Сетевое обнаружение и реагирование (NDR) В последние несколько лет этот инструмент безопасности стал своего рода Родни Денджерфилдом – «к нему никто не относится с уважением». Вполне возможно, что такая плохая репутация возникла из-за огромных маркетинговых вложений. Обнаружение конечной точки и ответ (EDR) и Расширенное обнаружение и реагирование (XDR)Это также может быть связано с ростом зашифрованного трафика и ошибочным убеждением, что зашифрованный трафик практически полностью вытеснил технологию NDR (примечание: это не так).
Какова бы ни была причина понижения рейтинга NDR в иерархии инструментов безопасности, я хочу сказать, что ложные слухи о NDR не только не соответствуют действительности, но и могут создать ненужные риски для организаций, придерживающихся этих ложных утверждений. По моему скромному мнению, NDR сегодня является необходимостью для обеспечения безопасности, и его ценность в будущем будет только расти.
Позвольте мне пояснить. Существует старая поговорка из области кибербезопасности: «Сеть не лжет», что означает, что сетевая телеметрия имеет решающее значение для мониторинга всей активности — какой трафик является критически важным, какой трафик и протоколы передаются по сети, как работает сеть и какой трафик используется для вредоносной деятельности. С точки зрения безопасности, NDR необходима в качестве дополнения к таким технологиям, как EDR. XDR, SIEMи другие, в частности, для:
- Защита и оборона активов, не имеющих агентов. Множество ИТ-ресурсов, таких как маршрутизаторы, сетевое оборудование и устройства IoT/OT, не работают. EDR агенты, делающие EDR невосприимчивым к подобным атакам. А ведь их было множество, например, атака Triton/Trisis 2017 года (на контроллеры безопасности OT), взлом камер Verkada в 2021 году и, конечно же, прародитель всех атак — Stuxnet (2010). Эффективная система EDR может отслеживать эти устройства, выявлять аномальные схемы трафика и обеспечивать быстрое реагирование.
- Обнаружение боковых движений. Когда злоумышленники компрометируют актив (например, отключая агент EDR), NDR имеет решающее значение для обнаружения аномального сетевого трафика, который может указывать на горизонтальное перемещение, используемое в рамках повышения привилегий или обнаружения критически важных данных. Это особенно важно для защиты от атак типа «использование имеющихся ресурсов», которые точно имитируют «нормальную» активность сетевого трафика.
- Извлечение данных. NDR Особенно хорошо этот инструмент обнаруживает крупные или необычные передачи данных, часто туннелируемые на внешние серверы через протокол DNS. Например, вредоносная программа Decoy Dog 2023 года похищала конфиденциальные данные, разрезая их на небольшие фрагменты, шифруя или кодируя их, а затем добавляя в качестве поддоменов к доменам, контролируемым злоумышленником. Затем сервер злоумышленника перехватывал эти входящие запросы, удалял доменную упаковку и собирал полезную нагрузку заново, оставаясь невидимым для традиционных межсетевых экранов. Опять же, ведущие инструменты обнаружения недостоверных данных (NDR) обнаружили бы эти скрытые и аномальные схемы трафика и сгенерировали бы оповещение.
- Дополнительная и критически важная телеметрия. Качество моделей ИИ зависит от качества данных, на которых они построены. Сетевая телеметрия дополняет журналы, оповещения EDR и другие источники данных телеметрией о рискованных протоколах, аномальных моделях трафика, перемещении по сети, указывающем на атаки с низкой скоростью, и анализом зашифрованного трафика (ETA). Например, сетевая телеметрия может помочь автономным агентам безопасности проверять или опровергать оповещения о потенциально скомпрометированных конечных точках, сопоставляя внутренние системные журналы с фактическими внешними моделями трафика. В конечном итоге, сетевая телеметрия снимает невидимость злоумышленника, сопоставляя вредоносное перемещение по сети с другими источниками данных в режиме реального времени.
- Более совершенные модели для охвата IoT/OT. Такие отрасли, как производство, здравоохранение и логистика, продолжают внедрять новые типы Интернета вещей. OT устройства. Например, согласно прогнозу IDC на 2026 год (полугодовой обзор мировых расходов на IoT), к концу 2026 года глобальные расходы на IoT/OT превысят отметку в 1.1 триллиона долларов. Несмотря на этот рост, исследование McKinsey & Company указывает на «пробел в видимости», из-за которого среднее промышленное предприятие по-прежнему не может идентифицировать 30% устройств, подключенных к его основной производственной сети. NDR может обнаруживать активы, отслеживать схемы трафика и уникальные протоколы, которые затем могут быть использованы для разработки моделей ИИ и функциональности агентов. Это может означать разницу между шумными оповещениями и точным и четким обнаружением угроз для IoT/OT.
- Первая линия обороны. Наряду с анализом угроз, NDR Телеметрия может помочь организациям прогнозировать атаки, визуализировать пути атаки и усиливать защиту. Вооружившись сетевой и другой телеметрией, агенты ИИ могут запускать рабочие процессы для автоматической изоляции скомпрометированной VLAN или обновления правил брандмауэра в режиме реального времени, если они обнаружат поведение, указывающее на высоковероятные тактики и методы программ-вымогателей.
Хорошо, NDR имеет смысл сам по себе И как часть агентного подхода SOCИтак, как же организациям следует действовать? Хотя крупнейшие предприятия могут располагать бюджетами и навыками для поддержания независимого инструмента NDR (уведомления о недоставке), малые предприятия и компании с ограниченными ресурсами могут извлечь выгоду из использования агентского подхода. SOC «Платформа», которая интегрирует телеметрию NDR с другими источниками данных, такими как EDR, облачные журналы, журналы идентификации и так далее. Таким образом, интегрированная платформа создает единый источник достоверной информации в виде графа данных, который можно использовать для создания более точных, консолидированных и настраиваемых моделей и агентов ИИ, адаптированных к отрасли, местоположению и профилю угроз каждой организации.
Таким образом, руководители служб информационной безопасности могут снизить совокупную стоимость владения, оптимизировать инструменты обеспечения безопасности и добиться того, чтобы вся команда безопасности работала в одном направлении. Другими словами, они могут отказаться от индивидуальной интеграции и программирования, в то время как вся команда безопасности (и, возможно, ИТ-специалист) сможет использовать общий интерфейс для управления безопасностью, изучая и оптимизируя единый агентский интерфейс. SOC .
При всем уважении к Родни Дэнджерфилду, NDR заслуживает большого уважения – особенно в условиях перехода организаций от разрозненных инструментов обеспечения безопасности к интеллектуальной агентской системе. SOCАх да, и я еще не упомянул, что телеканал не лжет?
