Czym jest wykrywanie i reagowanie w sieci (NDR)?
Wykrywanie i reagowanie w sieci (NDR) wykorzystuje połączenie zaawansowanych technologii i metod cyberbezpieczeństwa do identyfikowania anomalii i reagowania na zagrożenia, które mogą zostać pominięte przez inne środki bezpieczeństwa.
Dlaczego NDR jest potrzebne?
Zespoły SOC znajdują się pod silną presją, aby chronić swoje organizacje przed cyberzagrożeniami. Zagrożenia te nadal ewoluują i rozprzestrzeniają się, a sieć staje się coraz bardziej bezgraniczna, tworząc większą i bardziej złożoną powierzchnię ataku, z którą należy się zmierzyć. Wzrost liczby pracy zdalnej i hybrydowej znacząco przyczynił się do tego od czasów pandemii, a McKinsey szacuje, że co najmniej 58% pracowników w USA pracuje już zdalnie.
W rozległej sieci znajduje się ogromna liczba niezarządzanych zasobów: urządzeń, które nie mają zainstalowanych agentów zabezpieczeń lub których ustawienia zabezpieczeń są źle skonfigurowane lub nieaktualne. Według niektórych szacunków niezarządzane zasoby mogą przewyższyć liczbę zarządzanych zasobów w stosunku 2:1.
Niezarządzane zasoby są trudne do naprawy. Rzadziej, jeśli w ogóle, są one skanowane pod kątem luk w zabezpieczeniach i mogą nie być w ogóle możliwe do zeskanowania. Szczególnie w przypadku starszych urządzeń producenci mogą zbyt wolno wydawać aktualizacje zabezpieczeń. Aby zespoły IT mogły je zaktualizować, mogą najpierw być zmuszone do ponownego wdrożenia lub dodania licencji, co wymagałoby wysiłków i kosztów, które nie są łatwe do uzasadnienia, nawet jeśli urządzenia te są odpowiedzialne za bezpieczeństwo.
Z tych wszystkich powodów cyberprzestępców przyciągają niezarządzane urządzenia. Zapewniają doskonałe kryjówki — możliwości przetrwania dzięki dostępnym zasobom. Atakujący mogą korzystać z całkowicie legalnych, autoryzowanych narzędzi, aby poruszać się po sieci między niezarządzanymi urządzeniami bez przyciągania uwagi, pozostając w ukryciu przez tygodnie lub miesiące.
Technologie i podejścia bezpieczeństwa, takie jak rozszerzone wykrywanie i reagowanie (EDR), wykrywanie zagrożeń tożsamości i reagowanie (ITDR) oraz zarządzanie powierzchnią ataku (ASM) nie są przeznaczone do wyszukiwania zagrożeń czających się w niezarządzanych zasobach ani do wykrywania ruchu sieciowego. NDR wypełnia tę lukę, ujawniając i korelując nawet subtelne anomalie spowodowane zagrożeniami, które w przeciwnym razie mogłyby prześlizgnąć się przez szczeliny.
Jakie wyzwania wiążą się z NDR dla zespołów SOC?
Niektóre prognozy sugerują, że planeta może mieć ponad 18 miliardów urządzeń już w 2025 r. Nawet jeśli niewielki odsetek tych urządzeń nie jest zarządzany, konsekwencje dla bezpieczeństwa będą ogromne. Niewiele zespołów SOC ma dziś wgląd w całą powierzchnię ataku lub w każdy ostatni punkt końcowy — zwłaszcza niezarządzane zasoby. Trudno jest bronić się tam, gdzie nie można dotrzeć, a nie można poradzić sobie z tym, czego się nie widzi.
Zespoły SOC są również notorycznie przeciążone alertami, co prowadzi do wielu fałszywych alarmów i pominiętych ataków. Nawet przy takim natężeniu informacji często brakuje im danych potrzebnych do pełnego zrozumienia incydentów. Zbyt dużo hałasu i zbyt mało dokładnych, precyzyjnych i użytecznych informacji.
