چرا فناوری NDR؟

در این مقاله توضیح خواهیم داد که فناوری NDR چگونه با تحلیل ترافیک شبکه و بهره‌گیری از هوش مصنوعی، تهدیدات سایبری را شناسایی و خنثی می‌کند.

۱۲ خرداد ۱۴۰۴
اخبار

محمد حسین شهابی فرد
خرداد ۱۲, ۱۴۰۴
۱۱:۲۲ ق٫ظ

سیستم تشخیص و پاسخ شبکه (NDR) دسته‌ای از فناوری‌های امنیت سایبری است که از روش‌هایی مانند هوش مصنوعی، ماشین لرنینگ و تحلیل رفتاری برای شناسایی فعالیت‌های مشکوک یا مخرب در شبکه و پاسخ به تهدیدات سایبری استفاده می‌کند. راهکارهای تشخیص و پاسخ شبکه رفتارهای غیرعادی سیستم را با تجزیه و تحلیل رفتاری داده‌های ترافیکی شبکه شناسایی می‌کند. راهکارهای NDR شامل قابلیت‌های تشخیص، شکار، کشف خرابکاری و پاسخ است. در یک مرکز عملیات امنیتی (SOC)، سرویس NDR اغلب به عنوان ترکیبی از ابزارهای مجازی و سرویس‌های مبتنی بر ابر ارائه می‌شود، اگرچه امکانات سخت‌افزاری نیز در دسترس هستند. سازمان هایی با نیازهای امنیتی بالا (مانند دولت و امور مالی) از این سیستم برای موارد زیر استفاده می کنند:

اولویت بندی و افزایش هشدارها به تیم امنیتی یا مرکز عملیات امنیتی (SOC) در هر زمان.
اقدامات حفاظتی مانند خاتمه دادن به اتصال شبکه مشکوک برای ایجاد اختلال در یک حمله.
قابل ادغام با سایر ابزارهای امنیتی است تا پاسخ رویداد آغاز شود که به نوبه خود می تواند سیستم SOAR (ارکستراسیون امنیتی، اتوماسیون و پاسخ) را فعال کند تا یک پاسخ از پیش تعریف شده را اجرا کند.
ادغام ابزارها به تسریع آنالیز تهدیدات و تحقیقات پیشگیرانه در مورد تهدیدهای ناشناخته یا کشف نشده کمک می‌کند.

آنچه در این مقاله مشاهده خواهید کرد:

NDR در امنیت سایبری به چه معناست؟
NDR چه چالش‌هایی را حل می‌کند؟
NDR چگونه کار می کند؟
Cloud NDR چیست و چگونه کار می کند؟
چرا NDR مهم است؟
مزایای NDR چیست؟
چگونه NDR در یک چارچوب SOC قرار می‌گیرد؟
ادغام NDR با سایر راهکارهای SecOps

NDR در امنیت سایبری به چه معناست؟

این فناوری در ابتدا با تجزیه و تحلیل ترافیک شبکه (NTA) سر و کار داشت. یک فناوری که در اصل برای استخراج مدل‌های ترافیک شبکه از داده‌های ترافیک شبکه خام توسعه یافته است. از زمانی که راهکارهای NTA قابلیت‌های تجزیه و تحلیل رفتاری و پاسخ به تهدید را اضافه کردند، تحلیلگر صنعت گارتنر در سال 2020 به دسته NDR تغییر نام داد. این راهکار، رویکردی پویا و پاسخگو به تهدیدات شبکه دارد. این سرویس، به‌جای اسکن برای الگوهای شناخته‌شده خاص، ترافیک و فعالیت شبکه را دائما نظارت و تجزیه و تحلیل می‌کنند تا هرگونه فعالیت مشکوک، خارج یا داخل شبکه را شناسایی کنند. این سرویس با مرتبط کردن تهدیدهای شناسایی شده به فعالیت شبکه، تجزیه و تحلیل گزارش، تجمیع و قابلیت‌های تشخیص تهدید رفتاری راه حل SIEM را تکمیل می‌کند، بنابراین شکاف‌های ثبت‌ شده را پوشش می‌دهد.

NDR چه چالش‌هایی را حل می‌کند؟

راهکارهای NDR ترافیک شبکه را دائما جمع‌آوری می‌کنند و ابرداده‌ها را برای تجزیه و تحلیل ذخیره می‌کنند تا در محیط‌های اولیه، ابری و ترکیبی شبکه دیده شوند. این‌ زاهکارها بسیاری از چالش‌های SOC را با حذف نقاط کور، متمایز کردن تهدیدها از ترافیک قانونی، جایگزینی مراکز داده با یک منبع داده متمرکز و کاهش TCO و پیچیدگی از طریق یکپارچه‌سازی برطرف می‌کنند. در ادامه با قابلیت‌های این سرویس آشنا می‌شویم:

دید گسترده شبکه

یکی از دشوارترین چالش‌هایی که سازمان‌ها با آن مواجه هستند، دید ناسازگار و ناقص در لایه‌های مختلف امنیتی است. سرویس NDR نقاط کور را با آشکار کردن تمام فعالیت‌های شبکه در بخش‌های نظارت شده، ارائه راهکار تشخیص تهدید، پاسخ رویداد، افشای نقض، مدیریت دارایی و عملیات شبکه حذف می‌کند.

