Network Detection and Response (NDR) to najnowocześniejsze rozwiązanie bezpieczeństwa zaprojektowane do wykrywania, reagowania i zapobiegania zagrożeniom w sieci dzięki analizie kontekstowej. Dzisiaj przyglądamy się możliwościom tej technologii i jej przykładowym zastosowaniom.
NDR łączy zaawansowaną technologię z możliwościami reagowania na incydenty, aby zapewnić wgląd w działania zachodzące w obrębie sieci w czasie rzeczywistym. Umożliwia to zespołom ds. bezpieczeństwa szybką identyfikację oraz neutralizację potencjalnych zagrożeń.
Czym jest NDR?
Technologia Network Detection and Response (NDR), zwana również analizą ruchu sieciowego (NTA), pojawiła się około 2010 roku w celu identyfikowania i powstrzymywania zagrożeń sieciowych, których nie można łatwo powstrzymać przy użyciu znanych wzorców ataków lub sygnatur. NDR wykorzystuje uczenie maszynowe i analizę behawioralną do monitorowania ruchu sieciowego i rozpoznawania nietypowych zachowań. Dzięki temu możliwe jest wykrywanie anomalii związanych ze złośliwym oprogramowaniem, atakami ukierunkowanymi na konkretny cel, wewnętrznymi nadużyciami i wysoce ryzykownymi działaniami.
W przeciwieństwie do wielu produktów do zarządzania logami i analizy bezpieczeństwa, które koncentrują się na alertach, rozwiązania NDR analizują nieprzetworzone zapisy ruchu sieciowego w celu identyfikacji zagrożeń. Chociaż mogą być również wdrażane jako pasywny element sieciowy, który zbiera dane z portów SPAN przełączników sieciowych lub fizycznych TAP-ów, coraz większa liczba rozwiązań NDR może obecnie gromadzić dane o ruchu sieciowym z istniejącej infrastruktury sieciowej (np. firewalli).
Jakiego rodzaju zagrożenia wykrywa NDR?
NDR identyfikuje przede wszystkim:
- Nieznane malware’y – złośliwe oprogramowanie, które trudno wykryć,
- Ataki ukierunkowane na konkretny cel – wykorzystanie socjotechniki, bugów czy innych technik,
- Zagrożenia wewnętrzne – ataki przeprowadzane przez osoby z dostępem do sieci, jak np. pracowników czy podwykonawców,
- Ryzykowne zachowania – niefrasobliwe działania pracowników, które prowadzą do obniżenia odporności cybernetycznej organizacji.
Dlaczego warto korzystać z NDR?
Rozwiązania NDR mają kilka istotnych zalet, które sprawiają, że pełnią one ważną rolę w zabezpieczaniu infrastruktury sieciowej. Przede wszystkim umożliwiają one ograniczenie liczby tzw. false negatives czyli zdarzeń, które mogą negatywnie wpłynąć na infrastrukturę, a nie są wykrywane przez system. Atakujący musi wykonać setki aktywności w sieci, aby osiągnąć swój cel. Technologia NDR rejestrować przebieg takiego ataku, a co za tym idzie – szybko go wykryć i tym samym zapobiec jego wpływowi na infrastrukturę.
To właśnie kluczowa zaleta NDR – wczesne wykrywanie zagrożeń. Z różnorodnych badań wynika, że średni czas trwania ataku wynosi średnio od pięciu do siedmiu miesięcy. Im większa możliwość wykrycia i powstrzymania atakującego na wczesnych etapach, tym większe prawdopodobieństwo, że uda się całkowicie zneutralizować zarówno przestępcę, jak i skutki jego działań.
Kolejną ciekawą funkcjonalnością NDR jest analiza surowych pakietów sieciowych w celu poznania typowych zachowań użytkowników oraz urządzeń. To funkcja polegająca nie na danych z zewnętrznych systemów, ale na zaawansowanej technologii uczenia maszynowego służącej do profilowania działań w sieci i wykrywania anomalii. Dzięki analizie pakietów reprezentujących każdą pojedynczą aktywność w sieci, które nie mogą być zmanipulowane albo usunięte, szybko można wykryć pewne atypowości.
Przede wszystkim – kontekst
Uczenie maszynowe umożliwia również rozwiązaniom NDR monitorowanie ruchu w sieci w szerszym kontekście. Widzą one wszystkie działania związane z rekonesansem, uwierzytelnianiem, zachowania administratorów, operacje na rzadko używanych plikach, próby nawiązania kontaktu z różnorodnymi serwerami czy procesy w punktach końcowych. Tak spore spektrum perspektyw umożliwia szybsze potwierdzenie, że atak rzeczywiście ma miejsce i sprawniejszą reakcję. Nie trzeba w tym celu konfigurować logów czy normalizować ich formatów. Rozwiązanie NDR ma łatwy dostęp do pakietów sieciowych, które są gotowe do przechowywania i analizy. Nie oznacza to jednak, że system jest zasypywany wieloma informacjami – dobrze zaprojektowane oprogramowanie może skutecznie wyodrębniać i przechowywać tylko najbardziej istotne metadane behawioralne potrzebne do profilowania zagrożeń oraz wykrywania ataków.
