Что такое NDR-решения и как они помогут выстроить надёжную киберзащиту?

Что такое NDR-решения и как они помогут выстроить надёжную киберзащиту?

NDR-решения анализируют сетевой трафик для построения моделей, которые определяют, какой трафик является нормальным в сети, а затем вызывают предупреждения, если появляются отклонения.  

image

Сетевое обнаружение и реагирование (Network Detection and Response, NDR) использует методы, не основанные на сигнатурах (в отличие антивирусного ПО, которое использует сигнатуры), такие как машинное обучение для выявления аномального и подозрительного трафика, который может указывать на кибератаку.

Американская исследовательская и консалтинговая IT-компания Gartner написала, что помимо мониторинга трафика, проходящего с севера на юг через периметр предприятия, NDR-решения также могут отслеживать соединения с востока на запад, анализируя трафик от установленных сетевых сенсоров.

Реагирование также является важной функцией NDR-решений. Автоматические ответы (например, отправка команд брандмауэру, чтобы он отбрасывал подозрительный трафик) или ручные ответы (например, предоставление инструментов поиска угроз и реагирования на инциденты) являются обычными элементами NDR-инструментов.

Хотя NDR может решить множество проблем с сетью, он особенно хорошо справляется с кибератаками. Для примера мы рассмотрим программу-вымогатель.

Как NDR борется с программами-вымогателями

В настоящее время количество атак программ-вымогателей стремительно растёт, нанося миллионный ущерб организациям в виде выкупа хакерам, снижения производительности и доверия потребителей.

Отчет Sophos State of Ransomware Report 2021 показывает, что средняя стоимость борьбы с вымогательской атакой в ​​2021 году составила $1,85 млн. Это выше среднего показателя 2020 года ($761 тыс.). Эти расходы покрывают все действия, необходимые для восстановления после атаки программ-вымогателей. К ним относятся:

  • выплата выкупа;
  • расходы, связанные с перебоем в работе, когда IT-системы непригодны для использования;
  • потери из-за простоя оборудования, контролируемого IT-системами;
  • оплата сверхурочной работы персонала в период восстановления
  • и многое другое.

По данным на 2021 год, фактическая средняя сумма выкупа составила всего $170 404.

Триада видимости Центра мониторинга информационной безопасности (Security Operations Center, SOC)

Хотя NDR-решения имеют решающее значение для сетевой безопасности, не менее важно иметь структуру, в которую вписывается NDR. Одним из таких подходов является триада видимости SOC – концепция, которая означает, что развертывание взаимодополняющих инструментов безопасности, компенсирующих недостатки друг друга, значительно снижает шансы злоумышленника на достижение своих целей.

Три столпа триады видимости SOC:

  • EDR для безопасности конечных точек;
  • SIEM для обработки журналов и корреляции событий;
  • NDR для анализа поведения с точки зрения сети.

Сегодня ведущие специалисты по безопасности обращаются к модели безопасности, которая расширяет возможности управления журналами и защиты конечных точек с помощью NDR-инструментов. Компонент NDR компенсирует слабые места SIEM и EDR, а также совместно с ними обеспечивает полную безопасность и «прозрачность» сложных IT-сред.

Каждый из этих сегментов касается отдельной части анатомии атаки. IT-отдел должен охватывать все 3 компонента, чтобы повысить вероятность обнаружения атак и их раннего обнаружения. Рассмотрим все компоненты по отдельности.

Система управления событиями безопасности (SIEM)

По словам экспертов, более 80% успешных взломов связаны с компрометацией учетных данных. Поэтому жизненно важно иметь понимание того, как выглядит нормальное и аномальное поведения в сети.

Допустим, кто-то пытается войти в систему 200 раз менее чем за секунду. В этой ситуации вы должны быстро предпринять меры, например, отключить это устройство от сети. В среде с большим количеством пользователей IT-специалистам нужен способ сбора всех соответствующих журналов, их объединения и анализа. Анализ поведения пользователей и агрегация журналов являются ключевыми факторами.

Обнаружение вредоносной активности на конечной точки и реагирование на нее (Endpoint Detection & Response, EDR)

Когда активы скомпрометированы, киберпреступники становятся на один шаг ближе к получению привилегированного доступа, а это несёт за собой разрушительные последствия. В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз.

Сетевое обнаружение и реагирование (NDR)

NDR-решения предназначены для выявления вторжений в сеть, а также:

  • сортировки проблем киберзащиты;
  • сосредоточении на самых важных объектах киберзащиты;
  • фильтрации шума.

NDR позволяет специалистам по реагированию на инциденты и операторам SOC добраться до действительно важных элементов, опережая проблемы и определяя их фактическое воздействие.

Идея состоит в том, чтобы поймать эксплойт в самом начале, увидеть следы до того, как проявится полное воздействие эксплойта. NDR заключается в обнаружении аномалий, чтобы вы могли затем остановить эксплоит и устранить его, а также предотвратить будущие атаки.

NDR-решения в основном используют методы, не основанные на сигнатурах (машинное обучение или другие аналитические методы) для обнаружения подозрительного трафика в корпоративных сетях. NDR-инструменты непрерывно анализируют необработанный трафик и записи потоков для построения моделей, отражающих нормальное поведение сети. Когда NDR-инструменты обнаруживают подозрительные модели трафика, они выдают предупреждения.

