網路資安威脅
為何 NDR 是網路「病蟲害防治」的關鍵?
駭客被企業 IT 環境所吸引,就如同老鼠一樣,總是在找漏洞鑽。而且一旦讓它們進到了內部,就會非常難以剷除。網路偵測及回應 (NDR) 可讓您追蹤駭客的軌跡,找出他們從哪裡溜進來,然後將漏洞堵起來。
如果您也曾被老鼠的問題所苦,那您就知道,光要捕捉他們就很困難了,還要找出他們從哪裡進來,那真是讓人抓狂。駭客入侵也是類似情況,端點偵測及回應 (EDR) 之類的技術,也許能夠在駭客冒出頭時加以察覺,但想要知道他們從哪裡進來,則完全是另外一回事。這就是為何網路偵測及回應 (NDR) 是網路資安很關鍵的一塊拼圖:它可以讓您倒帶、回放、追溯及回應駭客的入侵軌跡,然後將漏洞堵起來,讓威脅再也進不來。
網路資安是一項永遠做不完的工作,資安人員隨時都在打造「更好的捕鼠器」,並試圖預判駭客的下一步然後從中攔截,而駭客則隨時都在尋找繞過這些機關的方法。
這是一個惡性循環而且通常毫無樂趣可言,不過看到前 NASA 工程師 Mark Rober 打造了一個超級複雜的機關來阻止松鼠偷吃他餵鳥器中的食物,反倒是讓人為之一笑,竟然有人可以做到這麼極端的程度。
但其實,捕鼠器 (或松鼠機關) 也只能發揮它原本的作用而已。比起當場將駭客逮個正著,更好的作法的是找出他們從何而來、以及如何進來,然後盡可能將所有的漏洞堵住。
就拿捕鼠器的例子,您的房屋和土地基本上就像是企業的攻擊面,捕鼠器則扮演著 EDR 的角色。EDR 可攔截駭客,但無法告訴您駭客從哪裡進來,而且還有一大塊領域是 EDR 無法涵蓋的。
所以,您需要的是一種「不論駭客在哪裡」您都有辦發偵測到他們的方法,而且要能追溯他們如何突破邊界防禦,簡單來說就是 NDR。
結合 NDR 與 EDR 可讓您對環境有更完整的掌握,然後再用攻擊面管理 (ASM) 來補足空缺的部分,讓所有角落可能躲藏的駭客都全部現形。如果回到老鼠的例子,可躲藏的地方包括:車庫、後院工具間、地基的縫隙,以及烘衣機排風管等任何沒有防護措施因此很容易被老鼠入侵或騷擾的地方。
資安事件「是」可以盡量避免的
提出建議來強化企業邊境以防止資安威脅入侵,看起來好像在打臉我們過去這五年來被灌輸的一個觀念:駭客入侵是無可避免的。
的確,網路邊界的瓦解、硬體的虛擬化,以及業務流程彼此的互相依賴,都讓駭客入侵更容易發生。「該來的終究會來,所以要做好準備」,這句話的用意是要喚醒企業正視一個現實,那就是:光靠邊界防禦再也不足以抵擋駭客。但這並非什麼都做不了,就算資安事件已經發生,也不是必然會造成營運停擺或必須支付贖金,企業通常還是有一些緩衝的時間和空間可以做點什麼。
而企業需要做的是適當「結合」各種能力:ASM 可讓您更明確、更詳細地掌握您需要保護的一切,EDR (或 XDR ─ 延伸式偵測及回應) 可用來發掘潛在的威脅並加以防範,至於 NDR 則讓您看到威脅從何而來,以及它們如何在網路內部遊走。
儘管 ASM 和 EDR/XDR 似乎都已經獲得了應有的關注,但 NDR 卻沒這麼幸運,儘管它同樣重要。
NDR 如何運作
就像老鼠一樣,駭客在入侵時必然會留下痕跡,就算他們有做好收尾的工作。(由於老鼠入侵的痕跡有點噁心,所以以下我們就只討論駭客。)
駭客入侵的痕跡無法被篡改或消除,任何發生過的事,網路監測資料都會有記錄。NDR 會留下這些記錄好讓資安團隊更容易調查並解決問題的根源,這些記錄讓資安團隊擁有「倒帶」、「回放」、「追溯」及「回應」的能力。
這有助於揭發資安技術無法觸及的角落當中隱藏的威脅。就像老鼠喜歡躲在牆壁內部四處亂跑一樣,企業環境當中未受管理的資產,同樣也為駭客提供了絕佳的藏身之處。未受管理的資產 (正如字面上的意思) 是那些未受到 EDR 保護的資產,而且許多還無法安裝資安代理程式,它們既不容易看到,也很難加以保護。
NDR 能讓您監視各種隱匿的角落,即時偵測及回應網路的異常現象。請參閱我們最近一篇有關 NDR 的部落格文章來詳細了解 NDR 是如何做到這點。
有了 NDR 之後,資安團隊就能將來自網路的訊號與來自端點的資料整合,若單獨分開來看,這些資料也許無害,但如果合併一起看,就能確認是否有駭客入侵。
身分是重要的線索
不論是房屋或企業網路,您該注意的還不單只有資產和入侵者而已,還有在裡面居住及工作的人。盡可能掌握每一名人員以及他們的行為,同樣也能給您寶貴的洞察來協助您確保環境的安全。
比方說,您與另外四個人一起住在某間房子。如果您知道其中有一個人習慣在臥室內將食物放在外面,或是另一個人習慣不關後門,您可以預期這些地方會看到更多老鼠活動的痕跡,那麼您就可以針對這樣的情況來採取行動。
換到企業的場景,這就好像有某位使用者的電子郵件帳號遭到入侵,或有人固定會從遠端經由不安全的 Wi-Fi 登入企業網路一樣。
充分的資訊與良好的身分管理,可以讓端點活動與駭客入侵事件的交叉關聯更為容易,並且可以追溯駭客當初的入侵點。這就是身分威脅偵測及回應 (ITDR) 在做的事,而這也算是 XDR 的一個面向。
此外,良好的身分管理與使用者行為的掌握,還可以讓使用者更容易管理 (或限制其權限),進而提升整體攻擊面的安全。
追蹤軌跡、堵住漏洞
將 EDR/XDR 與 NDR 結合,然後再搭配綜觀全局 ASM 方法,您就能獲得企業所能期待的完整網路資安能力。這麼一來,您就可保護端點、追蹤駭客,完全掌握您所需要保護的資產,您不會只是整天忙著尋找更好的「捕鼠器」,而是能夠採取步驟來將駭客阻擋在外。
更多洞見
如需有關 NDR 及相關議題的更多資訊,請參閱以下資源:
- 網路偵測及回應:SOC 的洩壓閥部落格
- 是時候升級您的 EDR 解決方案了
- 看看為何趨勢科技被評選為端點與網路防護領導者
(EDR + NDR) (Forrester,2023 年)