Gartner definiuje systemy NDR (ang. Network Detection & Response) jako „techniki nieoparte na sygnaturach (na przykład uczenie maszynowe lub inne techniki analityczne) do wykrywania podejrzanego ruchu w sieciach korporacyjnych. Narzędzia NDR stale analizują surowe zapisy ruchu i/lub jego przepływu w celu budowania modeli odzwierciedlających normalne zachowanie sieci”.
NDR to rodzaj rozwiązania bezpieczeństwa sieci, które monitoruje i analizuje cały ruch sieciowy, w tym ruch północ/południe i wschód/zachód dzięki strategicznie rozmieszczonych czujników. W przypadku wykrycia podejrzanych wzorców ruchu, NDR automatycznie reaguje na zagrożenie lub wysyła alerty do operatorów bezpieczeństwa w celu dalszego zbadania. Autonomiczna korelacja zagrożeń jest kluczową cechą dobrego systemu NDR i zapewnia zespołom ds. bezpieczeństwa wielopoziomowy kontekst, aby wspomóc inwestygację, Threat Hunting czy zmniejszanie ryzyka w sieci.
Dlaczego organizacje potrzebują NDR?
Organizacje stoją w obliczu nieznanych i coraz bardziej niebezpiecznych zagrożeń. Z jednej strony cyberprzestępcy nieustannie udoskonalają i opracowują nowe taktyki, techniki i procedury (TTP), aby uniknąć wykrycia i spowodować większe szkody. Z drugiej strony przyspieszona transformacja cyfrowa w ciągu ostatnich kilku lat poszerzyła powierzchnię ataków w organizacji, dając przeciwnikom więcej słabości do wykorzystania.
Liczba globalnych incydentów związanych z bezpieczeństwem wzrosła o oszałamiające 67% w ciągu ostatnich 5 lat, przy czym małe i średnie przedsiębiorstwa stanowiły cel ataków w 43% przypadków. Chociaż ostatecznym celem jest zlikwidowanie dużych przedsiębiorstw z głębokimi kieszeniami, atakujący odkryli, iż o wiele łatwiej jest atakować mniejsze firmy dysponujące mniej solidnymi systemami do cyberbezpieczeństwa. Następnie wykorzystują zdobyte dane i poświadczenia, aby wspinać się po strukturze organizacji i atakować większe przedsiębiorstwa partnerskie, a choćby atakować bezpośrednio klientów. Ransomware przez cały czas jest najszybciej rozwijającym się rodzajem zagrożeń, z zyskami dla cyberprzestępców sięgającymi kilkudziesięciu miliardów USD rocznie.
Przygotowując się do zwiększenia bezpieczeństwa sieci, należy pamiętać, iż żadne indywidualne rozwiązanie zabezpieczające nie zapewnia 100% ochrony. Musi to być synergia wielu rozwiązań zabezpieczających i wykwalifikowanego personelu. Uznane za jeden z filarów Gartner SOC Visibility Triad NDR gwałtownie staje się niezbędnym elementem w centrum operacyjnym bezpieczeństwa i pomaga zespołom ds. bezpieczeństwa wykrywać najbardziej zaawansowane zagrożenia.
Przyjrzyjmy się bardziej szczegółowo, jak NDR działa w wykrywaniu zagrożeń i reagowaniu na nie.
Jak NDR wykrywa i reaguje na zagrożenia?
NDR został zaprojektowany przy założeniu, iż zagrożenia istnieją już w sieci (ang. assume-breach), a zatem przyjmuje aktywne podejście do wykrywania. Oto kilka najważniejszych informacji na temat działania NDR, jeżeli chodzi o wykrywanie zagrożeń i reagowania na nie:
- Monitoruje i analizuje ruch w całej sieci, aby zapewnić zespołom ds. bezpieczeństwa pełny wgląd w aktywność sieciową i urządzenia sieciowe.
- Wykorzystuje uczenie maszynowe do opracowywania linii bazowych dla normalnego zachowania sieci i stale stosuje analizę ruchu AI w celu wykrywania działań, które nie są zgodne.
- Wykrywa zagrożenia w czasie rzeczywistym i koordynuje działania z innymi narzędziami zabezpieczającymi, aby automatycznie reagować na wykryte zagrożenia lub dostarczać na czas alerty zespołom reagującym na incydenty.
- Koreluje ruch z różnych źródeł danych, aby określić, w jaki sposób zagrożenia przedostawały się do sieci i przemieszczały się przez nią, aby usprawnić reagowanie na incydenty i działania związane z wyszukiwaniem zagrożeń.
Przyjrzyjmy się jeszcze dokładniej, jak działa NDR, omawiając jego trzy główne funkcjonalności.
Zapewnia pełną widoczność sieci
Jedną z największych przeszkód w zabezpieczaniu sieci jest brak widoczności. Zasadniczo nie możesz bronić się przed zagrożeniami, których nie widzisz. Następnie pojawia się problem zasobów w tle – urządzeń w sieci, których administratorzy bezpieczeństwa nie są świadomi i dlatego nie są w stanie zapewnić odpowiedniej ochrony. NDR rozwiązuje te problemy, zapewniając administratorom i bezpiecznikom widoczność, której tak bardzo potrzebują. Monitorując i analizując ruch w całej sieci, rozwiązania NDR mogą zarówno wykrywać podejrzane zachowania w celu identyfikacji zagrożeń, jak i wykrywać wszystkie urządzenia podłączone do sieci.
