ماهو NDR
ما هو اكتشاف الشبكة والاستجابة لها (NDR)؟
كشف الشبكة والاستجابة لها (NDR) هو حل للأمن السيبراني يراقب باستمرار شبكة مؤسسة ما لاكتشاف التهديدات السيبرانية والسلوك الشاذ باستخدام أدوات أو تقنيات غير قائمة على التوقيع ويستجيب لهذه التهديدات عبر القدرات الأصلية أو من خلال التكامل مع أدوات / حلول الأمن السيبراني الأخرى .
كيف يعمل اكتشاف الشبكة والاستجابة لها؟
يعد اكتشاف الشبكة والاستجابة لها (NDR) أحد حلول الأمن السيبراني الذي يراقب باستمرار شبكة المنظمات من خلال جمع كل حركة مرور الشبكة للحصول على رؤية غير مسبوقة واستخدام التحليلات السلوكية والتعلم الآلي والذكاء الاصطناعي لاكتشاف التهديدات السيبرانية والسلوك الشاذ والاستجابة لهذه التهديدات عبر القدرات الأصلية أو من خلال الدمج مع أدوات / حلول الأمن السيبراني الأخرى.
تستخدم حلول NDR عالية الأداء التعلم الآلي وأدوات الذكاء الاصطناعي لنمذجة تكتيكات وتقنيات وإجراءات الخصم التي تم تعيينها في إطار MITER ATT & CK لاكتشاف سلوكيات المهاجمين بدقة عالية. إنها تعرض السياق المتعلق بالأمان ، وتستخرج بيانات عالية الدقة ، وتربط الأحداث عبر الوقت ، والمستخدمين ، والتطبيقات لتقليل الوقت والجهد المبذول في التحقيقات بشكل كبير. كما يقومون بدفق عمليات الكشف عن الأمان وارتباطات التهديدات إلى حلول إدارة أحداث معلومات الأمان (SIEM) لإجراء تقييمات أمنية شاملة.
تتجاوز حلول NDR مجرد اكتشاف التهديدات ، والاستجابة للتهديدات في الوقت الفعلي من خلال الضوابط الأصلية أو من خلال دعم مجموعة واسعة من عمليات التكامل مع أدوات أو حلول الأمن السيبراني الأخرى مثل تنسيق الأمان والأتمتة والاستجابة (SOAR).
لماذا تحتاج المؤسسات إلى اكتشاف الشبكة والاستجابة لها؟
ثالوث الرؤية Gartner SOC
ثالوث رؤية Gartner SOC مع اكتشاف نقطة النهاية والاستجابة لها (EDR) ونظام معلومات الأمان وإدارة الأحداث (SIEM) واكتشاف الشبكة والاستجابة (NDR)
يلعب NDR دورًا محوريًا في تأمين البنية التحتية الرقمية الخاصة بك.
يتوفر سجل التهديدات بشكل عام في ثلاثة أماكن: الشبكة ونقطة النهاية والسجلات.
يوفر اكتشاف نقطة النهاية والاستجابة (EDR) عرضًا تفصيليًا على مستوى الأرض للعمليات التي تعمل على مضيف والتفاعلات فيما بينها.
يوفر اكتشاف الشبكة والاستجابة (NDR) عرضًا جويًا للتفاعلات بين جميع الأجهزة على الشبكة.
تقوم فرق الأمان بعد ذلك بتكوين نظام معلومات الأمان وإدارة الأحداث (SIEM) لجمع معلومات سجل الأحداث من الأنظمة الأخرى والربط بين مصادر البيانات.
يتم تمكين فرق الأمان التي تنشر هذه الأدوات للإجابة على مجموعة واسعة من الأسئلة عند الرد على حادث أو البحث عن التهديدات.
