何謂網路偵測及回應 (NDR)?

網路偵測及回應 (NDR) 結合了進階網路資安技術與方法來發掘異常狀況,並回應其他資安措施可能遺漏的威脅。

為何需要 NDR?

資安營運中心 (SOC) 團隊正面臨巨大的壓力必須保護企業免於網路威脅,這些威脅不斷演進和擴張,再加上網路越來越無邊界,因而造就了更大、更複雜的攻擊面。自從疫情爆發以來,遠距和混合上班的激增讓這樣的情況更為嚴重,根據 McKinsey 估計,至少有 58% 的美國員工已經遠距上班。

在龐大的網路當中,有大量未受管理的資產:那些未安裝資安代理程式的裝置,或是組態設定錯誤或過時的裝置。據估計,未受管理的資產數量可能是受管理的資產的 2 倍。

未受管理的資產通常很難加以修補,此外,企業也很少掃描它們是否存在著漏洞,或者根本無法掃描。特別是那些老舊的裝置,其製造商推出安全更新的速度可能很慢。假使 IT 團隊要將它們升級,還得重新部署或先購買額外的授權,其所需的人力與成本很難獲得支持,就算這些裝置意味著資安上的弱點。

基於以上原因,網路駭客自然就盯上了這些未受管理的裝置,它們提供了絕佳的藏身地點,成為駭客「就地取材」的絕佳機會。駭客可利用完全合法又獲得授權的工具,在未受管理的裝置之間四處遊走而不引起注意,並且低調地躲藏數週或數個月之久。

端點偵測及回應 (EDR)、身分威脅偵測及回應 (ITDR) 以及攻擊面管理 (ASM) 等資安技術與方法,並非設計用來偵測未受管理資產當中潛伏的威脅,也無法檢查網路流量的內容。NDR 剛好填補了這個缺口,它能發掘甚至交叉關聯那些經由缺口潛入的威脅所造成的細微異常情況。

NDR 為 SOC 團隊解決了哪些挑戰?

根據某些預測,全球裝置數量最快可能在 2025 年就突破 180 億台,就算只有其中的一小部分裝置未受到管理,其資安衝擊依然非常巨大。今日已很少有 SOC 團隊能掌握整個攻擊面或每一個端點的可視性,更別說是未受管理的資產。您無法防範您看不見的地方,也無法保護您看不到的東西。

大家都知道 SOC 早已被警報通知所淹沒,不僅導致了大量誤判,更遺漏了不少攻擊。除了被警報通知淹沒之外,他們也經常缺乏充分的資料來掌握事件的全貌。不僅雜訊太多,而且精確、扼要、可化為行動的資訊太少。

NDR 可監控網路內的流量與裝置行為來解決這些難題。任何未受管理裝置的活動都能被偵測、分析並判定為異常,即使無法看到裝置本身。NDR 的交叉關聯能力可過濾出行為模式並串連各種線索,進而更準確地分辨真正的潛在威脅與無害的活動。

有了一套有效的 NDR 解決方案,SOC 團隊就能發掘網路上未受管理的資產,偵測及交叉關聯「微弱的訊號」來鎖定威脅並剷除駭客。這些微弱的訊號,基本上就是一些缺乏充分資訊可判斷攻擊是否存在的低可信度警報或事件。

從末端回溯至攻擊源頭

NDR 讓 SOC 團隊更清楚掌握網路的狀況,它會擷取「所有」網路流量的 Metadata,不論可疑與否。並且將這些 Metadata 與潛在的威脅交叉關聯,讓 SOC 團隊用視覺化方式掌握攻擊的足跡。他們可以看到攻擊的整個過程、找出問題的根源,並判斷事件在整個資安堆疊上的涉及範圍。

此外,NDR 還提供了一個發掘潛在漏洞的平台,讓第三方掃描工具的輸出能與資安專家的知識結合,在潛在漏洞遭到攻擊之前預先加以修補。

這所有的一切,尤其是搭配其他 EDR、ITDM 和 ASM 等資安解決方案時,就能加快偵測速度、降低成本、減少誤判,近乎即時地採取行動。

NDR 解決方案有哪些元件?