Wykrywa nieprawidłowe zachowanie i anomalie
Bezplikowe złośliwe oprogramowanie stało się bardzo popularne, a narzędzia oparte na sygnaturach często go nie zauważają. Atakujący nierzadko używają nieszkodliwych narzędzi znanych i legalnych (LOLBin), aby ukryć swoją aktywność. Rozwiązania do wykrywania i reagowania w sieci są przeznaczone właśnie do takich sytuacji.
NDR wykrywa złośliwą aktywność dzięki AI, które polega na identyfikowaniu aktywności sieciowej odbiegającej od normalnego zachowania w sieci. Chodzi o to, iż niezależnie od tego, jak wyrafinowane i wymijające mogą być złośliwe działania, przez cały czas różnią się one od normalnego zachowania, a NDR jest w stanie je wykryć. Rozwiązania NDR wykorzystują uczenie maszynowe do tworzenia i ciągłego udoskonalania linii bazowych normalnego zachowania urządzeń sieciowych, podsieci, a choćby użytkowników. Ruch w sieci jest agregowany i poddawany analizie korelacji przy użyciu sztucznej inteligencji i analiz behawioralnych w celu wyodrębnienia wzorców aktywności. Następnie wyniki analizy są porównywane z liniami bazowymi w czasie rzeczywistym, dodatkowo przepuszczane przez modele konkretnych zagrożeń i prezentowane analitykom.
Inicjuje zautomatyzowaną i skoordynowaną reakcję
NDR można skonfigurować tak, aby automatycznie reagował na zagrożenia poprzez modyfikacje zabezpieczeń sieci czy interakcje z innymi systemami. Gdy NDR wykryje zagrożenie, inicjuje szybką, skoordynowaną reakcję, zgodnie z wcześniej zdefiniowanymi scenariuszami. Na przykład pracownik może przypadkowo kliknąć złośliwe łącze w wiadomości phishingowej, która pobiera złośliwe oprogramowanie na urządzenie. Załóżmy, iż złośliwemu oprogramowaniu udaje się uniknąć wykrycia zarówno przez zaporę sieciową, jak i zabezpieczenia punktu końcowego, umożliwiając atakującemu rozpoczęcie działania w sieci. NDR może wykrywać działania atakującego poprzez korelację danych z różnych źródeł w celu powiązania serii złośliwych zdarzeń. Następnie NDR instruuje zaporę ogniową, aby blokowała wszelką powiązaną komunikację w tym łańcuchu i izolowała wszelkie zainfekowane hosty. Może również poinstruować rozwiązanie do wykrywania i reagowania na końcówkach (EDR), aby uruchomiło skanowanie i wyczyściło wszystkie złośliwe pliki. Alternatywnie zespoły ds. bezpieczeństwa mogą zostać powiadomione alertem w SOC, e-mailem czy SMS-em.
Kilka mało znanych zalet NDR
Oprócz oczywistych zalet wynikających z powyższych funkcjonalności możemy wskazać jeszcze kilka ciekawych aspektów:
- NDR eliminuje luki w zabezpieczeniach – wdrażając jakikolwiek system do ochrony, nigdy nie uda nam się pokryć 100% naszego środowiska. NDR doskonale uzupełnia te luki i pozwala zobaczyć ten 1% ataków, które normalnie byłyby niezauważone.
- NDR zapewnia ciągłą ochronę – dużym plusem systemu klasy NDR jest to, iż jest on niezauważalny dla atakującego i nie może zostać wyłączony czy oszukany. Wynika to z jego konstrukcji i sposobu działania.
- NDR pozwala na głęboką inspekcję pakietów (DPI) – prawie każdy NDR bazuje na rozszyfrowywanym ruchu, co pozwala na podgląd danych w środku pakietów i ich analizę.
- NDR wykrywa zmiany niezgodne z normami i polityką bezpieczeństwa – każda zmiana widoczna w sieci, np. nieszyfrowany protokół czy niewspierany system operacyjny, może zostać wykryta i wskazana przez NDR.
NDR pozwala chronić wszystkie urządzenia widocznie w sieci, w tym IoT – każde urządzenie podłączone do sieci i komunikujące się z innymi hostami będzie widoczne przez dobrze wdrożony system NDR. Nie ma znaczenia, czy jest to komputer, telefon, drukarka czy telewizor.
Podsumowanie
Powyższy opis systemów klasy NDR powinien pomóc podjąć decyzję Oficerom ds. Bezpieczeństwa, czy takie narzędzie sprawdzi się w ich sieci. Podpowiemy – zdecydowanie tak, jeżeli jest to rozległa sieć korporacyjna z wieloma widocznymi urządzeniami, powiedzmy ponad 1000. NDR doskonale uzupełnia istniejące systemy bezpieczeństwa i dzięki sztucznej inteligencji pozwala zredukować pracę analityków sieciowych.