على سبيل المثال ، يمكنهم الإجابة: ماذا فعل هذا الأصل أو الحساب قبل التنبيه؟ ماذا فعلت بعد التنبيه؟ هل يمكننا معرفة متى بدأت الأمور تسوء؟
NDR هو الأكثر أهمية لأنه يوفر منظورًا لا يستطيع الآخرون القيام به
على سبيل المثال ، يمكن أن تؤدي عمليات الاستغلال التي تعمل على مستوى BIOS لجهاز ما إلى تخريب EDR أو قد لا ينعكس النشاط الضار في السجلات. لكن نشاطهم سيكون مرئيًا بواسطة أدوات الشبكة بمجرد تفاعلهم مع أي نظام آخر عبر الشبكة.
أو يستخدم المهاجمون المتقدمون والمتطورون أنفاق HTTPS المخفية المشفرة ، والتي تمتزج مع حركة المرور العادية ، لإطلاق جلسة قيادة وتحكم (C2) واستخدام نفس الجلسة لاختراق بيانات الأعمال والعملاء الحساسة والتهرب من ضوابط أمان المحيط ولكن حلول NDR شديدة للغاية بارعون في اكتشاف هذه السلوكيات.
تقوم الأنظمة الأساسية الفعالة لاكتشاف الشبكات والاستجابة التي تعتمد على الذكاء الاصطناعي بجمع وتخزين البيانات الوصفية الصحيحة وإثرائها برؤى أمنية مستمدة من الذكاء الاصطناعي.
يمكن أن يؤدي الاستخدام الفعال للذكاء الاصطناعي إلى اكتشاف المهاجمين في الوقت الفعلي وإجراء تحقيقات حاسمة في الحوادث.
ما هي فوائد اكتشاف الشبكة والاستجابة لها؟
الرؤية المستمرة عبر الشبكة
توفر حلول الأمن السيبراني لاكتشاف الشبكة والاستجابة لها رؤية مستمرة عبر جميع المستخدمين والأجهزة والتقنيات المتصلة بالشبكة ، من مركز البيانات إلى السحابة ، ومن مستخدمي الحرم الجامعي إلى العمل من المستخدمين المنزليين ، ومن IaaS إلى SaaS ، ومن الطابعات إلى أجهزة إنترنت الأشياء.
التحليلات السلوكية والذكاء الاصطناعي لاكتشاف التهديدات المتقدمة
تستخدم حلول NDR الرائدة التحليلات السلوكية و ML / AI لنمذجة سلوكيات المهاجم مباشرة واكتشاف الهجمات المتقدمة والمستمرة بدقة جراحية. إنهم يتجنبون فيضان التنبيهات منخفضة الدقة وغير المثيرة للاهتمام نظرًا لأنهم لا يكتشفون الحالات الشاذة ، بل يكتشفون الهجمات النشطة. أنها توفر تغطية الكشف لعدة مراحل من دورة حياة الهجوم ، بما في ذلك المثابرة ، وتصعيد الامتياز ، والتهرب الدفاعي ، والوصول إلى بيانات الاعتماد ، والاكتشاف ، والحركة الجانبية ، وجمع البيانات ، و C2 والتسلل.
تحسين الكفاءة التشغيلية لمركز العمليات الأمنية (SOC)
حلول NDR الرائدة التي تعتمد على الذكاء الاصطناعي هي حلول تلقائية وتحسن بشكل كبير عمليات الكشف عن الأمان وكفاءة تشغيل مركز العمليات الأمنية (SOC) على الرغم من أن المنظمات والفرق تعاني من نقص مزمن في خبرة وموظفي الأمن السيبراني من خلال تقديم عمليات إعادة بناء كاملة للهجوم بلغة طبيعية توفر محللين ، كلهم المعلومات التي يحتاجون إليها للعمل على التنبيهات بسرعة وبشكل كامل.
القدرة على الرد تلقائيًا وإيقاف الهجمات في الوقت الفعلي
بالإضافة إلى اكتشاف الهجمات المعقدة التي تعمل بشكل سري وتستخدم تقنيات مراوغة ، توفر حلول NDR القدرة على الاستجابة تلقائيًا للهجوم الخطير عبر عناصر التحكم الأصلية وإيقاف الهجوم في الوقت الفعلي. بالإضافة إلى أنها تتكامل مع العديد من منتجات الأمن السيبراني مثل EDR أو حلول الأمن السيبراني مثل SOAR.