NDR 利用深層封包檢查、行為數據分析以及機器學習來持續監控和分析網路流量。它能偵測異常狀況並發掘潛在威脅,並與威脅情報來源整合以發揮最大成效。NDR 結合了即時監控以及自動化回應與防範,讓 SOC 團隊主動防範精密的網路威脅,盡可能降低資安事件的潛在衝擊。

要實現這些功能,NDR 需要一整套的交叉關聯能力。包括:

  • 能建立網路流量模型來突顯異常情況,並根據行為而非尋找某些特徵來執行偵測。這就需要機器學習與進階數據分析的幫忙。
  • 能在經過適當調校之後穩定地降低誤判,這樣 SOC 團隊才能相信其收到的分析結果。
  • 能將警報彙整並交叉關聯成 Gartner 所謂的「結構化事件」,讓資安人員更容易調查威脅。
  • 能透過自動化回應來遏止或攔截威脅。

此外,網路偵測及回應解決方案也要能隨著網路擴大及連接更多裝置而擴充,並提供一致、可靠的效能。最好還要內建一些持續改善的空間,好讓 NDR 解決方案能隨著時間的推移而變得更準確、更有效。

NDR 還需要哪些功能?

網路資安分析機構 (如 GartnerForrester) 建議,除了上述核心功能之外,NDR 解決方案還需具備其他特質來發展出必要的完整防護。

這些進階功能包括:

  • 網路流量解密。分析流量模式是一回事,但如果能看到流量的內容,那就能大大提升保障網路安全的能力。今日絕大部分的網路流量都是加密的,就如同幾乎所有的網站流量 (95%) 都經過加密。這意味著,就算偵測到網路資產之間有可疑的橫向移動行為,如果沒有解密,SOC 團隊也無法得知流量的內容是什麼,或者是否真的有危害。
  • 跨防護層交叉關聯 。能夠交叉關聯網路層內的異常行為固然不錯,但仍有可能產生過多的警報或誤判。一套能交叉關聯多重防護層資料的 NDR 解決方案,就更有機會過濾出真正的威脅,進而觸發有意義的警報讓 SOC 團隊相信這些警報確實必須處理。
  • 支援零信任方法。零信任是當今管制企業資產與資源存取最好的框架,能以最謹慎的方式來防範資安事件與攻擊。若能將零信任方法與網路偵測及回應結合,就能突顯異常的行為,加快威脅的偵測速度。
  • 根據 SOC 分析師經驗來判斷優先次序。 這是一項重質不重量的工作,但一分一毫都很重要。有鑑於 SOC 團隊面臨的壓力,以及他們每天應付的警報數量,還有犯錯可能帶來的後果,因此提供 NDR 解決方案來減輕 SOC 的生活壓力,不僅有很高的價值,而且能提高 NDR 的使用率。

趨勢科技的 NDR 作法為何?

趨勢科技採用來自各資安管道的原生監測資料,再配上強大的交叉關聯能力與豐富的情境來提供高準度的偵測。趨勢科技的 NDR 方法讓 SOC 能獲得自動化矯正,並結合第三方解決方案以及資安自動化協同及回應 (SOAR) 平台來防範未來的攻擊。

趨勢科技的 NDR 技術能發掘未受管理與受管理裝置的相關風險,偵測異常狀況並建立行為模型,進而發掘不太起眼但卻可能意味著威脅的行為模式。

儘管許多 NDR 解決方案都幾乎完全仰賴 AI、機器學習與異常偵測,但趨勢科技更結合了超過 35 年的威脅情報以及精密的行為分析,因此能以極低的誤判率來準確偵測威脅。

NDR 是企業網路資安工具不可或缺的一環,能與 EDR、ITDR 和 ASM 相輔相成來防範網路漏洞,並提供全方位的 XDR。趨勢科技不僅滿足了 NDR 的核心要求,更提供頂尖網路資安分析師認為一套完整、可靠的網路偵測及回應解決方案所應具備的額外功能。

NDR

相關文章