Istotną zaletą rozwiązań klasy NDR jest również to, że są one wdrażane w chmurze. Podejście „native cloud” upraszcza operacje, ponieważ zespoły nie muszą wdrażać nowych serwerów z logami, aby zbierać i analizować dane. Dodatkowo, zaawansowane systemy NDR mogą zbierać logi z istniejących już usług funkcjonujących w infrastrukturze sieciowej, takich jak firewalle.
Reasumując, NDR oferuje maksymalną przejrzystość sieci przy minimalnym obciążeniu.
Przykładowe zastosowania NDR
Z rozwiązań klasy NDR korzystają firmy z całego świata. Przykładowe zastosowania tej technologii obejmują:
- Rosnący trend inteligentnych miast oznacza, że administracja publiczna wdraża łączność IoT na obszarach miejskich. Jedno z miast w USA wykorzystuje sieciowe technologie wykrywania i reagowania, aby zapewnić sobie bezpieczeństwo w tym kontekście. Jest ono domem dla zautomatyzowanych publicznych autobusów wahadłowych, kamer bezpieczeństwa połączonych z IoT, połączonych systemów ruchu drogowego i bardziej inteligentnej infrastruktury miejskiej. Systemy te ułatwiają życie mieszkańcom i turystom, ale wprowadzają nowe wyzwania w zakresie bezpieczeństwa. Ciągłe podłączenie wszystkich urządzeń do sieci oznacza, że jeden cyberatak może spowodować rozległe szkody. Miasto wykorzystuje samouczącą się sztuczną inteligencję do wykrywania zagrożeń w celu ochrony tej infrastruktury. Zamiast definiować zagrożenie, system NDR uczy się typowego śladu sieciowego miasta i jest podejrzliwy wobec wszystkiego, co wykracza poza te granice. W rezultacie może wykrywać oraz izolować ataki znanych i nowych szczepów złośliwego oprogramowania. Od czasu wdrożenia powstrzymał już atak typu spear phishing, który mógł pozostać niewykryty przez tradycyjne mechanizmy kontroli bezpieczeństwa.
- Placówki zdrowotne przechowują ogromne ilości danych. Pewien amerykański szpital uświadomił sobie zagrożenia płynące z tej sytuacji, gdy jeden z jego partnerów został ofiarą ataku ransomware. Efektem było wyłączenie usług firmy na cały miesiąc. Szpital postanowił zatem sięgnąć po rozwiązania klasy NDR, aby uniknąć tego typu zagrożenia. System ten wykorzystuje uczenie maszynowe do określenia podstaw normalnego zachowania w sieci. Im dłużej jest używany, tym lepiej eliminuje fałszywe alarmy, jednocześnie poprawiając reakcję na rzeczywiste zagrożenia. Ta automatyzacja pozwala szpitalowi monitorować coraz bardziej złożoną sieć bez konieczności zatrudniania większej liczby pracowników w dziale IT.
- Pewien amerykański uniwersytet zarządza 60 000 użytkownikami korzystającymi z 20 000 urządzeń i 700 serwerów. NDR pomaga w monitorowaniu tak złożonej sieci i wykrywaniu nieautoryzowanego dostępu. Normalnie wymagałoby to badania wielu wolumenów sygnatur. NDR jednak doskonale się tutaj sprawdza jako rozwiązanie przyśpieszające badanie każdego zachowania i podejmowanie decyzji, czy jest ono próbą ataku. Rozwiązanie to automatycznie ustala również priorytety zadań, określając, które zdarzenia zasługują na największą uwagę i odpowiednio przydzielając je personelowi IT. Taka organizacja umożliwia szybsze reagowanie na najbardziej palące kwestie. Z biegiem czasu system rozpoznaje również wzorce ataków, sugerując szersze zmiany w zabezpieczeniach w celu poprawy poziomu ochrony.
- Instytucje finansowe. Jedna z największych unii kredytowych w USA zarządza aktywami o wartości 1,8 miliarda dolarów w 22 oddziałach z ponad 175 000 członków. Popyt na bankowość cyfrową oznacza, że unia musi chronić stale rosnącą sieć urządzeń w całym kraju. W związku z tym narzędzia bezpieczeństwa muszą być szybkie i elastyczne oraz wykrywać wszystkie możliwe zagrożenia w różnych centrach danych, punktach końcowych i działach. NDR był tutaj naturalnym rozwiązaniem. System firmy gromadzi i analizuje dane bez udziału stron trzecich, zmniejszając poziom rozproszenia infrastruktury IT i poprawiając bezpieczeństwo. Następnie tworzy modele behawioralne dla każdego urządzenia i użytkownika, aby wykryć nietypowe zachowanie, niezależnie od tego, gdzie w sieci występuje. Ponieważ tymczasowo przechowuje dane telemetryczne sieci, może również pomóc wskazać, gdzie pojawiają się te zagrożenia.