NDR решения и их участие в киберзащите

NDR решения и их участие в киберзащите

NDR–решения (Network Detection and Response, сетевое обнаружение и реагирование) — специальный инструмент для анализа сетевого трафика с целью построения моделей для определения показателей сети и извещения ответственных лиц в случае, если будет обнаружено отклонение от нормы. В работе он основывается не на классических сигнатурах, на которых построена большая часть антивирусного программного обеспечения, а на машинном обучении как части искусственного интеллекта. Система ориентируется на показания сетевых сенсоров и выявляет подозрительный и аномальный трафик, указывающий на кибератаку.

из функций NDR решений также можно назвать реагирование. Система может отправлять автоматические ответы, так и ручные. То есть передавать команды брандмауэру на сброс подозрительного трафика, а также предоставлять инструменты для поиска потенциальной угрозы и реагирование на нее. Использование на практике NDR-решений способно решить многие сетевые проблемы, но все же максимальную эффективность от их применения специалисты установили именно в сфере борьбы с кибератаками.

Сейчас остановимся более подробно на том, как данная система способна бороться с программами-вымогателями. Познакомимся с основными методами работы NDR. Подскажем, как обеспечить дополнительную защиту от несанкционированного доступа и высокий уровень безопасности работы в сети при помощи дополнительного подключения к работе такого инструмента, как мобильные прокси.

Нюансы борьбы NDR с программами-вымогателями

Как показывает практика, активность программ-вымогателей в последнее время значительно повысилось. От подобных атак страдают как небольшие, так и крупные организации. И уровень ущерба здесь нередко исчисляется миллионами. И дело здесь не только в выкупах, которая платит хакерам, но и в снижении производительности работы компании, ухудшении уровня доверия потребителей к бренду. Чтобы вернуться снова в строй, организациям нередко приходится восстанавливать работоспособность IT-системы, платить персоналу сверхурочные для того, чтобы в максимально короткий период снова вернуться к нормальной работе.

Работа NDR во многом основывается на так называемой триаде видимости SOC (Security Operations Center). Это концепция, предполагающая развертывание целого ряда инструментов безопасности, которые бы взаимно дополняли друг друга, компенсируя собственные недостатки. В результате шансы злоумышленников на достижение поставленной цели существенно снижаются.

В триаде видимости SOC предусмотрено 3 основополагающие момента:

  1. EDR: обеспечивает безопасность конечных точек.
  2. SIEM: обеспечивает обработку журналов и корреляцию событий.
  3. NDR: анализирует параметры потоковых данных с точки зрения сети.

С каждым днем все больше специалистов по безопасности внедряют в свои проекты модели на основе NDR-инструментов. Они призваны расширить защиту конечных точек, а также возможности управления журналами. Компоненты NDR способны дополнить и компенсировать слабые места EDR и SIEM, тем самым обеспечивая абсолютную безопасность и прозрачность, в том числе и сложных IT-сред.

Для достижения максимального эффекта все эти три инструмента должны работать совместно. Только так они смогут охватить все части анатомии атаки и в разы повысить вероятность раннего обнаружения. Рассмотрим более подробно каждый из компонентов.

Отличительные особенности EDR

EDR (Endpoint Detection & Response) —система обнаружения вредоносной активности на конечной точке. Компрометация активов приближает киберпреступников к получению привилегированного доступа, что открывает перед ними новые возможности для атаки. В отличие от классических антивирусных программ, действие которых направлено на борьбу с массовыми и типовыми угрозами, EDR-решения способны выявить достаточно сложные угрозы и целевые атаки.

Отличительные особенности SIEM

Статистика показывает, что в основе свыше 80% удачных взломов лежит компрометация учетных данных. Поэтому очень важно отчетливо понимать, каким есть нормальное поведение в сети. Только так можно будет обнаружить отклонение от нормы, то есть аномалии.

Представьте ситуацию, когда вы как, представитель системы безопасности компании, видите, что кто-то пытается войти в вашу систему скажем так 100 раз за одну секунду. Какие действия вы предпримете в этом случае? Самое логичное и быстрое решение — отключение устройства от сети. И если бы работа велась с одним компьютером, то особой проблемы бы и не было. Но на практике IT-специалистам приходится работать с десятками, сотнями, а то и тысячами устройств. И собрать соответствующие журналы с каждого из них, объединить, проанализировать — это неподъемная задача. Именно ее решение и призвана взять на себя система управления событиями безопасности — SIEM.

Отличительные особенности NDR

NDR (сетевое обнаружение и реагирование) предназначается для решение следующих задач:

  • выявление сетевых вторжений;
  • концентрацию на наиболее важных объектах киберзащиты;
  • сортировка проблем в области киберзащиты;
  • фильтрация шума.

При помощи NDR специалисты смогут своевременно отреагировать на инциденты, выявить наиболее важные аспекты, тем самым опережая появление проблемы. То есть данный инструмент борется не с последствиями, а работает на опережение. Он способен по едва заметной симптоматике обнаружить аномалии и известить об этом специалистов, которые, в свою очередь и предотвратят будущие атаки.

NDR-решение практически не используют в работе методы, основанные на сигнатурах. Они основаны на машинном обучении и прочей аналитике. Чтобы обнаружить подозрительный трафик в корпоративных сетях инструменты системы постоянно анализируют трафик, записывают потоки и выстраивают модели, которые будут отображать нормальное поведение сети. И как только будут замечены первые признаки отклонения от нормы. Будет выдаваться соответствующее предупреждение.

