توزیع شبکهها روز به روز گستردهتر شده و درعین حال پیچیدگی آنها نیز افزایش مییابد. درنتیجه قابلیت دید کامل برای شناسایی و متوقف کردن تهدیدات پیش از اینکه تبدیل به نقض امنیتی شوند، از هر زمان دیگری حیاتیتر است. همهی افراد تیترهایی در مورد شرکتهایی که دچار نقض امنیتی شدهاند را خواندهاند، زیرا یک عامل تهدیدآمیز بدون اینکه شناسایی گردد ماهها در شبکهی شرکت حضور داشته است. اگر تیمهای امنیتی راهکاری را برای شناسایی و پاسخ به تهدیدات ایجاد شده روی شبکه داشتند، از بسیاری از این نقضهای امنیتی پیشگیری میشد. سازمانها میدانند که تیمهای آنها به قابلیت دید شبکه نیاز دارند، اما شاید از بهترین گزینه برای تیم خود آگاه نباشند. راهکار Network Detection and Response یا NDR در اینجا کاربرد دارد.
سردرگمی زیادی در رابطه با مفهوم Network Detection and Response یا NDR و دلایل قرارگیری آن در یک استراتژی امنیتی شبکه وجود دارد. در این مطلب سعی شده است که تعریف واضحی از NDR، چگونگی کار آن و نحوهی تعیین اینکه آیا تیم امنیتی باید راهکار NDR را به کار گیرد یا خیر، ارائه شود.
تعریف Network Detection and Response
Network Detection and Response یا NDR یک راهکار امنیتی پیشرو برای بدست آوردن قابلیت دید کامل به تهدیدات شناخته شده و ناشناسی است که در شبکهها وجود دارند. NDR تجزیهوتحلیل متمرکز و ماشینی از ترافیک شبکه و راهکارهایی برای پاسخدهی، از جمله جریانهای کاری کارآمد و خودکارسازی را فراهم میکند.
شاید این سوال ایجاد شود که چرا تیم امنیتی نمیتواند از ابزار امنیتی قدیمی مثل سیستمهای شناسایی و پیشگیری از نفوذ[۱] یا IDS/IPS برای استراتژی امنیت شبکه استفاده کند. متاسفانه تیمهای امنیتی نمیتوانند به ابزار امنیتی مبتنی بر [۲]Signature برای شناسایی تهدیدات امنیتی شبکه که نیاز به تجزیهوتحلیل وسیعتری دارند، اتکا کنند. زیرا ابزار امنیتی مبتنی بر Signature توانایی شناسایی حملات جدید را ندارد، مگر اینکه قبلا Signatureهایی برای تشخیص حمله روی شبکه نوشته شده باشد. این ابزار قدیمی ارتباطات را در چندین نقطه از داده پیدا نکرده و دادهها را درطول زمان برای تشخیص تهدیدات بالقوه بررسی نمیکند؛ بهعلاوه قابلیتهای زیادی در پاسخگویی به حملات ندارد.
راهکارهای Network Detection and Response یا NDR بهصورت Real-Time از فعالیت قابلتوجه در شبکه به تیمها آگاهی میدهند تا تهدیدات ایجاد شده در شبکه با نهایت سرعت شناسایی شوند.
Network Detection and Response چه تفاوتی با آنالیز ترافیک[۳] شبکه دارد
سردرگمی زیادی که در مورد NDR وجود دارد به ارتباط آن با آنالیز ترافیک شبکه یا NTA مربوط است. NTA فرایند جمعآوری و تجزیهوتحلیل ترافیک شبکه است و NDR زیرمجموعهای از NTA محسوب میشود.
رویکردهای بسیاری برای NTA وجود دارد، اما بهترین آنها NDR است.
راهکار Network Detection and Response یا NDR براساس مانیتورینگ و تجزیهوتحلیل Real-Time ساخته شده که NTA با قابلیت پاسخ بهصورت Built-In فراهم میکند. جامعترین راهکارهای NDR تکنولوژیهای هماهنگسازی، خودکارسازی و پاسخگویی در امنیت[۴] یا SOAR را یکپارچهسازی مینمایند تا گزینههای پاسخ خودکار را تسهیل کنند.
راهکار Network Detection and Response چه مزایایی دارد
شناسایی نیت مخرب
در بسیاری از مواقع، پروتکلهای شناسایی قدیمی از فعالیتهای مخربِ بدون فایل که از برنامههای کاربردی و اطلاعات اعتباری کسبوکار سوءاستفاده میکنند، غافل هستند. در چنین سناریوهایی، عامل مخرب با استفاده از ابزار غیرمخربی که از قبل در محیط وجود دارد، خود را مخفی میکند.
Network Detection and Response میتواند به کار گرفته شود تا با استفاده از یادگیری ماشینی و تجزیهوتحلیل رفتاری، کارهای پیچیده و لازم برای شناسایی تهدیدات در چنین موقعیتی را انجام دهد؛ کارهایی مثل شناسایی دستورات کنترلی SMB برای ایجاد سرویس، علامتگذاری مخفی بودن این دستورات برای کاربران عمومی، شناسایی دستگاههایی با عملکرد مشابه با دستگاههای هدف عامل مخرب و آشکار کردن اینکه کدام سیستمها بیش از معمول توسط حساب کاربر مورد استفاده قرار گرفتهاند.
پاسخ سریع و قطعی
کاربران میتوانند با رفتارهای ناامن، مثل کلیک ناآگاهانه بر روی یک لینک در ایمیل فیشینگ، سازمان خود را دچار ریسک کنند. اگر کار کاربر شامل همکاری با تیمهای بخشهای دیگر باشد، از این طریق بر روی یک مقیاس وسیع در شبکه دسترسی به اطلاعات فراهم میشود. یک کاربر میتواند با کلیک کردن روی یک ایمیل فیشینگ، کل تلاشهای اختصاصی یک سازمان را در ریسک یک حمله قرار دهد.
برای پیشگیری از آسیب گسترده از سوی هر تهدیدی، شناسایی و پاسخ به تهدیدات که از یادگیری ماشینی و هوش مصنوعی قدرت میگیرد، میتواند تجزیهوتحلیل حمله را ممکن سازد. این راهکار برای این کار، تمام دستگاههای تحت تاثیر که روی شبکه به آدرس ایمیل کاربر متصل هستند را شناسایی و کاربران بیشتری که تحت تاثیر حملهی ایمیل قرار گرفتهاند را پیدا کرده و تلههای دیگری که مهاجم یکسانی داشتهاند را آشکار میکند و درهمینحال کاربران و دستگاهها را برای حفاظت Real-Time مانیتور مینماید.
هوش شبکهی جامع
سازمانها مدام باید ریسکهایی که برای رویکردهای مبتنی بر Log یا Agent غیرقابل مشاهده هستند را ارزیابی کنند؛ ریسکهایی که از اینترنت اشیا یا IoT مدیریتنشده، رویکرد «دستگاه خود را بیاورید[۵]» یا BYOD و دستگاههای متعلق به پیمانکاران نشات میگیرند. برای مثال یک سختافزار مخرب که به یک شبکه متصل شده باشد میتواند ترافیک را از شبکههای داخلی بیرون کشیده و سپس اطلاعات سازمان را استخراج کند. از آنجایی که چنین سختافزاری بخشی از زیرساخت سازمان محسوب نمیشود، ابزارهای موجود، مثل امنیت Endpoint یا راهکارهای مبتنی بر Log هیچ قابلیت دیدی را برای حمله فراهم نمیکنند.
ابزار Network Detection and Response، بهخصوص مواردی که با استفاده از هوش مصنوعی و یادگیری ماشینی بهبود پیدا میکنند، میتوانند موجدیتهایی با رفتار عحیب را آشکار کنند تا آن سختافزارها بلافاصله شناسایی و متوقف شوند. همچنین میتوان از این ابزار برای شناسایی دستگاهی با الگوهای مشکوک ترافیکی استفاده کرده و یک جدول زمانی برای نشان دادن زمان ورود سختافزار به شبکه فراهم نمود.
راهکار Network Detection and Response چگونه کار میکند
NDR یک مجموعهی یکپارچهسازیشده از قابلیتهای شناسایی، بررسی و پاسخدهی را فراهم میکند.
شناسایی: راهکارهای NDR دادهها را از سراسر محیطها جمعآوری کرده و از تجزیهوتحلیل ماشینی استفاده میکنند تا بهسرعت تهدیدات را آشکار نمایند. کارآمدترین راهکارهای NDR شامل چندین رویکرد به تجزیهوتحلیل ماشینی، مثل مدلسازی مبتنی بر سناریو برای روشها، تکنیکها و فرایندهای شناختهشده یا TTPها[۶] و بررسی عمیق فرادادهی ترافیک باتوجه به نشانههای تهدیدات امنیتی شناختهشده یا IOCها[۷] است، تا بهطور کارآمدی تهدیدات را شناسایی نماید.
تحقیق و بررسی: NDR برای تیمهای امنیتی، بینش[۸] شبکه و تجزیهوتحلیل را بهصورت Real-Time فراهم کرده و دادهها را از درون محیط جمعآوری میکند تا اطلاعات متنی مرتبط و متوعی را برای سادهسازی تحقیق و بررسی به آن اضافه کند.
یک راهکار NDR میتواند مدارک انکارناپذیر مبتنی بر شبکه را برای تجزیهوتحلیل تهدیدات، اعمال Policy، پشتیبانی ممیزی و اقدامات قانونی ایجاد نماید. NDR شناسایی تهدیدات را سادهتر میکند زیرا به تیم امنیتی این توانایی را میدهد که بهسرعت و سادگی فعالیت مشکوک را تشخیص دهد.
پاسخدهی: بهترین راهکار NDR به کاربر کمک میکند که با قابلیتهای SOAR، جریانهای کاری امنیتی را تسریع و خودکارسازی کند. این امر حیاتی است زیرا بسیاری از اقدامات روزمرهی تیم امنیتی برای پاسخ به این تهدیدات میتواند خودکارسازی شود و به تیم این توانایی تمرکز روی مسائل مهمتر را بدهد. مهمتر از آن، میتوان پاسخ به این تهدیدات را خودکارسازی کرد و زمان از دست رفته را کاهش داد. برای مثال میتوان بهصورت خودکار در پاسخ به یک حمله، یک حساب کاربری را غیرفعال کرده یا یک آدرس IP را مسدود کرد بدون اینکه نیازی به مداخلهی دستی باشد.
چه سازمانهایی به راهکار NDR نیاز دارند
تیمهای امنیتی که خواستار قابلیت دید در محیطهای On-Premise، محیطهای Remote و Cloud در یک راهکار واحد هستند، باید NDR را مدنظر داشته باشند. NDR بهترین راهکاری است که به تیم امنیتی قابلیت دید کاملی به شبکه میدهد و نگرانی این تیم را نسبت به چیزی که قابلمشاهده نیست از بین میبرد.
اگر سازمانی از قبل یک SIEM و یک ابزار شناسایی و پاسخ [۹]Endpoint یا EDR داشته باشد، ممکن است بتواند از راهکار NDR سود ببرد. موسسهی Gartner پیشنهاد میکند که تیمهای امنیتی از هر سه راهکار با قابلیت دید برای ایجاد یک مرکز عملیات امنیت یا SOC استفاده کرده تا با ایجاد یک رویکرد فعال و آیندهنگرانه باعث کاهش احتمال حضور یک عامل تهدیدآمیز روی شبکه برای دستیابی به خواستهها شود.
همچنین اگر تیم امنیتی در محیطی با دستگاههای اینترنت اشیا یا IoT، تکنولوژی عملیاتی[۱۰] یا OT و سیستمهای کنترل صنعتی[۱۱] یا ICS کار کند، NDR یک راهکار ایدهآل است زیرا در این محیطها نمیتوان Agentها را برای شناسایی مبتنی بر Endpoint نصب نمود. برای مثال سازمانهایی که دارای سیستمهای کنترل نظارتی و اکتساب داده[۱۲] یا به اختصار SCADA هستند میتوانند برای مانیتور کردن و بررسی جریان ترافیک بین دستگاهها و هشداردهی در مورد پروتکلهایی که بهندرت دیده شدهاند، از NDR استفاده کنند.
[۱] Intrusion Detection and Prevention Systems
[۲] Signature-Based Security Tools
[۳] Network Traffic Analytics
[۴] Security Orchestration, Automation and response
[۵] Bring-Your-Own-Device
[۶] Tactics, Techniques and Procedures
[۷] Indicator of Compromise
[۸] Insight
[۹] Endpoint Detection and Response
[۱۰] Operational Technology
[۱۱] Industrial Control Systems
[۱۲] Supervisory Control and Data Acquisition
منابع:
https://awakesecurity.com/glossary/network-detection-and-response/
https://logrhythm.com/what-is-network-detection-and-response/