NDR rozwiązuje te problemy, monitorując ruch sieciowy i zachowania urządzeń w sieci. Każde działanie wokół niezarządzanego urządzenia może zostać wykryte, przeanalizowane i uznane za anomalię, nawet jeśli samo urządzenie jest niewidoczne. Możliwości korelacji NDR polegają na przesiewaniu wzorców i łączeniu punktów w celu dokładniejszego rozróżniania między uzasadnionymi potencjalnymi zagrożeniami a nieszkodliwą aktywnością.
Dzięki skutecznemu rozwiązaniu NDR zespoły SOC mogą wykrywać niezarządzane zasoby w sieci oraz wykrywać i korelować słabe sygnały, aby blokować zagrożenia i eliminować atakujących. Słabe sygnały to alerty o niskim poziomie pewności lub zdarzenia, o których nie ma wystarczającej ilości informacji, aby wiedzieć, czy atak jest obecny, czy nie.
Kompleksowe śledzenie ataku
NDR zapewnia zespołom SOC lepszy wgląd w to, co dzieje się w sieci, wyodrębniając metadane sieciowe z całego ruchu — podejrzanego lub innego. Metadane te są skorelowane z potencjalnymi zagrożeniami, dając zespołom SOC możliwość wizualizacji śladu ataku. Mogą zobaczyć całe łańcuchy ataków, zidentyfikować przyczyny źródłowe i określić pełny zakres incydentu w całym stosie zabezpieczeń.
NDR zapewnia również sposób na wykrycie luk w zabezpieczeniach ukrytych poprzez zapewnienie platformy, na której można rozwiązać problemy z danymi wyjściowymi narzędzi do skanowania innych firm dzięki fachowej wiedzy w zakresie bezpieczeństwa, tak aby potencjalne słabości zostały wstępnie usunięte, zanim zostaną wykorzystane.
Wszystko to — zwłaszcza w połączeniu z innymi rozwiązaniami bezpieczeństwa, takimi jak EDR, ITDM i ASM — umożliwia niemalże w czasie rzeczywistym działanie z krótszym czasem wykrywania, niższymi kosztami i mniejszą liczbą fałszywych alarmów.
Jakie są komponenty rozwiązania NDR?
NDR zapewnia ciągłe monitorowanie i analizę ruchu sieciowego przy użyciu głębokiej kontroli pakietów, analityki behawioralnej i uczenia maszynowego. Wykrywa anomalie i identyfikuje potencjalne zagrożenia, integrując się ze źródłami analizy zagrożeń w celu zapewnienia maksymalnej skuteczności. Łącząc monitorowanie w czasie rzeczywistym z automatycznym reagowaniem i minimalizowaniem, NDR umożliwia zespołom SOC proaktywną ochronę przed zaawansowanymi zagrożeniami cybernetycznymi i minimalizację potencjalnego wpływu incydentów związanych z bezpieczeństwem.
Aby wykonać te funkcje, NDR potrzebuje kompleksowego zestawu powiązanych ze sobą funkcji. Oto one:
- Umiejętność modelowania ruchu sieciowego w taki sposób, aby nieprawidłowości się wyróżniały, a wykrywanie można było wykonywać w oparciu o zachowania, zamiast szukać konkretnych sygnatur. Wymaga to uczenia maszynowego i zaawansowanej analityki.
- Niezawodnie niski wskaźnik fałszywie dodatni po odpowiednim dostrojeniu rozwiązania, aby zespoły SOC mogły zaufać uzyskanym wynikom.
- Możliwość agregowania i korelowania alarmów z informacjami określanymi przez Gartner jako „ustrukturyzowane incydenty”, co ułatwia specjalistom ds. bezpieczeństwa badanie zagrożeń.
- Możliwość ograniczania lub blokowania zagrożeń za pomocą automatycznych odpowiedzi.
Rozwiązania do wykrywania i reagowania w sieci muszą być również w stanie skalować się w miarę rozwoju sieci i łączenia się w nie większej liczby urządzeń, zapewniając stałą, niezawodną wydajność. Idealnie byłoby również wbudować pewną zdolność do ciągłego doskonalenia, dzięki czemu rozwiązanie NDR z czasem może być bardziej dokładne i skuteczne.
Jakich dodatkowych funkcji może potrzebować NDR?
Firmy analityków cyberbezpieczeństwa, takie jak Gartner i Forrester, zasugerowały, że oprócz podstawowych możliwości opisanych powyżej, rozwiązania NDR wymagają również innych cech, aby opracować pełny zakres wymaganej ochrony.
Te zaawansowane funkcje obejmują:
- Deszyfrowanie ruchu sieciowego. Analizowanie wzorców ruchu to jedno, ale dostrzeżenie, co zawiera ten ruch, idzie o wiele dalej, aby zapewnić ochronę cybernetyczną. Znaczna część dzisiejszego ruchu sieciowego jest jednak szyfrowana, podobnie jak prawie wszystkie (95%) ruch sieciowy. Oznacza to, że nawet w przypadku wykrycia podejrzanego ruchu sieciowego między zasobami w sieci, zespoły SOC nie mogą wiedzieć, co zawiera ruch lub czy jest on naprawdę szkodliwy.
- Korelacja międzywarstwowa . Możliwość korelacji nietypowych zachowań w obrębie jednej warstwy sieci jest niezaprzeczalnie korzystna, ale nadal może generować nadmierne alerty lub fałszywie pozytywne. Rozwiązanie NDR, które może korelować dane z wielu warstw, daje znacznie większe szanse na izolowanie rzeczywistych zagrożeń i wygenerowanie znaczących alarmów, którym zespoły SOC mogą zaufać, muszą się zająć.
- Wsparcie dla podejścia zero-trust. Zero Trust to obecnie najlepsze ramy ograniczania dostępu do zasobów korporacyjnych, zapobiegania naruszeniom i atakom z maksymalną ostrożnością. Połączenie podejścia „zero zaufania” z wykrywaniem i reagowaniem w sieci sprawia, że nietypowe zachowania są bardziej widoczne i pomagają szybciej wykrywać zagrożenia.
- Priorytetyzacja doświadczeń analityków SOC. Jest to bardziej cecha jakościowa niż ilościowa, ale każdy fragment (jeśli nie więcej) jest ważny. Biorąc pod uwagę stresy występujące w zespołach SOC, ilość powiadomień, z którymi radzą sobie codziennie, oraz potencjalne konsekwencje niewłaściwego postępowania, zapewnienie rozwiązania NDR, które ułatwia korzystanie z SOC, ma wysoką wartość i znacznie większe szanse na korzystanie z nich.
Jakie jest podejście Trend Micro do NDR?
Trend wykorzystuje natywną telemetrię z różnych wektorów zabezpieczeń, aby zapewnić wysokiej precyzji wykrywania przy silnych korelacjach i bogatym kontekście. Podejście Trend do NDR umożliwia SOC stosowanie zautomatyzowanych środków zaradczych podczas pracy z rozwiązaniami innych firm oraz platformami orkiestracji, automatyzacji i reagowania (SOAR), aby zapobiec przyszłym atakom.
Technologia NDR firmy Trend identyfikuje zagrożenia związane zarówno z niezarządzanymi, jak i zarządzanymi urządzeniami — wykrywając anomalie i modelując zachowania, aby zidentyfikować nawet słabe wzorce, które mogą wskazywać na zagrożenie.
Chociaż wiele rozwiązań NDR opiera się niemal wyłącznie na sztucznej inteligencji, uczeniu maszynowym i wykrywaniu anomalii, firma Trend wykorzystuje również ponad 35 lat analizy zagrożeń, a także wysoce zaawansowaną analizę behawioralną w celu dokładnego wykrywania zagrożeń przy niezwykle niskich wskaźnikach fałszywych alarmów.
NDR to niezbędny dodatek do zestawu narzędzi cyberbezpieczeństwa organizacji, który uzupełnia EDR, ITDR i ASM w celu ochrony przed lukami w zabezpieczeniach sieci i zapewnienia pełnoprawnego XDR. Trend spełnia podstawowe wymagania NDR oraz wymagania w zakresie dodatkowych funkcji zidentyfikowanych przez wiodących analityków cyberbezpieczeństwa w zakresie kompleksowego i niezawodnego rozwiązania do wykrywania i reagowania w sieci.