مقالات

The Role of NDR

نقش NDR
۰۸ تیر

نقش NDR در استراتژی امنیتی

پنج قابلیتی که به سازمان ها کمک می کند تا NDR را به صورت کامل پیاده سازی نمایند.

به طور سنتی، مراکز عملیات امنیتی (SOC) برای جلوگیری از حملات سایبری بر ابزارهای تشخیص و پاسخ در نقاط پایانی (EDR) و مدیریت اطلاعات و رویداد های امنیتی (SIEM) متکی هستند. این دو محصول تشخیص تهدیدات را برای بسیاری از سازمان‌ها بهبود بخشیده‌اند، از طرفی این راه‌حل‌ها ممکن است برای استقرار، بهره‌برداری و مدیریت دشوار باشند، و اغلب ویژگی‌ها و قابلیت‌های کلیدی لازم را به منظور شناسایی و متوقف کردن تهدیدها در ابتدای چرخه حمله جهت به حداقل رساندن تأثیر بر کسب و کار را دارا نمی باشند.

به عنوان مثال، برای به دست آوردن دید وسیع در نقطه پایانی، سازمان ها باید ایجنت ها را در تمام نقاط پایانی خود نصب کنند که یک راه حل پرهزینه و زمان بر، به ویژه برای شرکت های بزرگ می باشد و می تواند بهره وری نقاط پایانی را کاهش دهد. نیاز به استقرار تعداد زیادی ایجنت در نقاط پایانی، پیاده سازی راه حل EDR را پیچیده تر می نماید.

علاوه بر این، مهاجمان باهوش می توانند ایجنت ها را خاموش نموده و یا حذف کنند. در همین حال، محصولات SIEM با توجه به لاگ های داده، متمایل به تولید تعداد زیادی از موارد مثبت کاذب (False Positive) دارند که منجر به عدم تمرکز تحلیلگران امنیتی، اتلاف وقت و انرژی آنها، و بهم ریختگی هشدارها می شود. همچنین رخدادها به دلیل در بر داشتن اطلاعات محدود و یا پاک شدن و اصلاح توسط مهاجمان، میزان آگاهی تحلیلگران را کاهش می دهند.

چالش‌های مرتبط با EDR و SIEM ، تیم‌های امنیتی پیشرو را بر آن داشته تا راه‌حل‌های تشخیص و پاسخ در شبکه (NDR) را نیز پیاده‌سازی کنند. سازمان‌ها به این درک رسیده‌اند که علاوه بر رخدادها و ابزارهای تشخیص در نقاط پایانی، خود شبکه هم اعتبار بسیار بالایی برای تشخیص زود هنگام تهدیدات دارد. در نهایت، شبکه اولین نقطه برای گسترش نفوذ مهاجمان و افزایش دامنه دسترسی خود می باشد، کامند و کنترل (C2) را برقرار می کنند، به صورت جانبی حرکت می کنند (Lateral Movement) و از تکنیک های مخفیانه “living off the land” برای فرار از شناسایی شدن توسط راه حل های امنیتی نقطه پایانی سنتی استفاده می کنند. NDR به تیم‌های امنیتی دید کاملی از اتفاقات داخل شبکه ارائه می‌دهد. از این طریق، تیم‌های امنیتی می‌توانند رفتارهای غیرعادی شبکه را که اغلب نشانه‌ای از یک حمله اولیه است، شناسایی کنند.

همه راه حل های NDR یکسان ایجاد نمی شوند. Gartner® Market Guide for Network Detection & Response, December 2022 توضیح می دهد، یافتن حقیقت در مورد اینکه کدام ویژگی ارزشمندتر است می تواند سخت باشد. این مقاله (white Paper) پنج قابلیتی را که راه ‌حل NDR برای کمک به سازمان شما برای درک سطح حمله و شناسایی آن، بررسی و پاسخ سریعتر به تهدیدات در محیط‌های ابری، داخلی و ترکیبی می بایست داشته باشد مورد بررسی قرار می دهد:

یادگیری ماشینی در مقیاس ابری (ML)، ضبط پیوسته و درخواستی پکت ها (PCAP)، رمزگشایی ترافیک داخلی، گردش کار تحقیقی و کشف دارایی.

این پنج قابلیت ممکن است در هر NDR موجود نباشد، اما ضروری هستند، زیرا فراتر از ویژگی‌های سنتی، “Table Stakes” مانند غنی‌سازی داده های ابری و تجمیع هشدارها می باشد. علاوه بر این، این قابلیت‌ها ویژگی‌های متمایزکننده‌ای هستند که واقعاً به سازمان‌ها کمک می‌کنند تا ارزش کامل را از راه‌حل NDR خود استخراج کنند.

