Применяя сочетание современных технологий и методик кибербезопасности, инструменты сетевого обнаружения и реагирования (Network Detection and Response, NDR) выявляют аномалии и реагируют на угрозы, которые могут быть не замечены другими средствами безопасности.
Защищая свои организации от киберугроз, аналитики SOC, как правило, перегружены работой. Угрозы постоянно эволюционируют и множатся, а сеть становится воистину безграничной — в таких условиях аналитикам приходится иметь дело со все более сложной, разрастающейся поверхностью атаки. Ситуацию осложняет еще и тот факт, что за годы пандемии и после нее выросло число людей, работающих в удаленном или гибридном режиме. По оценкам компании McKinsey, в США как минимум 58% работников трудятся удаленно.
Внутри разросшейся сети есть огромное количество неуправляемых активов, например: устройств, на которых не установлены агенты безопасности, или их параметры безопасности неправильно сконфигурированы/устарели. По некоторым данным, число неуправляемых активов может в два раза превышать количество управляемых.
Уязвимости неуправляемых активов трудно устранять. К тому же такие активы редко проверяют на наличие уязвимостей, если вообще проверяют. Для устаревших устройств производители могут совсем не выпускать обновления и патчи. Чтобы модернизировать эти устройства, службе ИТ, возможно, придется выполнить повторное развертывание или приобрести лицензии. Эти усилия и затраты трудно обосновать, даже если устройства представляют собой угрозу для безопасности.
Неудивительно, что киберпреступники атакуют неуправляемые устройства, которые представляют собой идеальное укрытие. Злоумышленники могут использовать легитимные авторизованные инструменты для перемещения по сети между неуправляемыми устройствами, не привлекая внимания, и «залечь на дно» на недели или даже месяцы.
Такие технологи, как EDR (Endpoint Detection & Response, «обнаружение и реагирование для конечных точек»), ITDR (Identity Threat Detection and Response, «выявление угроз для учётных данных и реагирование на них») и ASM (управление поверхностью атаки), не предназначены для поиска угроз, скрытых в неуправляемых активах, или для просмотра трафика внутри сети. NDR ликвидирует эту брешь в системе безопасности, выявляя и коррелируя даже малозаметные аномалии, вызванные угрозами, которые другие защитные средства могли бы не заметить.
По некоторым прогнозам, уже в 2025 году число устройств на нашей планете может превысить 18 миллиардов. Если среди них будет даже небольшой процент неуправляемых устройств, последствия для безопасности окажутся разрушительными. Сегодня очень немногие команды SOC имеют возможность видеть всю поверхность атаки и все до единой конечные точки, тем более неуправляемые активы. Трудно защищать то, до чего не можешь дотянуться, и невозможно управлять тем, чего не видишь.
К тому же, как известно, сотрудники SOC перегружены оповещениями, что чревато массой ложных тревог и пропущенных атак. С другой стороны, в этом потоке информации часто отсутствуют данные, необходимые для полного понимания инцидентов. Слишком много информационного шума и слишком мало точной, конкретной и полезной информации.
Чтобы решить эти проблемы, NDR отслеживает сетевой трафик и поведение устройств в сети. Любая активность рядом с неуправляемым устройством будет обнаружена, проанализирована и, если нужно, признана аномальной, даже если с самим устройством нет связи. Функции NDR тщательно проверяют шаблоны и устанавливают логическую связь между разрозненными событиями, чтобы наиболее точно отличать потенциальные угрозы от безобидной активности.
С помощью эффективного решения NDR аналитики SOC могут находить в сети неуправляемые активы, обнаруживать и коррелировать слабые сигналы, чтобы блокировать угрозы и защищать сеть от злоумышленников. Слабые сигналы — это, в основном, оповещения с низкой степенью достоверности или события, информации о которых недостаточно, чтобы определить, есть ли атака.
