Network Detection & Response (NDR) là một công nghệ mới nổi được phát triển để đóng các điểm mù bảo mật do các giải pháp bảo mật thông thường để lại, mà các tin tặc đã khai thác để có được chỗ đứng trong các mạng mục tiêu.
Ngày nay, các doanh nghiệp đang sử dụng rất nhiều giải pháp bảo mật để bảo vệ mạng của họ khỏi các mối đe dọa mạng. Những thứ nổi bật nhất là Tường lửa, IPS / IDS, SIEM, EDR và XDR (kết hợp chức năng của EDR và SIEM). Tuy nhiên, tất cả các giải pháp này đều có những lỗ hổng bảo mật khiến chúng không thể ngăn chặn các cuộc tấn công mạng tiên tiến một cách hiệu quả.
NDR được phát triển dựa trên Hệ thống phát hiện xâm nhập (IDS). Một giải pháp IDS được cài đặt trên chu vi mạng và giám sát lưu lượng mạng để tìm các hoạt động đáng ngờ.
Các hệ thống IDS gặp phải nhiều nhược điểm khiến chúng không hiệu quả trong việc ngăn chặn các cuộc tấn công mạng hiện đại: IDS sử dụng các kỹ thuật phát hiện dựa trên chữ ký để phát hiện các hoạt động bất thường, khiến chúng không thể phát hiện ra các cuộc tấn công không xác định.
Ngoài ra, hệ thống IDS kích hoạt một số lượng lớn các cảnh báo bảo mật. Điều này dẫn đến lãng phí thời gian của đội bảo mật và khiến họ không thể điều tra tất cả các cảnh báo bảo mật. Và cuối cùng, IDS không được xây dựng để cung cấp bất kỳ khả năng phản hồi hoặc điều tra nào, khiến nó không thể phản ứng hiệu quả với các cuộc tấn công mạng đang diễn ra.
Phát hiện & phản hồi mạng để trích xuất thông tin từ lưu lượng mạng
NDR là phản ứng để giảm thiểu những nhược điểm mà hệ thống IDS không bảo vệ được. Hệ thống NDR vượt ra ngoài khả năng phát hiện dựa trên chữ ký và phân tích tất cả lưu lượng mạng đến bên trong hoặc ra khỏi mạng và tạo ra một đường cơ sở của hoạt động mạng bình thường. Đường cơ sở được sử dụng sau đó để so sánh lưu lượng truy cập hiện tại với hoạt động mạng thông thường nhằm phát hiện các hành vi đáng ngờ.
Các giải pháp NDR sử dụng các công nghệ tiên tiến để phát hiện các mối đe dọa mới xuất hiện và chưa biết, chẳng hạn như Học máy và Trí tuệ nhân tạo (AI). Việc sử dụng các công nghệ này cho phép các hệ thống NDR chuyển đổi thông tin thu thập được từ lưu lượng mạng thành thông tin tình báo có thể hành động được sử dụng để phát hiện và ngăn chặn các mối đe dọa mạng chưa xác định.
Giải pháp NDR có thể chạy tự động độc lập với sự giám sát của con người để phát hiện các mối đe dọa mạng và phản ứng với chúng. NDR cũng có thể tích hợp với các giải pháp bảo mật hiện có như SIEM và SOAR để nâng cao khả năng phát hiện và phản hồi.
Các sai sót trong NDR truyền thống trong việc xử lý mã hóa và lượng dữ liệu ngày càng tăng
Cho đến nay, NDR dựa vào phản chiếu lưu lượng, thường được kết hợp với các cảm biến phần cứng để trích xuất thông tin – tương tự như cách IDS đã sử dụng để làm điều đó. Tuy nhiên, có ba yếu tố thay đổi cuộc chơi ngày càng thách thức cách tiếp cận này:
- Một phần lớn lưu lượng truy cập internet được mã hóa, theo Báo cáo minh bạch của Google, đã chiếm 90% lưu lượng truy cập web. Do đó, phản chiếu lưu lượng truy cập truyền thống không thể trích xuất thông tin từ tải trọng và do đó mất hiệu quả.
- Tăng băng thông và công nghệ mạng mới, làm cho việc phản chiếu lưu lượng trở nên đắt đỏ hoặc thậm chí là không khả thi.