И EDR, и SIEM— эффективные, проверенные временем инструменты, но все же в работе они оставляют слепые зоны, особенно в так называемом коридоре с Востока на Запад. Именно здесь злоумышленники зачастую и прячутся после того, как обойдут защиту периметра. Благодаря сетевому подходу NDR способном охватить и эти пробелы, повышая видимость и покрытие. То есть они будут эффективными при работе с Севера на Юг, и с Востока на Запад. При этом смогут отслеживать и анализировать зашифрованный трафик.

Особенности работы NDR

Мы уже упоминали о том, что в работе NDR-решение постоянно отслеживает сетевой трафик и анализируют обмен данными. Именно это позволяет им заблаговременно выявлять аномалии и подозрительное поведение, реагировать на еще неявные угрозы безопасности, в том числе и те, которые не были идентифицированы иными технологиями. Сегодня злоумышленники активно разрабатывают вредоносное программное обеспечение, для которого сигнатур не существует. Именно поэтому NDR-решения на эти самые сигнатуры не особо полагаются, а делают акцент на машинном обучении.

Работу данного сервиса можно разделить на 3 отдельных шага:

  1. Входные данные. Сюда относят сетевую телеметрию, каналы репутации, полное пакетные данные, идентификатора сигнатур.
  2. Алгоритмы. Обработка входных данных осуществляется при помощи инструментов машинного обучения, анализа поведения пользователя, адаптивного базового уровня, эвристики, сигнатур, данных о репутации.
  3. Обработка результатов. На этом этапе применяются такие методы как телеметрия, события, оповещение, форензика, опыт, полученный от предыдущих инцидентов.

Познакомимся с основными инструментами из каждой вышеприведенной категории более подробно:

  • Машинное обучение. Данный инструмент постоянно работает над вычислением и анализом энтропии между отдельными сторонами сети. Так машинное обучение может различать действия человека и компьютера. Благодаря этому NDR-решения могут обнаруживать те типы сетевых атак, которые постоянно повторяют шаблоны в сети без генерирования, то есть характеризуется очень низкой энтропией.
  • Эвристика. Речь идет об алгоритмах на основе теории вероятности, которые находят специфические симптомы в сети. Данный метод показывает процент вероятности, наличие того или иного вредоносного события.
  • Базовый адаптивный уровень. Предполагает анализ отдельных хостов, идентификацию их сетевого поведения, а также выполнение сравнения поведенческих факторов разных хостов между собой. Как пример, если будет выявлено, что один из хостов генерирует намного больше электронных писем, чем иные из той же самой сети, то высока вероятность рассылки спама, компрометацией и пр.
  • Анализ поведенческий факторов пользователя. Система будет реагировать на большой объем передаваемых данных, нехарактерные подключение, несоответствие типа связи легитимному шаблону сети и пр.
  • Реагирование на инциденты. Мы уже упоминали в начале обзора о том, что на непредвиденные ситуации с NDR-решения могут реагировать двумя способами: вручную и автоматически. В сфере ручного реагирования поставщики NDR-решений постоянно работают над совершенствованием функции поиска угроз и способов реагирования на инциденты. Также они стремятся улучшать опции рабочего процесса, подсказывают, как правильно расставлять приоритеты, то есть на какие события из области безопасности в первую очередь следует реагировать. В случае использования автоматических инструментов NDR фокусируется на других моментах безопасности, тех, которые можно автоматизировать. Так, это может быть отправка команды брандмауэр на сброс подозрительного трафика, отправка команд для изоляции конечной точки, отправка выявленных событий в SIEM-инструменты, работа со скомпрометированными конечными точками, сбор и корреляция событий и пр.
  • Данные о репутации. Чтобы обеспечить дополнительную ценность ряд поставщиков NDR-решений уже базово включают в свои предложения данные с аналитикой угроз. Это сервисы с открытым исходным кодом, которые могут быть представлены в виде коммерческих каналов с вредоносными IP-адресами, доменными именами, именами хостов, фингерпринтом и пр.

Как обеспечить дополнительную защиту работы в сети

Дело в том, что при любом заходе в сеть, сайты идентифицируют IP-адрес и геолокацию устройства, с которого вы попали к ним на площадку. Именно эти данные и используют злоумышленники для того, чтобы попасть на ваш компьютер, ноутбук. Как предотвратить подобное? Самое простое и логичное решение — скрыть свой реальный IP-адрес. Именно это и призванные обеспечить мобильные прокси от сервиса MobileProxy.Space. Они пропускают через себя весь поток данных, осуществляя при этом замену адреса и местоположение на собственные технические параметры. Благодаря этому обеспечивается:

  • абсолютная конфиденциальность и анонимность работы в интернете;
  • защита от любого несанкционированного доступа, хакерских атак;
  • получение доступа ко всем сайтам, в том числе и к тем, которые заблокированы вашей стране на законодательном уровне;
  • более высокая скорость соединения, что обеспечивается использованием высокоскоростных каналов связи и кэшированием данных;
  • возможность работы в многопоточном режиме с одного устройства, не опасаясь получить бан, даже в том случае, если подключите к работе программы для автоматизации действий.

Делая выбор в пользу мобильных прокси от сервиса MobileProxy.Space, вы получаете функциональные и удобные в работе решения. Пройдите по ссылке https://mobileproxy.space/user.html?buyproxy, чтобы более подробно познакомиться с особенностями данного продукта. Среди основных моментов выделим: возможность менять адреса как автоматически, то есть по таймеру, так и принудительно через специальную ссылку с личного кабинета, одновременную работу по протоколам HTTP(S) и Socks5, возможность смены геолокации и оператора сотовых сетей прямо в рабочем процессе. К услугам клиентов сервиса круглосуточная служба технической поддержки, которая быстро и профессионально решит возникшее сложности в работе.

Мобильные прокси от MobileProxy.Space и NDR-решение — лучшая комбинация для стабильной, безопасной, эффективной работой в сети.


Поделитесь статьёй: