4/1

258

تشخیص و پاسخ‌دهی شبکه (Network Detection and Response) چیست؟

آخرین بروزرسانی: یکشنبه 11 اردیبهشت 1401

راهکارهای تشخیص و پاسخ‌دهی شبکه (NDR) ترکیبی از تکنیک‌های تحلیلی پیشرفته‌‌ مانند یادگیری ماشین است که مبتنی ‌بر ‌امضاء نیستند (non-signature-based) تا فعالیت مشکوک شبکه را شناسایی کنند. این راهکار، تیم‌ها را قادر می‌سازد تا پاسخگوی ترافیک و تهدیدهای غیرعادی یا مخربی باشند که دیگر ابزارهای امنیتی تشخیص نمی‌دهند.

نویسنده: پرناز آزاد
مدت زمان مطالعه: 5 دقیقه

 

راهکارهای تشخیص و پاسخ‌دهی شبکه (NDR) ترکیبی از تکنیک‌های تحلیلی پیشرفته‌‌ مانند یادگیری ماشین است که مبتنی ‌بر ‌امضاء نیستند (non-signature-based)  تا فعالیت مشکوک شبکه را شناسایی کنند. این راهکار، تیم‌ها را قادر می‌سازد تا پاسخگوی ترافیک و تهدیدهای غیرعادی یا مخربی باشند که دیگر ابزارهای امنیتی تشخیص نمی‌دهند.

 

راهکار تشخیص و پاسخ‌دهی شبکه (NDR) چه کار می‌کند؟ 

راهکارهای تشخیص و پاسخ‌دهی شبکه (NDR)، ترافیک خام شبکه‌ی سازمانی را همواره پایش و تحلیل می‌کنند و یک خط مبنا از رفتار عادی شبکه ارائه می‌دهند. ابزارهای تشخیص و پاسخ‌دهی شبکه (NDR) به محض تشخیص الگوهای ترافیک شبکه‌ی‌ مشکوک و منحرف‌شده‌ از این خط مبنا، تیم‌های امنیتی را از احتمال وجود تهدید در محیط‌ با خبر می‌کنند.  

Network Detection and Response تشخیص و پاسخدهی شبکه
راهکار تشخیص و پاسخ‌دهی شبکه (NDR)

چرا به یک راهکار تشخیص و پاسخ‌دهی شبکه (NDR) نیاز داریم؟

شبکه‌ها در حال گسترش به سمت فضای ابری هستند و اندازه و پیچیدگی آنها همواره افزایش می‌یابد. این امر سبب شده تا حجم بی‌سابقه‌ای از داده‌ها از شبکه‌ی توزیع‌شده عبور ‌کنند و محیطی مناسب برای پنهان شدن عوامل مخرب ایجاد کرده شود. راهکارهای تشخیص و پاسخ‌دهی شبکه (NDR)، از طریق گردآوری تله‌متری یا دورسنجی (telemetry) حاصل از دستگاه‌های شبکه و اعمال تکنیک‌های تحلیلی مانند یادگیری ماشین برای تشخیص تهدیدهایی که ابزارهای دیگر تشخیص نمی‌دهند. این چالش را حل نموده است.

سیسکو Stealthwatch نوآوری بزرگ در جهت شناسایی و مقابله با تهدیدات دنیای شبکه 

تشخیص و پاسخ‌دهی شبکه (NDR) چطور امنیت را افزایش می‌دهد؟

راهکارها و ابزارهای تشخیص و پاسخ‌دهی شبکه (NDR) می‌توانند امور زیر را انجام دهند:

