Tim Security Operations Center (SOC) menghadapi tantangan baru yang secara fundamental-alat cybersecurity tradisional gagal mendeteksi musuh tingkat lanjut yang telah menjadi ahli dalam menghindari pertahanan berbasis titik akhir dan sistem deteksi berbasis tanda tangan. Realitas “penyusup yang tidak terlihat” ini mendorong kebutuhan yang signifikan untuk pendekatan berlapis-lapis untuk mendeteksi ancaman, termasuk solusi deteksi dan respons jaringan (NDR).
Masalah penyusup yang tidak terlihat
Bayangkan jaringan Anda telah dikompromikan – bukan hari ini atau kemarin, tetapi berbulan -bulan yang lalu. Terlepas dari investasi Anda yang signifikan dalam alat keamanan yang berjalan 24/7, musuh canggih telah diam -diam bergerak melalui sistem Anda, dengan hati -hati menghindari deteksi. Mereka telah mencuri kredensial, mapan di pintu belakang, dan mengekspiltrasi data sensitif, semuanya sementara dasbor Anda tidak menunjukkan apa -apa selain hijau.
Skenario ini tidak hipotetis. Waktu tinggal rata -rata untuk penyerang – periode antara kompromi awal dan deteksi – masih melayang sekitar 21 hari di banyak industri, dengan beberapa pelanggaran tersisa belum ditemukan selama bertahun -tahun.
“Kami mendengar cerita ini berulang kali dari tim keamanan,” kata Vince Stoffer, Field CTO di Corelight, penyedia solusi NDR yang tumbuh paling cepat. “Mereka memasang solusi NDR dan segera menemukan masalah visibilitas jaringan dasar atau aktivitas mencurigakan yang belum ditemukan di jaringan mereka selama berbulan -bulan – kadang -kadang bertahun -tahun. Musuh telah melakukan pengintaian, membangun kegigihan, membuat gerakan lateral, dan mengekspiltrasi data, semuanya di bawah kemampuan deteksi dari tumpukan keamanan yang ada.”
Masalahnya terletak pada bagaimana penyerang modern beroperasi. Aktor ancaman canggih saat ini tidak mengandalkan malware dengan tanda tangan atau perilaku yang diketahui yang memicu peringatan titik akhir. Sebaliknya, mereka:
- Gunakan teknik hidup-off-lahan, memanfaatkan alat sistem yang sah seperti PowerShell
- Bergerak secara lateral melalui jaringan menggunakan kredensial yang dicuri tetapi valid
- Berkomunikasi melalui saluran terenkripsi
- Dengan hati -hati mengatur waktu aktivitas mereka untuk berbaur dengan operasi bisnis normal
- Mengeksploitasi hubungan tepercaya antar sistem
Teknik -teknik ini secara khusus menargetkan titik buta dalam pendekatan keamanan tradisional yang berfokus pada indikator kompromi yang diketahui. Deteksi berbasis tanda tangan dan pemantauan titik akhir hanya tidak dirancang untuk menangkap musuh yang beroperasi terutama dalam proses yang sah dan sesi yang diautentikasi.
Bagaimana NDR dapat mengatasi penyusup yang tidak terlihat ini dan membantu tim keamanan mendapatkan kembali kendali atas sistem mereka?
Apa itu deteksi dan respons jaringan?
NDR mewakili evolusi dalam pemantauan keamanan jaringan yang melampaui sistem deteksi intrusi tradisional dan melengkapi tumpukan keamanan yang lebih luas. Pada intinya, solusi NDR menangkap dan menganalisis lalu lintas jaringan mentah dan metadata untuk mendeteksi kegiatan jahat, anomali keamanan, dan pelanggaran protokol yang mungkin dilewatkan oleh alat keamanan lainnya.
Tidak seperti alat keamanan jaringan lama yang terutama mengandalkan tanda tangan ancaman yang diketahui, NDR modern menggabungkan strategi deteksi berlapis-lapis:
- Analisis perilaku untuk mengidentifikasi pola yang tidak biasa dalam lalu lintas jaringan
- Model Pembelajaran Mesin yang Menetapkan Deviasi Baselin dan Bendera
- Analisis protokol yang memahami “percakapan” yang terjadi antara sistem
- Integrasi Intelijen Ancaman untuk mengidentifikasi indikator jahat yang diketahui
- Kemampuan analitik canggih untuk perburuan ancaman retrospektif
Elemen “respons” sama pentingnya. Platform NDR menyediakan data forensik terperinci untuk investigasi dan sering kali memasukkan kemampuan untuk tindakan respons otomatis atau dipandu untuk menampung ancaman dengan cepat.
Mengapa tim SOC merangkul NDR
Pergeseran menuju NDR berasal dari beberapa perubahan mendasar dalam lanskap keamanan yang telah mengubah bagaimana organisasi mendekati deteksi ancaman.
1. Permukaan serangan yang berkembang pesat dan beragam
Lingkungan perusahaan modern telah tumbuh secara eksponensial lebih kompleks dengan adopsi cloud, kontainerisasi, proliferasi IoT, dan model kerja hibrida. Perluasan ini telah menciptakan tantangan visibilitas kritis, terutama untuk pergerakan lateral di seluruh lingkungan (lalu lintas timur-barat) yang dapat dilewatkan oleh alat perimeter tradisional. NDR memberikan visibilitas yang komprehensif dan dinormalisasi di seluruh lingkungan yang beragam ini, pemantauan pemantauan di tempat, cloud, dan infrastruktur multi-cloud di bawah payung analitik tunggal.
2. Evolusi Teknologi Privasi-sentris
Adopsi enkripsi yang meluas secara mendasar mengubah pemantauan keamanan. Dengan lebih dari 90% lalu lintas web sekarang dienkripsi, pendekatan inspeksi tradisional menjadi tidak efektif. Solusi NDR tingkat lanjut telah berevolusi untuk menganalisis pola lalu lintas terenkripsi tanpa dekripsi, menjaga visibilitas keamanan sambil menghormati privasi melalui analisis metadata, sidik jari JA3/JA3S, dan teknik lain yang tidak memerlukan pembobolan enkripsi.
3. Proliferasi Perangkat yang Tidak Dapat Dikelola
Ledakan perangkat yang terhubung-dari sensor IoT hingga teknologi operasional-telah menciptakan lingkungan di mana keamanan berbasis agen tradisional tidak praktis atau tidak mungkin. Pendekatan tanpa agen NDR memberikan visibilitas ke perangkat di mana solusi titik akhir tidak dapat digunakan, menangani titik -titik buta keamanan yang semakin mendominasi jaringan modern karena jenis perangkat bertambah cepat daripada yang dapat dikelola oleh tim keamanan.
4. Pendekatan Deteksi Komplemen
Tim SOC telah mengakui bahwa teknologi keamanan yang berbeda unggul dalam mendeteksi berbagai jenis ancaman. Sementara EDR unggul dalam mendeteksi kegiatan tingkat proses pada titik akhir yang dikelola, NDR memantau lalu lintas jaringan untuk catatan komunikasi obyektif yang sulit bagi penyerang untuk memanipulasi atau dihapus. Sementara log dapat diubah dan telemetri titik akhir dapat dinonaktifkan, komunikasi jaringan harus terjadi bagi penyerang untuk mencapai tujuan mereka. Kualitas “kebenaran darat” ini membuat data jaringan sangat berharga untuk deteksi ancaman dan investigasi forensik. Pendekatan pelengkap ini menutup kesenjangan visibilitas kritis yang dieksploitasi oleh penyerang.
5. Krisis tenaga kerja cybersecurity
Kekurangan global profesional keamanan (diperkirakan lebih dari 3,5 juta posisi yang tidak terisi) telah mendorong organisasi untuk mengadopsi teknologi yang memaksimalkan efektivitas analis. NDR membantu mengatasi kesenjangan bakat ini dengan memberikan deteksi kesetiaan tinggi dengan konteks yang kaya yang mengurangi kelelahan peringatan dan mempercepat proses investigasi. Dengan mengkonsolidasikan kegiatan terkait dan memberikan pandangan komprehensif tentang urutan serangan potensial, NDR mengurangi beban kognitif pada tim keamanan yang sudah dirpretkan, memungkinkan mereka untuk menangani lebih banyak insiden dengan staf yang ada.
6. Lansekap Pengaturan Berevolusi
Organisasi menghadapi persyaratan kepatuhan yang semakin ketat dengan kerangka waktu pelaporan yang lebih pendek. Peraturan seperti GDPR, CCPA, NIS2, dan kerangka kerja khusus industri mandat pemberitahuan insiden cepat (seringkali dalam 72 jam atau kurang) dan membutuhkan bukti forensik terperinci. Solusi NDR menyediakan jalur audit komprehensif dan data forensik yang diperlukan untuk memenuhi persyaratan ini, memungkinkan organisasi untuk menunjukkan uji tuntas dan memberikan dokumentasi yang diperlukan untuk pelaporan peraturan. Data ini juga penting dalam membantu tim keamanan dengan percaya diri menyatakan bahwa ancaman telah sepenuhnya terkandung dan dikurangi dan untuk memahami ruang lingkup dan skala yang sebenarnya dari apa yang disentuh para penyerang ketika mereka berada di dalam jaringan.
Masa Depan NDR
Karena semakin banyak organisasi mengakui keterbatasan pendekatan keamanan tradisional, adopsi NDR terus berakselerasi. Sementara inovasi NDR bergerak dengan cepat untuk tetap di depan penyerang, kemampuan kritis untuk setiap solusi NDR harus mencakup:
- Solusi cloud-asli yang memberikan visibilitas di lingkungan multi-cloud
- Integrasi dengan platform SOAR (Orkestrasi Keamanan, Otomasi dan Respons) untuk alur kerja yang ramping
- Kemampuan analitik canggih untuk perburuan ancaman proaktif
- Arsitektur terbuka yang memfasilitasi integrasi dengan ekosistem keamanan yang lebih luas
Untuk tim SOC yang berurusan dengan ancaman yang semakin kompleks, NDR tidak hanya menjadi alat keamanan lain tetapi juga kemampuan dasar yang memberikan visibilitas yang diperlukan untuk mendeteksi dan menanggapi penyerang canggih saat ini. Sementara tidak ada teknologi tunggal yang dapat menyelesaikan semua tantangan keamanan, NDR membahas titik -titik buta kritis yang telah dieksploitasi berulang kali dalam pelanggaran besar.
Ketika permukaan serangan terus berkembang dan musuh tumbuh lebih kreatif dalam cara mereka menyusup ke lingkungan yang aman, kemampuan untuk melihat dan memahami komunikasi jaringan telah menjadi penting bagi organisasi yang serius tentang keamanan. Jaringan, bagaimanapun, tidak berbohong – dan kebenaran itu telah menjadi sangat berharga di era di mana penipuan adalah strategi utama penyerang.
Corelight menyediakan para pembela elit dari segala bentuk dan ukuran dengan alat dan sumber daya yang mereka butuhkan untuk memastikan visibilitas jaringan yang komprehensif dan kemampuan NDR canggih, berdasarkan pada platform pemantauan jaringan Zeek open-source. Kunjungi Corelight.com untuk informasi lebih lanjut.