Поскольку сложные многоуровневые атаки могут маскироваться под пошаговые перемещения по отдельным уровням сети, ни одно из них само по себе не кажется достаточным основанием для вмешательства средств кибербезопасности. Защитные средства, которые отслеживают отдельные уровни безопасности, могут не обнаружить эти атаки. NDR, коррелируя данные со всех уровней, собирает факты воедино и может подтвердить наличие угрозы.
Отследить весь путь атаки
NDR предоставляет командам SOC более полную картину того, что происходит в сети, извлекая сетевые метаданные из всего трафика, неважно, выглядит он подозрительным или нет. Эти метаданные сопоставляются с потенциальными угрозами, что дает специалистам SOC возможность визуализировать цифровой отпечаток атаки. Они могут увидеть все этапы атаки, выявить первопричины и определить полный масштаб инцидента на всех уровнях безопасности.
Решение NDR также позволяет выявлять скрытые уязвимости, предоставляя платформу, где результаты сторонних инструментов сканирования могут быть состыкованы со знаниями экспертов по безопасности, что позволяет исправить потенциальные уязвимости еще до того, как их попытаются эксплуатировать.
Возможности NDR в сочетании с другими решениями безопасности, такими как EDR, ITDM и ASM, позволяют действовать практически в режиме реального времени, ускоряя время обнаружения, снижая затраты и минимизируя число ложных срабатываний.
NDR обеспечивает непрерывный мониторинг и анализ сетевого трафика с помощью глубокой проверки пакетов, анализа поведения пользователя и машинного обучения. Решение обнаруживает аномалии и выявляет потенциальные угрозы, для достижения максимальной эффективности интегрируясь с источниками информации об угрозах. Сочетая мониторинг в реальном времени с автоматическим реагированием и снижением уровня рисков, NDR позволяет специалистам SOC обеспечивать проактивную защиту от сложных киберугроз и минимизировать возможные последствия инцидентов безопасности.
Для выполнения своих функций NDR необходим комплексный набор взаимосвязанных возможностей. Сюда входят:
Кроме прочего, решения для сетевого обнаружения и реагирования должны легко масштабироваться по мере расширения сетей и подключения все большего числа устройств, а также обеспечивать стабильную и надежную работу. В идеале в решение NDR должна быть заложена возможность постоянных улучшений, чтобы со временем повышалась его точность и эффективность.
Какие дополнительные возможности могут потребоваться для NDR
В компаниях, исследующих кибербезопасность, таких как Gartner и Forrester, считают, что для обеспечения защиты в полном объеме помимо описанных выше основных возможностей решению NDR требуются дополнительные функции.
К ним относятся:
Подход Trend Micro к сетевому обнаружению и реагированию
Чтобы обеспечить высокую точность обнаружения на основе сильной корреляции и богатого контекста, Trend использует данные телеметрии с нативных датчиков по всем векторам безопасности. Подход Trend к NDR позволяет SOC внедрять автоматизированное исправление последствий атаки, работая со сторонними решениями и платформами оркестрации, автоматизации и реагирования SOAR (Security Orchestration, Automation, and Response), чтобы предотвратить будущие атаки.
Технология NDR от Trend выявляет риски, связанные как с неуправляемыми, так и с управляемыми устройствами; обнаруживает аномалии и моделирует поведение, чтобы выявить даже малозаметные шаблоны, которые могут указывать на угрозу.
Вдобавок к ИИ, машинному обучению и обнаружению аномалий, на которые только и полагаются многие сторонние NDR-решения, Trend использует свой более чем 35-летний опыт анализа угроз, а также сложнейший поведенческий анализ для более высокого уровня обнаружения угроз при минимальном числе ложных срабатываний.
Решение NDR — важный элемент инструментария кибербезопасности. Оно дополняет EDR, ITDR и ASM, вскрывая сетевые уязвимости и в полном объеме обеспечивая XDR. Решение от Trend отвечает всем основным требованиям к NDR и требованиям к дополнительным возможностям, установленным ведущими аналитиками кибербезопасности для создания комплексного надежного решения сетевого обнаружения и реагирования.