در ادامه در مورد این پنج قابلیت، دلایل ضروری بودن آنها، تأثیری که می‌توانند بر وضعیت امنیتی سازمان شما بگذارند، و چگونگی تعیین اینکه آیا راه ‌حل NDR که در نظر دارید (یا در حال حاضر استفاده می‌کنید) واقعاً از آنها پشتیبانی می‌کند، بیشتر بخوانید.

قابلیت شماره 1:

یادگیری ماشینی در مقیاس ابری

 

توانایی شناسایی سریع، بررسی و پاسخ به تهدیدات پیشرفته و مسائل مربوط به عملکرد برای سازمان ها حیاتی است. راه‌حل‌های NDR که ML با میزبانی ابری و مقیاس ابری ارائه می‌دهند، به‌جای تکیه بر قدرت محاسباتی on-box برای تجزیه و تحلیل و تشخیص، از چندین راه کلیدی به سازمان‌های ترکیبی و چند ابری سود می‌رسانند.

تشخیص و تجزیه و تحلیل: کارهای ML میزبانی شده در فضای ابری (Cloud-hosted ML workloads) می توانند از مدل های پیش بینی پیچیده و محاسباتی استفاده کنند و رفتارهای مشکوک یا مخرب را در زمان واقعی شناسایی کنند تا هشدارهایی با  درجه بالا ایجاد کنند. به منظور تولید بهترین نتایج تحلیلی خاص برای هر مشتری، الگوریتم‌های ML باید بتوانند به طور خودکار اطلاعات زمینه‌ای خاص مشتری از جمله گروه‌های همتا، سیاست‌های امنیتی و نقش‌های دستگاه و کاربر را بر اساس رفتارهای منحصر به فرد مشاهده ‌شده ی هر موجودیت در شبکه را استنتاج کنند.

مقیاس‌پذیری: تجزیه و تحلیل داده‌ها با یادگیری ماشین یک عمل محاسباتی فشرده است که به طور تصاعدی به قدرت پردازشی بیشتری نسبت به آنچه که on-box در یک دستگاه یا از طریق یک ماشین مجازی مکمل موجود است، نیاز دارد. هنگامی که کارهای یادگیری ماشین در فضای ابری اجرا می‌شوند، از منابع محاسباتی تقریباً نامحدود محیط ابری بهره می‌برند، که به‌ویژه برای کارهای «bursty» مانند مدل‌های بازآموزی ارزشمند است. بنابراین، ML میزبانی شده در فضای ابری به سازمان ها اجازه می دهد تا داده ها را از سراسر محیط های ترکیبی و چند ابری خود تجزیه و تحلیل کنند.

پوشش سراسری: اجرای ML به صورت محلی و مستقل بر روی هر دستگاه شبکه، سازمان های پوششی را که از استقرار NDR خود به دست می آورند، محدود می کند. در مقابل، هنگامی که محصولات NDR از ML در مقیاس ابری استفاده می کنند، پوشش سراسری را در همه محل ها و شبکه های ابری در یک نمونه موتور ML فراهم می کنند. این پوشش سراسری، تجزیه و تحلیل و شناسایی دقیق‌تری را بر اساس رفتار یک محیط ترکیبی کامل، از شبکه‌های دانشگاهی گرفته تا مراکز داده خصوصی تا استوریج ابری عمومی، به سازمان‌ها ارائه می‌کند. ML در مقیاس ابری همچنین به سازمان‌ها اجازه می‌دهد تا از اثر شبکه الگوریتم‌هایی که در بین مشتریان کار می‌کنند برای شناسایی رفتار مشکوک بهره ببرند.

به‌روزرسانی‌های سریع امنیتی: تهدیدات امنیتی آنقدر سریع تکامل می‌یابند که بر‌وزرسانی‌های روزانه سیستم‌ عامل و بروزرسانی‌های هفتگی مدل به اندازه کافی سریع یا پشت سرهم نیستند. محصولات NDR که از ابر برای ML استفاده می کنند، می توانند به روز رسانی های در لحظه و استقرار مداوم موتور ML را انجام دهند تا اطمینان حاصل شود که مشتریان همیشه آخرین نسخه های تجزیه و تحلیل ML را بدون هیچ گونه تعامل دستی دریافت می کنند.

