4/1
راهکارهای تشخیص و پاسخدهی شبکه (NDR) ترکیبی از تکنیکهای تحلیلی پیشرفته مانند یادگیری ماشین است که مبتنی بر امضاء نیستند (non-signature-based) تا فعالیت مشکوک شبکه را شناسایی کنند. این راهکار، تیمها را قادر میسازد تا پاسخگوی ترافیک و تهدیدهای غیرعادی یا مخربی باشند که دیگر ابزارهای امنیتی تشخیص نمیدهند.
راهکارهای تشخیص و پاسخدهی شبکه (NDR) ترکیبی از تکنیکهای تحلیلی پیشرفته مانند یادگیری ماشین است که مبتنی بر امضاء نیستند (non-signature-based) تا فعالیت مشکوک شبکه را شناسایی کنند. این راهکار، تیمها را قادر میسازد تا پاسخگوی ترافیک و تهدیدهای غیرعادی یا مخربی باشند که دیگر ابزارهای امنیتی تشخیص نمیدهند.
راهکارهای تشخیص و پاسخدهی شبکه (NDR)، ترافیک خام شبکهی سازمانی را همواره پایش و تحلیل میکنند و یک خط مبنا از رفتار عادی شبکه ارائه میدهند. ابزارهای تشخیص و پاسخدهی شبکه (NDR) به محض تشخیص الگوهای ترافیک شبکهی مشکوک و منحرفشده از این خط مبنا، تیمهای امنیتی را از احتمال وجود تهدید در محیط با خبر میکنند.
شبکهها در حال گسترش به سمت فضای ابری هستند و اندازه و پیچیدگی آنها همواره افزایش مییابد. این امر سبب شده تا حجم بیسابقهای از دادهها از شبکهی توزیعشده عبور کنند و محیطی مناسب برای پنهان شدن عوامل مخرب ایجاد کرده شود. راهکارهای تشخیص و پاسخدهی شبکه (NDR)، از طریق گردآوری تلهمتری یا دورسنجی (telemetry) حاصل از دستگاههای شبکه و اعمال تکنیکهای تحلیلی مانند یادگیری ماشین برای تشخیص تهدیدهایی که ابزارهای دیگر تشخیص نمیدهند. این چالش را حل نموده است.
سیسکو Stealthwatch نوآوری بزرگ در جهت شناسایی و مقابله با تهدیدات دنیای شبکه
راهکارها و ابزارهای تشخیص و پاسخدهی شبکه (NDR) میتوانند امور زیر را انجام دهند:
بدون وجود دید زمینهای کل شبکه، تیمهای امنیتی عملاً کور هستند. راهکارهای تشخیص و پاسخدهی شبکه (NDR) باید دید جامعی از تمامی دستگاهها، موجودیتها و ترافیک شبکه ارائه دهند. آنها باید تمام جریانهای ترافیک در زمان واقعی را پایش کنند. در واقع، نه تنها باید ترافیکی که به محیط وارد میشود و از آن خارج میشود را پایش و تحلیل کنند، بلکه باید تمام ترافیکی که به صورت جانبی در کل شبکه حرکت میکند را نیز پایش و تحلیل نمایند.
استقرار یک ابزار تشخیص و پاسخدهی شبکه (NDR) که دارای دیدی غنی از زمینه (context-rich visibility) است، تصویری کامل از فعالیت شبکه را ارائه میدهد. تیمهای امنیتی میتوانند مشاهده کنند که کدام کاربران در شبکهشان هستند، با چه دستگاههایی تعامل میکنند، از کجا به شبکه دسترسی دارند و چه نوع دادههایی را به اشتراک میگذارند. این قابلیت دید سبب میشود که تیمها نه تنها تهدیدها را شناسایی کنند، بلکه امکان تعیین موارد زیر را هم فراهم کند: منبع تهدیدها، اینکه در چه جاهای دیگری ممکن است منتشر شده باشند، و کدام کاربران در معرض خطر قرار گرفتهاند. همچنین سایر اطلاعات مفید قانونی مانند موقعیت مکانی کاربر، نوع دستگاه، مهرهای زمانی رویداد (event time stamps) و موارد دیگر را ارائه میدهد.
همانطورکه سازمانها به سمت استراتژی اساساً ابری (cloud-first strategy) حرکت میکنند، راهکارهای تشخیص و پاسخدهی شبکه (NDR) نیز بایستی دید در محیطهای ابری متعدد را ارائه دهند.
تکنیکهای تحلیلی پیشرفته که مبتنی بر امضاء نیستند (مانند یادگیری ماشین و مدلسازی رفتاری)، خط مبنایی از ظاهر فعالیت عادی شبکه را ایجاد میکنند. ابزارهای تشخیص و پاسخدهی شبکه (NDR) باید بتوانند ترافیک مشکوکی که از محدودهی عادی منحرف شده و ابزارهای مبتنی بر امضاء مرسوم قادر به تشخیص آن نیستند را به سرعت شناسایی کنند و هشدارهای مربوطه را صادر نمایند. برای مثال مواردی از این دست را تشخیص دهد: مهاجم از اعتبارنامههای گمشده یا سرقتی برای دسترسی استفاده میکند یا یک کارمند خرابکار درگیر ذخیره و/یا انتقال غیرمجاز دادههای حساس است.
با توجه به اینکه تقریباً 75 درصد از کل ترافیک شبکه رمزگذاری میشود، راهکارهای تشخیص و پاسخدهی شبکه (NDR) باید بتوانند ترافیک رمزگذاریشده (encrypted traffic) را بدون رمزگشایی (decryption) تحلیل کنند. همچنین باید تهدیدهایی را شناسایی کنند که سعی دارند خودشان را در ترافیک رمزگذاریشده پنهان کنند. بعلاوه، راهکارهای تشخیص و پاسخدهی شبکه (NDR) باید هوش تهدید (threat intelligence) جهانی را با تهدیدهای محلی مرتبط کنند تا مانع عملکرد مهاجمانی شوند که سعی دارند چند قربانی را با بدافزار مشابه آلوده کنند.
ابزارهای تشخیص و پاسخدهی شبکه (NDR) باید بتوانند با ترکیب قابلیت دید در سطح سازمانی (enterprise wide) و تکنیکهای تحلیلی پیشرفته، علائم اولیهی حملات را تشخیص دهند. برای مثال، قابلیتهای تشخیص تهدید پیشرفتهی آنها باید موارد زیر را شناسایی کنند: دسترسی از راه دور غیرعادی (unusual remote access)، اسکن کردن پورت (port scanning)، استفاده از پورتها یا پروتکلهای محدودشده و غیره.
بهترین راهکارهای تشخیص و پاسخدهی شبکه (NDR) موارد زیر را ارائه میدهند: هشدارهای دارای کیفیت بالا و اولویتبندیشده بر مبنای شدت؛ قابلیتهای پاسخدهی خودکار برای صرفهجویی در زمان تیمها؛ و قابلیتهای پاسخدهی دستی برای ارتقاء تلاشهای شکار تهدید و پاسخدهی به حادثه.
نظرات کاربران: