NDR-решения анализируют сетевой трафик для построения моделей, которые определяют, какой трафик является нормальным в сети, а затем вызывают предупреждения, если появляются отклонения.
Сетевое обнаружение и реагирование (Network Detection and Response, NDR) использует методы, не основанные на сигнатурах (в отличие антивирусного ПО, которое использует сигнатуры), такие как машинное обучение для выявления аномального и подозрительного трафика, который может указывать на кибератаку.
Американская исследовательская и консалтинговая IT-компания Gartner написала, что помимо мониторинга трафика, проходящего с севера на юг через периметр предприятия, NDR-решения также могут отслеживать соединения с востока на запад, анализируя трафик от установленных сетевых сенсоров.
Реагирование также является важной функцией NDR-решений. Автоматические ответы (например, отправка команд брандмауэру, чтобы он отбрасывал подозрительный трафик) или ручные ответы (например, предоставление инструментов поиска угроз и реагирования на инциденты) являются обычными элементами NDR-инструментов.
Хотя NDR может решить множество проблем с сетью, он особенно хорошо справляется с кибератаками. Для примера мы рассмотрим программу-вымогатель.
В настоящее время количество атак программ-вымогателей стремительно растёт, нанося миллионный ущерб организациям в виде выкупа хакерам, снижения производительности и доверия потребителей.
Отчет Sophos State of Ransomware Report 2021 показывает, что средняя стоимость борьбы с вымогательской атакой в 2021 году составила $1,85 млн. Это выше среднего показателя 2020 года ($761 тыс.). Эти расходы покрывают все действия, необходимые для восстановления после атаки программ-вымогателей. К ним относятся:
По данным на 2021 год, фактическая средняя сумма выкупа составила всего $170 404.
Хотя NDR-решения имеют решающее значение для сетевой безопасности, не менее важно иметь структуру, в которую вписывается NDR. Одним из таких подходов является триада видимости SOC – концепция, которая означает, что развертывание взаимодополняющих инструментов безопасности, компенсирующих недостатки друг друга, значительно снижает шансы злоумышленника на достижение своих целей.
Три столпа триады видимости SOC:
Сегодня ведущие специалисты по безопасности обращаются к модели безопасности, которая расширяет возможности управления журналами и защиты конечных точек с помощью NDR-инструментов. Компонент NDR компенсирует слабые места SIEM и EDR, а также совместно с ними обеспечивает полную безопасность и «прозрачность» сложных IT-сред.
Каждый из этих сегментов касается отдельной части анатомии атаки. IT-отдел должен охватывать все 3 компонента, чтобы повысить вероятность обнаружения атак и их раннего обнаружения. Рассмотрим все компоненты по отдельности.
По словам экспертов, более 80% успешных взломов связаны с компрометацией учетных данных. Поэтому жизненно важно иметь понимание того, как выглядит нормальное и аномальное поведения в сети.
Допустим, кто-то пытается войти в систему 200 раз менее чем за секунду. В этой ситуации вы должны быстро предпринять меры, например, отключить это устройство от сети. В среде с большим количеством пользователей IT-специалистам нужен способ сбора всех соответствующих журналов, их объединения и анализа. Анализ поведения пользователей и агрегация журналов являются ключевыми факторами.
Когда активы скомпрометированы, киберпреступники становятся на один шаг ближе к получению привилегированного доступа, а это несёт за собой разрушительные последствия. В отличие от антивирусов, задача которых — бороться с типовыми и массовыми угрозами, EDR-решения ориентированы на выявление целевых атак и сложных угроз.
NDR-решения предназначены для выявления вторжений в сеть, а также:
NDR позволяет специалистам по реагированию на инциденты и операторам SOC добраться до действительно важных элементов, опережая проблемы и определяя их фактическое воздействие.
Идея состоит в том, чтобы поймать эксплойт в самом начале, увидеть следы до того, как проявится полное воздействие эксплойта. NDR заключается в обнаружении аномалий, чтобы вы могли затем остановить эксплоит и устранить его, а также предотвратить будущие атаки.
NDR-решения в основном используют методы, не основанные на сигнатурах (машинное обучение или другие аналитические методы) для обнаружения подозрительного трафика в корпоративных сетях. NDR-инструменты непрерывно анализируют необработанный трафик и записи потоков для построения моделей, отражающих нормальное поведение сети. Когда NDR-инструменты обнаруживают подозрительные модели трафика, они выдают предупреждения.
На приведенной ниже диаграмме показано, где находится NDR и как он является ключевым источником достоверной информации о сети.
SIEM и EDR являются важными решениями, но они по-прежнему оставляют слепые зоны в коридоре с востока на запад, где злоумышленники могут спрятаться после обхода защиты периметра. Используя сетевой подход, NDR заполняет эти критические пробелы в видимости и покрытии. Расширенные NDR-решения также способны отслеживать и анализировать зашифрованный трафик.
NDR-решения постоянно отслеживают сетевой трафик, анализируя обмен данными для выявления аномалий и выявления подозрительного поведения. Это позволяет реагировать на неизвестные угрозы безопасности, не обнаруживаемые другими технологиями.
Среднее время, прошедшее с момента обнаружения нарушения до его безопасного устранения, составило 287 дней в 2021 году. При этом злоумышленники каждый день разрабатывают новое вредоносное ПО, для которого не создана сигнатура. Вот почему NDR-решение не полагается на сигнатуры, а использует машинное обучение для обнаружения аномалий.
Применяя методы машинного обучения, моделируя базовые показатели и анализируя поведение пользователей в сети, NDR-инструменты могут выявлять скрытую вредоносную активность и предупреждать о ней.
Традиционный метод обнаружения аномалий в сетевом трафике — это статистический анализ в поисках всплесков трафика и отклонений от базовых показателей. Рассмотрим ряд различных инструментов, которые NDR-решение может использовать для обнаружения.
Машинное обучение непрерывно вычисляет и анализирует энтропию между отдельными сторонами в сети, чтобы различать поведение человека и компьютера. Таким образом, NDR-решения обнаруживают различные типы атак на сетевые службы, которые проявляют себя с очень низкой энтропией из-за повторяющегося шаблона в сети, который они генерируют. Например, если киберпреступник выполняет брутфорс-атаку ML-система может это обнаружить.
Адаптивный базовый уровень – это базовый анализ отдельных хостов, определение их поведения в сети и сравнение поведения отдельных хостов друг с другом. Например, вы можете обнаружить, что один хост генерирует гораздо больше электронных писем, чем другие в той же сети, что может указывать на компрометацию, рассылку спама и т.д.
Эвристические алгоритмы ищут определенные симптомы в сети и работают с вероятностью. Например, в одноранговом трафике вы ищете несколько различных симптомов и вычисляете, что существует, например, 80% вероятность того, что конкретное устройство, вероятно, подключено к какой-либо BitTorrent-сети.
Например, IT-специалисты могут обнаружить, что определенный тип связи не соответствует легитимному шаблону в сети. Допустим, кто-то внезапно подключается к SSH и передает большое количество данных. Это будет помечено как потенциально успешная кибератака.
Многие поставщики NDR-решений включают в свои предложения данные аналитики угроз с открытым исходным кодом, чтобы обеспечить дополнительную ценность. Это могут быть коммерческие каналы, содержащие известные вредоносные IP-адреса, имена хостов, доменные имена, фингерпринты и т. д.
Возможности реагирования NDR-решений можно разделить на 2 группы — ручное реагирование и автоматическое реагирование.
Для ручного реагирования поставщики NDR-решений улучшают свои функции поиска угроз и реагирования на инциденты, улучшая опции рабочего процесса, например, помогая специалистам по реагированию на инциденты правильно расставлять приоритеты, на какие события безопасности им нужно реагировать в первую очередь.
Здесь NDR-инструменты фокусируются на других дополнительных решениях безопасности, на которые он может автоматизировать ответ. Например:
MITRE — это финансируемая государством исследовательская организация, созданная Массачусетским технологическим институтом. MTRE также финансируется институтом NIST и имеет связи с ЦРУ, ФБР и АНБ.
Первоначально структура MITRE была разработана, чтобы структурировать тактики, методы и процедуры (TTPs), которые злоумышленники используют для проведения атаки. Кроме того, синие и красные команды используют MITRE во время тренировок на киберарене.
С помощью MITRE IT-отдел может объединить ресурсы и усилия, чтобы опередить потенциальные угрозы. Кроме того, эта структура позволяет IT-специалистам не только изучить анатомию нападения, но и притвориться атакующим в качестве подготовки. Таким образом, IT-отдел может создать надежную инфраструктуру для борьбы с субъектами угроз и потенциальными атаками в будущем.
Живой, мертвый или в суперпозиции? Узнайте в нашем канале