- Sự thay đổi hướng tới các mạng lai phân tán cao, nơi chỉ đơn giản là phân tích lưu lượng trên một hoặc hai thiết bị chuyển mạch lõi là không còn đủ. Nhiều điểm thu gom cần được giám sát, điều này làm cho các giải pháp dựa trên phản chiếu giao thông thậm chí còn tốn kém hơn để vận hành.
Có tính đến những phát triển này, mạng phản chiếu không phải là giải pháp hướng tới tương lai để bảo mật mạng nữa.
ExeonTrace: Một giải pháp NDR đáng tin cậy trong tương lai
ExeonTrace không yêu cầu phản chiếu lưu lượng mạng để phát hiện các mối đe dọa và giải mã lưu lượng được mã hóa; nó sử dụng các thuật toán không hoạt động trên trọng tải, nhưng dựa trên dữ liệu nhật ký mạng nhẹ được xuất từ cơ sở hạ tầng mạng hiện có qua NetFlow.
Điều này cho phép nó phân tích siêu dữ liệu đi qua mạng tại nhiều điểm thu thập để khám phá các kênh liên lạc bí mật được sử dụng bởi các tác nhân đe dọa tiên tiến, chẳng hạn như các cuộc tấn công APT và ransomware.
NetFlow là một tiêu chuẩn mở cho phép các thiết bị mạng (ví dụ: bộ định tuyến, bộ chuyển mạch hoặc tường lửa) xuất siêu dữ liệu của tất cả các kết nối đi qua chúng (mạng vật lý, môi trường ảo hóa và môi trường đám mây riêng – hay còn gọi là bắc-nam và đông -Khả năng giám sát phương Tây). Do đó, cách tiếp cận này là tối ưu cho các mạng phân tán bao gồm cả môi trường đám mây.
ExeonTrace giải pháp cung cấp khả năng hiển thị toàn diện trên toàn bộ môi trường CNTT của bạn, bao gồm các dịch vụ đám mây được kết nối, thiết bị CNTT ẩn và có thể phát hiện các cuộc tấn công không phải phần mềm độc hại, chẳng hạn như mối đe dọa nội bộ, lạm dụng thông tin xác thực và xâm nhập dữ liệu. Khả năng hiển thị mạng hoàn chỉnh sẽ làm cho việc kiểm tra tất cả lưu lượng mạng đi vào hoặc rời khỏi mạng doanh nghiệp của bạn trở nên khả thi.
ExeonTrace sẽ không dừng lại ở đây, vì nó sẽ giám sát tất cả các tương tác nội bộ giữa tất cả các thiết bị trong mạng doanh nghiệp của bạn, để phát hiện các tác nhân đe dọa nâng cao ẩn trong mạng của bạn, chẳng hạn như APT và Ransomware.
ExeonTrace’s việc sử dụng các mô hình Học máy được giám sát và không được giám sát cho phép nó phát hiện các mối đe dọa không phải phần mềm độc hại, chẳng hạn như mối đe dọa nội gián, di chuyển ngang, rò rỉ dữ liệu và do thám nội bộ. ExeonTrace cũng cho phép bổ sung các bộ quy tắc tùy chỉnh dựa trên mạng để xác minh tất cả người dùng đang tuân thủ các chính sách bảo mật được triển khai (ví dụ: ngăn người dùng sử dụng các giao thức cụ thể). Trên hết, ExeonTrace có thể tích hợp với nguồn cấp dữ liệu đe dọa có sẵn hoặc sử dụng nguồn cấp dữ liệu đe dọa dành riêng cho khách hàng để phát hiện các mối đe dọa đã biết.
Phần kết luận
Hệ thống NDR đã trở thành một điều cần thiết để ngăn chặn số lượng ngày càng tăng các cuộc tấn công mạng. Mặc dù vậy, các giải pháp NDR truyền thống cần phản ánh lưu lượng mạng hoàn chỉnh để phân tích tải trọng gói, điều này không còn hiệu quả trong việc ngăn chặn các mối đe dọa mạng hiện đại sử dụng mã hóa để che giấu hoạt động của chúng. Ngoài ra, việc phản chiếu toàn bộ lưu lượng mạng ngày càng trở nên bất tiện, đặc biệt là với sự gia tăng lớn của khối lượng dữ liệu truyền qua các mạng công ty. Một NDR được chứng minh trong tương lai như ExeonTrace dựa vào phân tích siêu dữ liệu cho phép giảm thiểu những nhược điểm đó – và do đó nên là phương tiện được lựa chọn để bảo vệ mạng công ty một cách hiệu quả và hiệu quả.