  • تشخیص ترافیک غیرعادی شبکه که ابزارهای مرسوم تشخیص نمی‌دهند و انجام این کار با استفاده از تکنیک‌های تشخیصی که مبتنی ‌بر ‌امضاء نیستند (مانند تحلیل رفتاری و یادگیری ماشین) است.
  • مدل‌سازی خط مبنا از رفتار عادی شبکه و هشداردهی به تیم‌های امنیتی در رابطه‌  با هر ترافیک مشکوک که خارج از محدوده‌ی عادی است.
  • پایش تمام جریان‌های ترافیکی (چه ورود و خروج از شبکه و چه حرکت در درون شبکه) بدون توجه به اینکه تهدید از کجا نشأت گرفته است، به طوری که تیم‌ها دید وسیع و لازم برای تشخیص و کاهش حوادث امنیتی را داشته باشند.
  • تحلیل تله‌متری یا دورسنجی خام شبکه در زمان واقعی یا نزدیک به زمان واقعی و هشداردهی به موقع تا تیم‌ها زمان پاسخگویی به حادثه را بهبود ببخشند.
  • تخصیص رفتار مخرب به یک آدرس IPخاص و انجام تحلیل‌های قانونی (forensic analyses) برای تعیین این موضوع که تهدیدها چگونه به صورت جانبی در یک محیط حرکت کرده‌اند. این امر سبب می‌شود تا تیم‌ها دریابند چه دستگاه‌های دیگری ممکن است آلوده شوند. همچنین به واکنش سریع‌تر به حادثه و مهار تهدید و حفاظت بیشتر در برابر تأثیرات نامطلوب تجاری منجر می‌شود.
  • ارائه‌ی قابلیت‌های پاسخ‌دهی‌ای که می‌توانند پاسخ‌دهی دستی به حادثه و تلاش‌های شکار تهدید (threat hunting) را افزایش دهند، یا عملیات‌ها را کارآمدتر کنند و از طریق خودکارسازی (automation) در زمان تیم‌ها صرفه‌جویی کنند.

 

انتظارات از یک راهکار تشخیص و پاسخ‌دهی شبکه (NDR)

Network Detection and Response | تشخیص و پاسخدهی شبکه
راهکار تشخیص و پاسخ‌دهی شبکه (NDR)

قابلیت دید زمینه‌ای کل شبکه (Contextual networkwide visibility)

بدون وجود دید زمینه‌ای کل شبکه، تیم‌های امنیتی عملاً کور هستند. راهکارهای تشخیص و پاسخ‌دهی شبکه (NDR) باید دید جامعی از تمامی دستگاه‌ها، موجودیت‌ها و ترافیک شبکه ارائه دهند. آنها باید تمام جریان‌های ترافیک در زمان واقعی را پایش کنند. در واقع، نه تنها باید ترافیکی که به محیط وارد می‌شود و از آن خارج می‌شود را پایش و تحلیل کنند، بلکه باید تمام ترافیکی که به صورت جانبی در کل شبکه حرکت می‌کند را نیز پایش و تحلیل نمایند. 

استقرار یک ابزار تشخیص و پاسخ‌دهی شبکه (NDR) که دارای دیدی غنی از زمینه (context-rich visibility) است، تصویری کامل از فعالیت شبکه را ارائه می‌دهد. تیم‌های امنیتی می‌توانند مشاهده کنند که کدام کاربران در شبکه‌شان هستند، با چه دستگاه‌هایی تعامل می‌کنند، از کجا به شبکه دسترسی دارند و چه نوع داده‌هایی را به اشتراک می‌گذارند. این قابلیت دید سبب می‌شود که تیم‌ها نه تنها تهدیدها را شناسایی کنند، بلکه امکان تعیین موارد زیر را هم فراهم کند: منبع تهدیدها، اینکه در چه جاهای دیگری ممکن است منتشر شده باشند، و کدام کاربران در معرض خطر قرار گرفته‌اند. همچنین سایر اطلاعات مفید قانونی مانند موقعیت مکانی کاربر، نوع دستگاه، مهرهای زمانی رویداد (event time stamps) و موارد دیگر را ارائه می‌دهد.

همانطورکه سازما‌ن‌ها به سمت استراتژی اساساً ابری (cloud-first strategy) حرکت می‌کنند، راهکارهای تشخیص و پاسخ‌دهی شبکه (NDR) نیز بایستی دید در محیط‌های ابری متعدد را ارائه دهند.

 

تشخیص و پاسخ‌دهی شبکه (NDR) 

تکنیک‌های تشخیص رفتاری که مبتنی بر امضاء نیستند

تکنیک‌های تحلیلی پیشرفته‌ که مبتنی بر امضاء نیستند (مانند یادگیری ماشین و مدل‌سازی رفتاری)، خط مبنایی از ظاهر فعالیت عادی شبکه را ایجاد می‌کنند. ابزارهای تشخیص و پاسخ‌دهی شبکه (NDR) باید بتوانند ترافیک مشکوکی که از محدوده‌ی عادی منحرف ‌شده و ابزارهای مبتنی بر امضاء مرسوم قادر به تشخیص آن نیستند را به سرعت شناسایی کنند و هشدارهای مربوطه را صادر نمایند. برای مثال مواردی از این دست را تشخیص دهد: مهاجم از اعتبارنامه‌های گم‌شده یا سرقتی برای دسترسی استفاده می‌کند یا یک کارمند خرابکار درگیر ذخیره و/یا انتقال غیرمجاز داده‌های حساس است. 

با توجه به اینکه تقریباً 75 درصد از کل ترافیک شبکه رمزگذاری می‌شود، راهکارهای تشخیص و پاسخ‌دهی شبکه (NDR) باید بتوانند ترافیک رمزگذاری‌شده (encrypted traffic) را بدون رمزگشایی (decryption) تحلیل کنند. همچنین باید تهدیدهایی را شناسایی کنند که سعی دارند خودشان را در ترافیک رمزگذاری‌شده پنهان کنند. بعلاوه، راهکارهای تشخیص و پاسخ‌دهی شبکه (NDR) باید هوش تهدید (threat intelligence) جهانی را با تهدید‌های محلی مرتبط کنند تا مانع عملکرد مهاجمانی شوند که سعی دارند چند قربانی را با بدافزار مشابه آلوده کنند.

 

پاسخ‌دهی سریع به تهدید

ابزارهای تشخیص و پاسخ‌دهی شبکه (NDR) باید بتوانند با ترکیب قابلیت دید در سطح سازمانی (enterprise wide) و تکنیک‌های تحلیلی پیشرفته، علائم اولیه‌ی حملات را تشخیص دهند. برای مثال، قابلیت‌های تشخیص تهدید پیشرفته‌ی آنها باید موارد زیر را شناسایی کنند: دسترسی از راه دور غیرعادی (unusual remote access)، اسکن‌ کردن پورت (port scanning)، استفاده از پورت‌ها یا پروتکل‌های محدودشده و غیره.

بهترین راهکارهای تشخیص و پاسخ‌دهی شبکه (NDR) موارد زیر را ارائه می‌دهند: هشدارهای دارای کیفیت بالا و اولویت‌بندی‌شده بر مبنای شدت؛ قابلیت‌های پاسخ‌دهی خودکار برای صرفه‌جویی در زمان تیم‌ها؛ و قابلیت‌های پاسخ‌دهی دستی برای ارتقاء تلاش‌های شکار تهدید و پاسخ‌دهی به حادثه.

 

منابع

محتواهای مرتبط

نظرات کاربران:

برچسب ها

شرکت مهندسی افق داده ها ایرانیان
استمرارقدم ها، تحقق رویاها
تماس با ما:
آدرس: تهران - خیابان مفتح شمالی - خیابان شهید ملایری پور - پلاک 100 واحد 10
تلفن: 58152000-021
فکس: 58152300-021
ایمیل: info@ofoghdadeha.com
دسترسی سریع:
 
logo-samandehi
تمامی حقوق این وبسایت برای شرکت مهندسی افق داده ها ایرانیان محفوظ است.
Copyright 2020 - 2022, Ofoghdadeha. All rights reserved