قابلیت تشخیص بهبود یافته

پیچیدگی تهدیدها افزایش یافته است (و به همین ترتیب حجم تهدیدها افزایش یافته است) که تشخیص حملات از ترافیک قانونی را دشوار می‌کند. NDR به تیم‌های امنیتی کمک می‌کند تا به سرعت حملات توسط ابزارهای امنیتی شبکه قدیمی و EDR را شناسایی کنند، در حالی که زمینه لازم برای درک موارد مثبت کاذب، ایجاد مهندسی شبکه موثر و بهبود دقت را فراهم می‌کند.

واکنش سریع به رویداد

سازمان‌ها تمایل دارند از منابع داده‌ بیش از حد محفوظ استفاده کنند تا جریان‌های تشخیص تهدید و پاسخ را هدایت کنند. NDR یک منبع واحد از محتویات شبکه را با اطلاعات تهدید یکپارچه فراهم می‌کند که به تحلیلگران، شواهد جامعی را می‌دهد که برای بررسی مؤثرتر، آنالیز رویدادها و کاهش میانگین زمان تا حل (MTTR) نیاز دارند.

کاهش هزینه‌های عملیاتی

به دلیل مشکلات اقتصادی و وجود تعداد زیاد ابزارهای امنیتی متفاوت، بسیاری از سازمان‌ها به سمت یکپارچه سازی عملیات امنیتی و معماری پلتفرم آنالیز حرکت می‌کنند. سرویس‌های NDR فناوری‌های مستقل را ادغام می‌کنند و با پیروی از الگوی طراحی نرم افزا‌های قدرتمند، سرویس اتوماسیون SOC را بهبود می‌دهند.

NDR چگونه کار می کند؟

یک سرویس NDR (شناسایی و پاسخ شبکه) با استفاده از ابرداده‌های شبکه، ترافیک شبکه را به طور مداوم نظارت می‌کند. برای این کار، از تحلیل رفتاری، ماشین لرنینگ و هوش مصنوعی برای شناسایی تهدیدات سایبری و رفتارهای غیرعادی بهره می‌برد. این سرویس، با ادغام شدن با سایر راهکارهای امنیت سایبری مانند SIEM ،SOAR و EDR، امکان پاسخگویی کارآمد به این تهدیدات را فراهم می‌کند. راهکارهای NDR، ابرداده‌های خام شبکه را از حسگرهای اختصاصی که در سراسر شبکه مستقر شده‌اند، دریافت می‌کنند. سپس ابزارهای NDR، تحلیل رفتاری، هوش مصنوعی و یادگیری ماشینی را روی این داده‌ها اعمال می‌کنند تا یک مدل پایه از رفتار و فعالیت عادی شبکه ایجاد کنند. این ابزارهای کاربردی، نشانه‌های رفتارهای ناهنجار را به تحلیلگران نشان می‌دهد، سوابق فعالیت‌های گذشته را هنگام بررسی نقض امنیت فراهم می‌کند. پس از این مرحله، تحلیلگران می‌توانند الگوهای ترافیک مشکوک و هشدارهای فعال شده را مشاهده کنند. فناوری NDR تنها بر اساس الگوها نیست، بلکه بر اساس رفتارها نیز هست. در ادامه با کارکردهای این فناوری آشنا می‌شویم:

از یادگیری ماشینی، تحلیل رفتاری و پایگاه‌های داده تهدید برای شناسایی تهدیدات و ناهنجاری‌ها استفاده می‌کنند.
هر دستگاهی را در شبکه به صورت غیرفعال نظارت می‌کنند، بدون اینکه بر عملکرد یا در دسترس بودن تأثیر بگذارند.
با راهکارهای مکمل EDR و SIEM ادغام می‌شوند تا تله‌متری بیشتری ارائه دهند.

Cloud NDR چیست و چگونه کار می کند؟

با پذیرش رایانش ابری و گره‌های فراوان شبکه، NDR تکامل یافته است تا محیط‌های ابری و ترکیبی سازمانی را در بر گیرد. در نتیجه، راهکارهای NDR در ارائه دید یکپارچه و تشخیص تهدید در هر دو شبکه داخلی و ابری که محیط‌های IT ترکیبی امروزی را به هم متصل می‌کنند، به طور تخصصی طراحی شده‌اند. راهکارهای NDR به طور خاص برای کار در محیط‌های ابری پویا طراحی شده‌اند و قابلیت‌های دید و تشخیص را ارائه می‌دهند که برای حجم کاری ابری بهینه شده‌اند. این امر باعث می‌شود که راهکارهای مبتنی بر SaaS که در فضای ابری مستقر می‌شوند، کارآمدتر باشند. مدل‌های ماشین لرنینگ و هوش مصنوعی از پیش تعیین شده، تضمین می‌کنند که تاکتیک‌ها، تکنیک‌ها و رویه‌های تازه کشف شده می‌توانند بلافاصله مورد بررسی قرار گیرند تا مشخص شود که آیا تهدیدات به شبکه سازمان نفوذ کرده‌اند یا خیر و اگر نفوذ کرده‌اند چه زمانی. با بهینه‌سازی ابری، این راهکارها می‌توانند طیف گسترده‌ای از تهدیدات سایبری (مانند بدافزار، فیشینگ و حملات مبتنی بر شبکه) را در هر زمان شناسایی کنند. این نظارت و گزارش‌دهی دائمی همچنین به سازمان‌ها در مدیریت خطرات نظارتی کمک می‌کند.

چرا NDR مهم است؟

NDR مهم است زیرا ناهنجاری‌هایی را در ترافیک شبکه شناسایی می‌کند که در فرایند پایش سایر اقدامات امنیتی شبکه اغلب از قلم می‌افتند. راهکارهای امنیتی NDR یک مکانیسم دفاعی فعال را ارائه می‌دهند که به طور مداوم بر شبکه یک نظارت می‌کند. برای مقابله با گسترش تهدیدات سایبری در سطح حمله در حال گسترش، تیم‌های SecOps با فناوری NDR می‌توانند بهره‌وری خود را افزایش دهند. دلایل زیر نشان می‌دهند. چرا این فناوری به یک نیاز اساسی برای تیم‌های امنیتی عملیات تبدیل شده است:

پیش از وقوع حوادث سایبری احتمالی، NDR می‌داند که «رفتار عادی شبکه» در سازمان چگونه است و سپس با استفاده از ماشین لرنینگ و تحلیل‌های پیشرفته، ناهنجاری‌های شبکه را تشخیص می‌دهد و به تیم امنیت سایبری (SecOps) بابت تهدیدات احتمالی هشدار می‌دهد. چون ماشین لرنینگ بر پایه فعالیت‌های شبکه متداوماً توسعه می‌یابد، تهدیدات، سریع‌تر و با دقت بیشتری شناسایی می‌شوند.
به سرعت تمام کاربران و دستگاه‌های مخرب را در سراسر شبکه شناسایی می‌کند؛ هنگامی که رویداد امنیتی رخ می‌دهد، NDR هر کاربر و دستگاه مخرب که از عامل EDR در شبکه پشتیبانی نمی‌کند را بررسی می‌کند. این کار برای تیم‌های امنیتی بسیار دشوار است، اما NDR با استقرار حسگرهای مخصوص در سراسر شبکه این کار را آسان‌تر می‌کند و ترافیک تمامی دستگاه‌ها، از جمله اینترنت اشیاء (IoT) و فناوری‌های عملیاتی را تحلیل می‌نماید. این امر به شدت بهره‌وری را بالا می‌برد و زمان و کار دستی مورد نیاز را کاهش می‌دهد.
برای مهار سریع‌تر حادثه، این فناوری مدرن از هوش مصنوعی بهره می‌برد تا کدهای تولید شده توسط ترافیک مخرب را تحلیل کند و انتشار آن در سراسر شبکه را فاش سازد. هوش مصنوعی کمک می‌کند تا منبع شیوع و مسیر گسترش حمله شناسایی گردد. با اجازه دادن به NDR برای انجام فرآیند اولیه قرنطینه، تیم SOC قادر است بر تصمیم‌گیری درباره مراحل بعدی برای رفع مشکل تمرکز کند.

مزایای NDR چیست؟

راهکارهای NDR امکانات پیشرفته‌ای برای شناسایی و جست‌وجوی تهدیدات در سراسر شبکه فراهم می‌کنند و بدون نیاز به نصب عامل (agent) قابل استقرار هستند. این راهکارها از هوش مصنوعی، ماشین لرنینگ، تحلیل رفتاری و تحلیل‌های تخصصی برای بررسی ترافیک شبکه (از جمله ترافیک رمزگذاری شده) بهره می‌برند تا رفتارهای مخرب را شناسایی کرده و از بروز هشدارهای نادرست جلوگیری کنند. این ویژگی‌ها کارایی تیم امنیتی (SecOps) را افزایش می‌دهند و خطر حملات سایبری را کاهش می‌دهند، زیرا دید گسترده‌تری نسبت به امنیت شبکه و تدابیر جامع تامین می‌کنند.