محیط های ترکیبی و چند ابری همچنان پایه اصلی بسیاری از سازمان ها خواهد بود. در نتیجه، داشتن ML در مقیاس ابری به سازمان‌ها این امکان را می‌دهد که محیط‌های مختلف خود را بدون کاهش سرعت کسب‌وکار خود ایمن کنند.

قابلیت شماره 2:

PCAP پیوسته و مبتنی بر تقاضا

داده های شبکه، منبع نهایی برای امنیت ترکیبی و چند ابری و قابلیت مشاهده است، بنابراین توانایی ضبط و بررسی بسته های شبکه، عمق و زمینه بیشتری را برای سازمان ها فراهم می کند. PCAP تیم های امنیتی و فناوری اطلاعات را قادر می سازد تا دقیقاً آنچه را که در شبکه اتفاق می افتد درک کنند. PCAP همچنین تیم‌های امنیتی را قادر می‌سازد تا تهدیدات را شکار کنند، به حملات پیچیده پاسخ دهند، وتحقیقات Forensic را برای تعیین نحوه نفوذ مهاجم به محیط و شعاع انفجار را تجزیه و تحلیل کنند. از نظر انطباق، PCAP برای سازمان‌هایی ضروری است که باید از استانداردهای خاص از جمله Executive Order 14028 و OMB M-21-31. پیروی کنند.

بسته به راه حل NDR، سازمان ها می توانند از PCAP پیوسته که همیشه فعال است، PCAP دقیقی که توسط رویدادها فعال می شود و یا هر دو استفاده کنند.

PCAP پیوسته (Continuous PCAP) به طور سنتی تمام بسته هایی را که از یک شبکه عبور می کنند جمع آوری و ذخیره می کند. از آنجایی که این روش همیشه فعال ضبط و بررسی بسته ها، توسط تشخیص های خاص آغاز نمی شود، تیم های امنیتی و فناوری اطلاعات را قادر می سازد تا بسته ها را از قبل، در حین و بعد از یک رویداد امنیتی یا مشکل عملکرد تجزیه و تحلیل کنند. PCAP پیوسته، همچنین به تیم‌های امنیتی کمک می‌کند تا تهدیدات را به طور پیشگیرانه شکار کنند و زمانی که اطلاعات تهدید جدید در دسترس قرار می‌گیرد، داده‌ها را با توجه به سوابق گذشته بررسی کنند. ذخیره سازی یکی از اشکالات PCAP پیوسته است.

PCAP دقیق می‌تواند با تشخیص‌های مربوط به رویدادهای خاص فعال شود، یا می‌توان آن را برحسب تقاضا فعال نمود. از آنجا که به طور مداوم در حال اجرا نیست، PCAP دقیق به فضای ذخیره سازی بسیار کمتری نسبت به PCAP پیوسته نیاز دارد. با این حال، اشکال ابزارهای NDR که فقط PCAP دقیق یا درخواستی را ارائه می‌دهند این است که تنها زمانی که «فعال» است، به صورت دستی یا از طریق یک ماشه اطلاعات را جمع‌آوری می‌کند. در نتیجه، اگر یک تیم امنیتی که در حال بررسی یک رخنه می باشد، اگر به اطلاعاتی از تاریخچه راه‌اندازی یک رویداد و PCAP درخواستی نیاز داشته باشد، ممکن است شانسی نداشته باشد. به طور مشابه، اگر یک نقض باعث تشخیص (یعنی منفی کاذب) نشود، PCAP مبتنی بر تقاضا درخواست نخواهد شد.

از آنجایی که سازمان‌ها می‌توانند از PCAP مستمر و درخواستی هنگام بررسی نقض‌ها بهره ببرند، مهم است که به دنبال ارائه‌دهنده NDR باشید که بتواند هر دو را ارائه دهد.

قابلیت شماره 3:

رمزگشایی ترافیک داخلی

مهاجمان به طور پیوسته در فرار از کنترل‌های محیطی و استفاده از اعتبار کاربران برای رسیدن به قلب زیرساخت‌های شبکه سازمان ها، جایی که اطلاعات ارزشمند خود را نگهداری می‌کنند، بهتر می‌شوند. هنگامی که مهاجمان وارد شبکه می شوند، از تکنیک های پیچیده برای فرار از شناسایی استفاده می کنند. به عنوان مثال، آنها ممکن است برای دسترسی به دنیای خارج هر ترافیکی (مانند ارتباطات فرمان و کنترل به سرورهای خارجی خود) را که تولید می کنند، رمزگذاری نمایند. آنها همچنین ممکن است از ترافیک موجود در سازمان شما که قبلاً رمزگذاری شده استفاده کنند. همانطور که ترافیک شبکه بیشتر به دلیل الزامات انطباق و سایر عوامل رمزگذاری می شود، مهاجمان بدون نیاز به استقرار هیچ یک از ابزارهای خاص خود، راه های بیشتری برای پنهان کردن پیدا می کنند. همچنین تشخیص حرکت جانبی (Lateral Movement) را برای تیم امنیتی دشوارتر می کند.

با این حال، اگر رمزگشایی را به کار بگیرید، یعنی فقط ترافیک هایی را که سازمان شما کلیدهای رمزگذاری برای آن ایجاد کرده است، رمزگشایی نمائید، توانایی مشاهده این ترافیک را بدون به خطر انداختن حریم خصوصی به دست می آورید، زیرا هیچ ترافیکی را بدون در اختیار داشتن کلیدهایش رمزگشایی نمی کنید. (به عنوان مثال، کارمندانی که به بانکداری آنلاین یا حساب های ایمیل شخصی خود دسترسی دارند).

توجه داشته باشید که می خواهید رمزگشایی را نه تنها در SSL/TLS، بلکه در MS-RPC، WinRM و SMBv3 نیز انجام دهید. توانایی رمزگشایی ترافیک که در آن پروتکل‌های دیگر حرکت می‌کند، سازمان‌ها را قادر می‌سازد تا مهاجمان را هنگام تلاش برای حرکت جانبی دستگیر کنند و معمولاً در اوایل چرخه حمله اتفاق می‌افتد. هرچه زودتر بتوانید مهاجمان را شناسایی کنید، برای متوقف کردن آنها قبل از سرقت داده های حساس یا آسیب طولانی مدت دیگر به سازمان، شانس بیشتری دارید.

قابلیت شماره 4:

گردش کار تحقیقی

هنگام ارزیابی ارائه کنندگان مختلف NDR، یکی از مهمترین جنبه ها تابع عملکرد و رابط کاربری (UI) است. مطابق با گارتنر, یکی از مزایای فناوری NDR توانایی کنسول های مدیریت و مانیتورینگ آن برای تسهیل گردش کار واکنش به حادثه است.

متأسفانه، UI برای برخی از گردش‌ کارهای NDR می‌تواند سخت و در نتیجه پیمایش آن دشوار باشد. کاربران همچنین ممکن است نیاز به تعویض بین رابط های کاربری برای محیط های مختلف مانند محیط ابری داشته باشند. یک رابط کاربری عالی به تیم‌های امنیتی و فناوری اطلاعات کمک می‌کند که داده‌هایی خوانده شده را درک کنند. با افزایش تعداد بردارهای حمله و افزایش سطح پیچیدگی، تیم امنیتی باید بتواند بدون گرفتار شدن در جریان‌های کاری تحقیقاتی بیش از حد پیچیده و صرف وقت زیاد واکنش نشان دهد.

به دنبال یک راه حل NDR باشید که گردش کار تحقیقاتی واضحی را ارائه می دهد و به تحلیلگران کمک می کند تا تهدیدات پیشرفته را بهتر درک کنند. ابزارهای NDR باید با جمع‌آوری داده‌ها و انجام تحلیل‌های پیش از موعد با ML در مقیاس ابری، بسیاری از مراحل مرتبط با بررسی‌های امنیتی را خودکار کنند، و پاسخ‌های سریع و مطمئنی ارائه کنند.

قابلیت شماره 5:

موجودی کامل دارایی

شما نمی توانید محیطی را که درک نمی کنید ایمن کنید، بنابراین داشتن توانایی کشف تمام دارایی های سازمان و بررسی سطح حمله آن از درون به بیرون بسیار مهم است – به خصوص در صنایعی که به شدت به سیستم های قدیمی متکی هستند یا به واسطه گسترش دستگاه های مدیریت نشده حجم سنگین دارند. در اکتبر 2022، آژانس امنیت سایبری و امنیت زیرساخت (CISA) یک مورد را منتشر کرد دستورالعمل عملیاتی الزام آور 23-1، که هدف آن بهبود دید نسبت به دارایی ها و تشخیص آسیب پذیری در شبکه های فدرال است، اما در واقع باید برای هر صنعتی اعمال شود.

