то облачные, полностью локальные или их сочетание. Следующие методы развертывания должны дать вам подробное представление о том, как технически развертываются NDR в организации.

Развертывание датчиков

NDR требует, чтобы датчики были развернуты в любой контролируемой сети. Существуют определенные датчики для различных вариантов использования, однако, и успешное развертывание требует правильного для работы. Например, для сред распространения Linux требуется датчик сервера Linux. Они часто развертываются с предустановленным количеством доступных ресурсов ЦП, которые он может использовать в любой момент времени, чтобы защитить качество сервера при сборе выполнений команд и журналов. Серверы Windows также требуют своего собственного типа датчика; они собирают полный объем Windows типы событий.

Модульные датчики — это ещё один тип: они позволяют добавлять к датчику настраиваемые функции. Например, это может включать пересылку журналов — если возникнет необходимость развернуть такое устройство. SIEM или с помощью других инструментов безопасности, а также для обработки сетевого трафика в соответствии с требованиями NDR. Для более жестких требований к безопасности можно также использовать модульные датчики в сочетании с системами песочницы и обнаружения вторжений.

С правильными датчиками, определенными для каждого развертывания, важно настроить их соответствующим образом. Для этого доступен целый ряд методов развертывания: порт SPAN является одним из самых распространенных, и он работает путем зеркалирования сетевого трафика на сетевом коммутаторе на порт с датчиком NDR. Это позволяет инструменту NDR пассивно захватывать пакеты всего трафика, идущего на этот порт.

Виртуальные среды полагаются на развертывание виртуальных ответвителей, которые захватывают копии данных, передаваемых между виртуальными машинами внутри хоста; физические ответвители пропускают этот трафик, поскольку он никогда не проходит по физическим сетевым кабелям. Сетевую активность удаленных конечных точек можно отслеживать с помощью сборщиков на основе агентов; легкие сборщики, которые устанавливаются непосредственно на устройство.

Попадание данных

Поскольку все данные непрерывно отслеживаются датчиками, их затем необходимо принять и проанализировать центральным аналитическим механизмом NDR. Это выполняется двумя процессами: приемниками и коннекторами. Первый — это запущенная задача, которая принимает входные данные датчика и распространяет их между IP-адресами или номерами портов, с которыми осуществляется связь, а последний просматривает связанные необработанные данные сетевых пакетов.

Загрузка и настройка

Загрузка и настройка консоли управления NDR зависит от выбранного поставщика, но все они должны требовать первоначальной настройки ролей администратора, порогов оповещений и протоколов уведомлений. Неделя или две обучения обычно являются минимальным требованием при первом развертывании нового инструмента; это помогает закрепить то, как он интегрируется с рабочими процессами аналитиков.

Включите и настройте автоматические ответы

Автоматизированные ответы являются ключевой возможностью современных инструментов NDR: они также представляют собой значительную экономию времени против потенциальных атак. В зависимости от NDR, его автоматические ответные действия, такие как завершение сеанса TCP, динамическая сегментация сети или регулирование трафика, должны быть настроены — наряду с профилем поведения, который должен запускать каждое действие. Подробнее о том, как развернуть отчет о недоставке, можно узнать здесь.

Интеграция NDR с другими инструментами безопасности

Способность NDR строить эвристические модели нормального поведения сети – и, следовательно, выявлять любые отклонения от него – в значительной степени дополняет разведданные, полученные с помощью других технологий безопасности. Если их можно интегрировать, то в каждое оповещение можно будет ввести осведомленность на уровне сети. Следующие инструменты безопасности – это те, которые видят общие и успешные интеграции NDR.

EDR

Интеграция EDR с NDR позволяет не только получить полное представление о цепочке атак, но и автоматически реагировать на угрозы через устройство EDR. Например, когда вредоносное ПО связано с устройством, совместное решение EDR/NDR может автоматически изолировать его от сети. Такое сдерживание предотвращает распространение угрозы, одновременно предоставляя службам безопасности возможность расследовать инцидент и применять необходимые меры по исправлению ситуации.

SIEM

SIEMИнструменты анализа логов повсеместно используются в командах безопасности — они позволяют проводить анализ логов и обнаружение угроз, и являются предшественниками современных систем управления угрозами. Однако, поскольку SIEMСистемы обрабатывают огромное количество журналов событий, а одних только журналов недостаточно для получения наиболее полной информации об угрозах. SIEMСистемы очень подвержены ложным срабатываниям. В результате ежедневно поступают тысячи оповещений, которые практически невозможно просмотреть вручную.

Сообщения о недоставке позволяют установить дополнительный уровень аутентификации — всякий раз, когда... SIEM Если система обнаруживает потенциальный инцидент, соответствующие сетевые данные могут быть проанализированы. Если оба источника данных указывают на атаку, оповещение может быть отправлено через центральную панель мониторинга NDR. Это не только помогает отфильтровывать некорректные оповещения, но и предоставляет аналитику более надежную основу для работы.

Межсетевые экраны

NDR улучшает разведданные об угрозах брандмауэра, обнаруживая необычное или вредоносное поведение сети. Поскольку он отслеживает поведение до определенного IP-адреса, эта информация в реальном времени может быть отправлена ​​на брандмауэр, развернутый вокруг каждой сети или подсети. Затем он автоматически создает и применяет соответствующую политику, блокируя подозрительный трафик.

Звучит слишком хорошо, чтобы
будь настоящим?
Смотрите сами!

Запросить демо
Наверх
Подпишитесь на рассылку новостей