چگونه NDR در یک چارچوب SOC قرار می‌گیرد؟

هم EDR (شناسایی و پاسخ به نقطه پایان) و هم NDR در سیستم‌های امروزی امنیت سایبری حیاتی هستند، زیرا برای شناسایی زودهنگام و پیشگیری کاربرد دارند. برای تقویت منابع، تیم‌های SecOps می‌توانند NDR را به عنوان بخشی از یک راهکار امنیتی یکپارچه مبتنی بر هوش مصنوعی و تشخیص تهدید شبکه، اعمال کنند. راهکارهای NDR قابلیت‌های زیر را ارائه می‌کنند تا تیم‌های SecOps را قادر می‌سازد تا سریع‌تر و کارآمدتر رویدادها را شناسایی و اصلاح کنند:

ارائه دید کامل از تمام منابع و جریان‌های داده‌های شبکه؛ این شامل نظارت بر تمامی نقاط اتصال، چه در محل و چه در فضای ابری است.
نمایش هشدارها در یک رابط کاربری ساده و قابل درک، که فرآیند بررسی و پیگیری رویدادهای امنیتی را آسان‌تر می‌کند.
تحلیل ترافیک رمزگذاری شده بدون دخالت مستقیم، تا ریسک‌های امنیتی احتمالی ناشی از بررسی عمیق بسته‌ها کاهش یابد.
گزینه‌های انعطاف‌پذیر برای استقرار، که امکان نظارت بر زیرساخت‌های ابری سازمانی را به عنوان بخش‌هایی از معماری ترکیبی IT فراهم می‌کند.
ورورد و ادغام اطلاعات تهدید از منابع مختلف برای اتخاذ رویکردی جامع.

ادغام NDR با سایر راهکارهای SecOps

راهکارهای NDR می‌توانند با سیستم‌های موجود یکپارچه شوند تا دید کامل‌تری از شبکه فراهم کنند. این فناوری‌ها قابلیت‌های موثری در شناسایی تهدیدات شبکه ارائه می‌دهند و در عین حال باعث کاهش مشکل در عملکرد تیم‌های امنیتی می‌شوند. با تکیه بر حسگرهایی که از پورت‌های SPAN یا TAP نصب می‌شوند، NDRها به صورت غیرفعال ترافیک شبکه را نظارت می‌کنند. در ادامه نحوه یکپارچه‌سازی NDR با سایر راهکارهای امنیتی مانند EDR ،SOAR ،SIEM یا شبکه‌های ابری و سازمانی توضیح داده شده است:

یکپارچه‌سازی NDR با SOAR

بسیاری از یکپارچه‌سازی‌های NDR در شرکت‌های بزرگ با SOCهای پیشرفته انجام می‌شود که ترجیح می‌دهند از الگوها و فرآیندهای خود برای پاسخ‌گویی بهره‌مند شوند. به همین دلیل، بسیاری از فروشندگان، با پلتفرم‌های SOAR ادغام می‌کنند.

یکپارچه‌سازی NDR با SIEM

SOCها می‌توانند راهکارهای NDR را به طور کامل با SIEMها یکپارچه کرده و دید کامل در روندهای کاری موجود داشته باشند و در صورت نیاز، به NDR برای تحلیل‌های عمیق‌تر رجوع کنند.

یکپارچه‌سازی NDR با EDR

راهکارهای NDR می‌توانند با راهکارهای EDR ادغام شده و داده‌های مربوط به شناسایی‌های مبتنی بر EDR را وارد سیستم کنند. این کار امکان دید بهتر در detections EDR و قابلیت‌های ایزوله‌ سازی را در رابط کاربری فراهم می‌آورد.

یکپارچه‌سازی NDR با workloads در ابرهای عمومی یا خصوصی

با توجه به اینکه بسیاری از شرکت‌ها داده‌ها و workloads خود را به سمت ابر منتقل می‌کنند، ادغام قابلیت‌های NDR در محیط‌های ابر عمومی، خصوصی و ترکیبی بسیار منطقی است. این نوع ادغام اجازه می‌دهد فعالیت‌های شبکه در بسیاری از دامنه‌ها کنترل و نظارت شود و حفاظتی جامع‌تر میسر شود.

یکپارچه‌سازی NDR با شبکه‌های داخلی شرکت

در حالی که هدف اصلی این سیستم‌ها، شناسایی تهدیدات شبکه است، طراحی آن‌ها به گونه‌ای است که پیچیدگی زیادی برایSOCها ایجاد نکنند. NDRها با استفاده از حسگرهای نصب شده بر روی پورت‌های SPAN یا TAP، ترافیک شبکه را به صورت غیرفعال نظارت می‌کنند و نیاز به تغییرات عمده در زیرساخت ندارند.

اشتراک گذاری این پست