همانطور که سطح حمله شما گسترش می یابد و دستگاه های جدید (و به طور بالقوه مدیریت نشده) مثل دستگاه های Shadow IT، دستگاه های اینترنت اشیا (IoTBYOD و پیمانکاران یا ارائه دهندگان خدمات شخص ثالث را شامل می شود – ممکن است نتوانید امنیت خود را به طور کامل بررسی کنید. خوشبختانه، این چالش ها را می توان با راه حل مناسب NDR کاهش داد.

کشف خودکار دارایی برای داشتن موجودی دقیق از آنچه در یک شبکه موجود می باشد بسیار مهم است. بهترین محصولات NDR می توانند به محض برقراری ارتباط، دستگاه های جدید را به طور خودکار کشف کنند. به علاوه، این راه‌حل‌های NDR باید بتوانند دستگاه‌ها را براساس رفتار مشاهده‌شده‌شان طبقه‌بندی کنند، وابستگی‌ها را نقشه‌برداری کنند و از تشخیص‌های مبتنی بر ML برای ایجاد هشدارهای دقیق هر زمان که دستگاهی رفتاری غیرعادی برای سایر دستگاه‌های مشابه در محیط نشان می‌دهد، استفاده کنند.

NDR: حلقه مفقوده در بهبود وضعیت امنیتی شما

راه حل های EDR و SIEM همیشه جای خود را در امنیت سایبری خواهند داشت، اما NDR قطعه گم شده ای است که دید کامل از آنچه واقعاً در داخل شبکه شما می گذرد را ارائه می دهد. همانطور که تهدیدها تکامل می یابند و پیشرفته تر می شوند، وضعیت امنیتی شما باید در کنار آنها تکامل یابد. NDR با ارائه آنچه که راه حل های EDR و SIEM نمی توانند، نقاط کور را از بین می برد. فقط مطمئن شوید که راه حل NDR می تواند با مقیاس کسب و کار شما مطابقت داشته باشد.اگر به دنبال تهیه و خرید راه حل NDR هستید، حتماً از فروشندگان سؤالات زیر را بپرسید:

  1. آیا راه حل NDR شما می تواند ML در مقیاس ابری را برای محافظت از کسب و کار در حال رشد من ارائه دهد؟ برخی تنها راه حلی را ارائه می دهند که به افراد و منابع بیشتری نیاز دارد. برای سود واقعی شرکت، NDR باید بتواند با توجه به مقیاس رشد کند و گردش کار را ساده نگه دارد.
  2. راه حل شما چگونه بسته ها را نگه داری و ضبط می کند؟ معماری یک ارائه‌دهنده NDR باید بتواند آنچه را که شما نیاز دارید ذخیره کند. اگر گزینه ذخیره داده‌ها بیشتر از چند ساعت را ندارید، یا اگر PCAP فقط در صورت شناسایی فعال است، در صورت نیاز به بررسی یا شکار تهدیدها، اطلاعات دقیقی را ارائه نمی‌کند.
  3. آیا راه حل شما می تواند تحقیقات را ساده کند؟ غیرعادی نیست که حملات سایبری برای هفته ها یا ماه ها شناسایی نشده باشند. در نتیجه، راه حل NDR شما باید تحلیلگران را قادر سازد تا با اتصال خودکار رویدادها، به سرعت پاسخ دهند.
  4. آیا راه حل شما می تواند هر دارایی متصل به شبکه را کشف کند؟ کار ریموت و از راه دور همچنان در سازمان ها باقی مانده است، به این معنی که دستگاه های مدیریت نشده همچنان سازمان ها را در معرض خطرات امنیتی بالقوه قرار می دهند. بنابراین، داشتن یک راه حل NDR که می تواند تمام دستگاه ها را در نظر بگیرد بسیار مهم است.
  5. آیا راه حل شما به شما امکان رمزگشایی ترافیک را می دهد؟ مهاجمان سعی می کنند با استفاده از نرم افزار و منابع خود علیه شما مخفیانه عمل کنند. این تکنیک ها به عنوان “living off the land” شناخته می شوند. آنها همچنین بر رمزگذاری پروتکل‌های شبکه تکیه می‌کنند که به‌عنوان پیش‌فرض تقریباً در تمام شبکه‌های سازمانی امروزی اتفاق می‌افتد. توانایی رمزگشایی نه تنها ترافیک SSL/TLS، بلکه همچنین MS-RPC، WinRM و SMBv3 توانایی پنهان شدن در میان جمعیت را از بین می‌برد.

از آشنایی با شما خوشحالیم 👋

برای باخبر شدن از آخرین خبرهای دنیای امنیت، لطفا در خبرنامه سیندادسک عضو شوید.