Что такое Network Detection and Response?

Определение понятия Network Detection and Response

Компания Gartner дает следующее определение Network Detection and Response (NDR):

Network Detection and Response использует комбинацию машинного обучения, расширенной аналитики и обнаружения на основе правил для выявления подозрительных действий в корпоративных сетях. Инструменты NDR непрерывно анализируют необработанный трафик и/или записи потоков (например, NetFlow), чтобы построить модели, отражающие нормальное поведение сети.

Когда инструменты NDR обнаруживают аномальные схемы трафика, они подают сигнал тревоги. Помимо мониторинга трафика север-юг, пересекающего периметр предприятия, технология NDR может также отслеживать коммуникации восток-запад, анализируя сетевой трафик или записи потоков, которые они получают от стратегически расположенных сетевых датчиков.

Почему важно обнаруживать и реагировать на сетевые атаки?

Современные атаки разрабатываются таким образом, чтобы обойти традиционные методы предотвращения и обнаружения. Технология Network Detection and Response обеспечивает надежный метод выявления угроз, проходящих через сеть, а также через облачный трафик. Одним из ключевых атрибутов решений Network Detection and Response является охват всех портов и протоколов для обеспечения полной видимости.

Решения для обнаружения и реагирования на сетевые атаки используют множество методов обнаружения, включая контролируемые и неконтролируемые методы машинного обучения, глубокую проверку пакетов и сеансов, обнаружение вредоносных программ, создание «песочниц», инвентаризацию активов и многое другое.

Помимо обнаружения, организации также используют решения NDR для расследования и смягчения последствий инцидента. С этой целью инструменты обнаружения и реагирования на сетевые угрозы, интегрированные с решениями для обнаружения и реагирования на конечные точки, могут значительно ускорить процесс расследования и разрешения предупреждений. Хорошим примером является автоматическое подтверждение того, что обнаруженная угроза через сетевой трафик действительно скомпрометировала конечную точку или несколько конечных точек в среде, а затем возможность автоматически принять меры, например изолировать затронутые конечные точки от сети.

Решения для обнаружения и реагирования на сетевые атаки также могут собирать и хранить богатые метаданные, которые можно легко найти для более глубокого расследования и поиска. Ценность метаданных заключается в том, что их легко запрашивать, они способствуют ускорению расследований и гораздо более экономичны, чем хранение полных PCAP.

Примеры метаданных, которые можно собирать:

Каковы ключевые аспекты решения NDR?

Надежное решение для обнаружения и реагирования на сетевые атаки должно обеспечивать:

1. Видимость всех портов и всех протоколов.
2. Двунаправленное сканирование всего сетевого трафика для выявления сетевых и прикладных протоколов, файлов и содержимого с помощью датчиков, которые могут быть размещены на шлюзе, внутри компании, в облаке, а также на шлюзах электронной почты и веб-шлюзах.
3. Проведение анализа необработанного сетевого пакетного трафика или потоков трафика в режиме реального времени.
4. Мониторинг и анализ трафика север-юг, а также трафика восток-запад.
5. Различение нормального и аномального сетевого и облачного трафика.
6. Использование машинного обучения и аналитики для обнаружения аномалий сетевого трафика.
7. Предоставление богатых метаданных, позволяющих проводить ретроспективное обнаружение и анализ в течение многих месяцев.
8. Профилирование зашифрованного TLS-трафика на основе метаданных и сертификатов, определение человеческого и машинного трафика, а также использование моделей data science для обнаружения скрытых угроз.
9. Консолидация оповещений «Like» и связанных с ними контекста и доказательств для ускорения сортировки оповещений.
10. Автоматизация соответствующих ответных действий на основе обнаруженных фактов.

Использование NDR для проактивного улучшения системы безопасности

Пожалуй, самым важным аспектом NDR является определение пробелов в системе безопасности вашей среды и исправление ситуации до того, как произойдет атака. К таким возможностям относятся:

1. Расшифровка: Чтобы получить видимость сетевого трафика, настоятельно рекомендуется использовать дешифрование. Самое главное – использовать технологию дешифрования, которая хорошо интегрирована с продуктом NDR, чтобы полностью использовать возможности системы по обнаружению и реагированию.
2. Кибертерритория: Решения NDR могут анализировать сетевой трафик для идентификации и классификации активов и путей связи в среде. Защита кибербезопасности должна начинаться с точного понимания среды.
3. Риск: Сочетание рельефа местности и текущих событий приводит к анализу рисков. Риск включает в себя оповещения, инциденты, уязвимости и доступные пути снижения риска в среде.
4. Моделирование рисков: На основе риска активов можно применять моделирование. Анализ «красной» и «синей» групп может выявить пробелы в системе безопасности, которые необходимо устранить в вашей среде. Информация, полученная в результате моделирования, поможет усовершенствовать вашу систему безопасности, чтобы устранить пробелы до того, как противник сможет ими воспользоваться.

Fidelis NDR: Решение для вашей сетевой безопасности

Fidelis Network – защищает от облачных и локальных сетевых угроз за счет глубокого обзора и контроля над всей структурой угроз, от первоначальной компрометации до кражи данных. Узнайтебольше о Fidelis Network.

Источник: What is Network Detection and Response?