На приведенной ниже диаграмме показано, где находится NDR и как он является ключевым источником достоверной информации о сети. ​

SIEM и EDR являются важными решениями, но они по-прежнему оставляют слепые зоны в коридоре с востока на запад, где злоумышленники могут спрятаться после обхода защиты периметра. Используя сетевой подход, NDR заполняет эти критические пробелы в видимости и покрытии. Расширенные NDR-решения также способны отслеживать и анализировать зашифрованный трафик.

Раннее обнаружение нарушений

NDR-решения постоянно отслеживают сетевой трафик, анализируя обмен данными для выявления аномалий и выявления подозрительного поведения. Это позволяет реагировать на неизвестные угрозы безопасности, не обнаруживаемые другими технологиями.

Среднее время, прошедшее с момента обнаружения нарушения до его безопасного устранения, составило 287 дней в 2021 году. При этом злоумышленники каждый день разрабатывают новое вредоносное ПО, для которого не создана сигнатура. Вот почему NDR-решение не полагается на сигнатуры, а использует машинное обучение для обнаружения аномалий.

Три шага NDR

Применяя методы машинного обучения, моделируя базовые показатели и анализируя поведение пользователей в сети, NDR-инструменты могут выявлять скрытую вредоносную активность и предупреждать о ней.

Традиционный метод обнаружения аномалий в сетевом трафике — это статистический анализ в поисках всплесков трафика и отклонений от базовых показателей. Рассмотрим ряд различных инструментов, которые NDR-решение может использовать для обнаружения.

Машинное обучение (Machine Learning, ML)

Машинное обучение непрерывно вычисляет и анализирует энтропию между отдельными сторонами в сети, чтобы различать поведение человека и компьютера. Таким образом, NDR-решения обнаруживают различные типы атак на сетевые службы, которые проявляют себя с очень низкой энтропией из-за повторяющегося шаблона в сети, который они генерируют. Например, если киберпреступник выполняет брутфорс-атаку ML-система может это обнаружить.

Адаптивный базовый уровень (Adaptive Baselining)

Адаптивный базовый уровень – это базовый анализ отдельных хостов, определение их поведения в сети и сравнение поведения отдельных хостов друг с другом. Например, вы можете обнаружить, что один хост генерирует гораздо больше электронных писем, чем другие в той же сети, что может указывать на компрометацию, рассылку спама и т.д.

Эвристика (Heuristic)

Эвристические алгоритмы ищут определенные симптомы в сети и работают с вероятностью. Например, в одноранговом трафике вы ищете несколько различных симптомов и вычисляете, что существует, например, 80% вероятность того, что конкретное устройство, вероятно, подключено к какой-либо BitTorrent-сети.

Анализ поведения пользователей (User Behavior Analysis)

Например, IT-специалисты могут обнаружить, что определенный тип связи не соответствует легитимному шаблону в сети. Допустим, кто-то внезапно подключается к SSH и передает большое количество данных. Это будет помечено как потенциально успешная кибератака.

Данные о репутации (Reputation Data)

Многие поставщики NDR-решений включают в свои предложения данные аналитики угроз с открытым исходным кодом, чтобы обеспечить дополнительную ценность. Это могут быть коммерческие каналы, содержащие известные вредоносные IP-адреса, имена хостов, доменные имена, фингерпринты и т. д.

Реагирование на инциденты

Возможности реагирования NDR-решений можно разделить на 2 группы — ручное реагирование и автоматическое реагирование.

Ручной

Для ручного реагирования поставщики NDR-решений улучшают свои функции поиска угроз и реагирования на инциденты, улучшая опции рабочего процесса, например, помогая специалистам по реагированию на инциденты правильно расставлять приоритеты, на какие события безопасности им нужно реагировать в первую очередь.

Автоматический

Здесь NDR-инструменты фокусируются на других дополнительных решениях безопасности, на которые он может автоматизировать ответ. Например:

  • Firewall – отправка команды брандмауэру отбрасывать подозрительный трафик;
  • NAC (Network Access Control, управление доступом к сети) — отправка команд NAC-решению для изоляции конечной точки;
  • EDR — NDR даёт указание EDR работать со скомпрометированными конечными точками;
  • SIEM — отправка событий, обнаруженных NDR-инструментом, в SIEM­-инструменты;
  • SOAR – инструмент координации и управления систем безопасности – позволяет собирать и коррелировать события.

Структура атаки MITRE

MITRE — это финансируемая государством исследовательская организация, созданная Массачусетским технологическим институтом. MTRE также финансируется институтом NIST и имеет связи с ЦРУ, ФБР и АНБ.

Первоначально структура MITRE была разработана, чтобы структурировать тактики, методы и процедуры (TTPs), которые злоумышленники используют для проведения атаки. Кроме того, синие и красные команды используют MITRE во время тренировок на киберарене.

С помощью MITRE IT-отдел может объединить ресурсы и усилия, чтобы опередить потенциальные угрозы. Кроме того, эта структура позволяет IT-специалистам не только изучить анатомию нападения, но и притвориться атакующим в качестве подготовки. Таким образом, IT-отдел может создать надежную инфраструктуру для борьбы с субъектами угроз и потенциальными атаками в будущем. ​

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь