NDR คืออะไร? คำแนะนำฉบับสมบูรณ์

ปัจจุบัน ผู้มีอำนาจตัดสินใจด้านความปลอดภัยต้องเผชิญกับทางเลือกมากมายในการสร้างชุดการรักษาความปลอดภัยที่ทันสมัย การควบคุมความปลอดภัยอย่างหนึ่งที่มักถูกมองข้ามคือ Network Detection and Response หรือ NDR โซลูชันความปลอดภัยทางไซเบอร์ NDR ไม่ใช่เรื่องใหม่ อย่างไรก็ตาม เนื่องจากการรับรู้ถึงความซับซ้อนของการปรับใช้ การบำรุงรักษา และการใช้งาน เจ้าของความปลอดภัยจำนวนมากจึงลดลำดับความสำคัญของเทคโนโลยีนี้ในกลุ่มการรักษาความปลอดภัยของตน โดยสมมติว่าผลิตภัณฑ์รักษาความปลอดภัยที่เกี่ยวข้องกับเครือข่ายอื่นๆ สามารถป้องกันไม่ให้เครือข่ายของตนถูกบุกรุกได้ คู่มือนี้ให้คำจำกัดความ NDR ที่ครอบคลุมว่าเป็นโซลูชันความปลอดภัยทางไซเบอร์สมัยใหม่ และความสำคัญในการต่อสู้กับการโจมตีทางไซเบอร์

NDR ทำงานอย่างไร

เทคโนโลยีการตรวจจับเครือข่ายและการตอบสนองได้รับการออกแบบมาเพื่อระบุภัยคุกคามในโครงสร้างพื้นฐานเครือข่ายของคุณ และทำให้นักวิเคราะห์ความปลอดภัยดำเนินการตอบสนองอย่างเด็ดขาดได้อย่างรวดเร็ว เพื่อลดความเสี่ยงของการละเมิดที่สร้างความเสียหาย แตกต่างจากเทคโนโลยีเครือข่ายอื่นๆ ที่กำหนดให้ผู้ใช้เป็นผู้เชี่ยวชาญกึ่งในระบบเครือข่าย นักวิเคราะห์ความปลอดภัยที่มีความเชี่ยวชาญหลากหลายสามารถใช้ผลิตภัณฑ์ NDR ได้อย่างง่ายดาย เพื่อให้เข้าใจวิธีการได้ดีขึ้น ความสามารถของ NDR ช่วยให้เครือข่ายมีความปลอดภัยก่อนอื่นเราต้องแกะวิธีการปรับใช้และทำงานของมันก่อน 

เครือข่ายของคุณคือระบบประสาทส่วนกลางของทั้งองค์กร ไม่ว่าคุณจะใช้งานแบบ “on-metal” โดยไม่มีการแสดงตนบนคลาวด์ หรือใช้งาน “All-In” บนผู้ให้บริการคลาวด์ เครือข่ายจะช่วยให้เกิดการสื่อสารที่สำคัญจากศูนย์ธุรกิจแห่งหนึ่งไปยังอีกศูนย์ธุรกิจหนึ่งได้ ในอดีต การนำไฟร์วอลล์มาใช้นั้นถือเป็นการรักษาความปลอดภัยที่เพียงพอสำหรับเครือข่าย อย่างไรก็ตาม ผู้จำหน่ายได้แนะนำการควบคุมความปลอดภัยใหม่เพื่อปกป้องเครือข่ายและต่อสู้กับความก้าวหน้าของวิธีการโจมตี ระบบตรวจจับการบุกรุกหรือป้องกันการบุกรุกเพิ่มความสามารถของไฟร์วอลล์เพื่อป้องกันการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ โดยอาศัยลายเซ็นการโจมตีเครือข่ายที่รู้จัก เมื่อผู้โจมตีปรับเปลี่ยนกลยุทธ์แม้เพียงเล็กน้อย ผลิตภัณฑ์ IDS/IPS ส่วนใหญ่ก็กลายเป็นสิ่งน่ารำคาญสำหรับผู้โจมตีไปเล็กน้อย “ จัดการกับ.”

วิวัฒนาการของ NDR

เนื่องจากผู้ให้บริการด้านความปลอดภัยมักจะทำเมื่อเผชิญกับความท้าทายของผู้โจมตีที่เปลี่ยนแปลงตลอดเวลา ผลิตภัณฑ์ประเภทใหม่จึงถูกนำมาใช้ที่เรียกว่า การวิเคราะห์ปริมาณการใช้เครือข่าย (NTA). ตามชื่อที่แนะนำ ผลิตภัณฑ์ NTA จะวิเคราะห์เนื้อหาและตัวชี้วัดการรับส่งข้อมูลระหว่างทรัพย์สินขององค์กรและการรับส่งข้อมูลไปยังและจากแหล่งภายนอก นักวิเคราะห์สามารถเจาะลึกรายละเอียดของรูปแบบที่ไม่ธรรมดาเพื่อพิจารณาว่าจำเป็นต้องดำเนินการแก้ไขหรือไม่ ตอนนี้ NDR เข้าสู่ภาพ NDR รวม IDS/IPS, NTA และความสามารถด้านความปลอดภัยเครือข่ายอื่นๆ ที่ดีที่สุดไว้ในโซลูชันเดียวเพื่อปกป้องเครือข่าย ผลิตภัณฑ์ NDR มุ่งหวังที่จะนำเสนอมุมมองที่ครอบคลุมของภัยคุกคามความปลอดภัยทั่วทั้งเครือข่ายของคุณ การใช้การผสมผสานระหว่างลายเซ็นเครือข่ายที่เป็นอันตราย การวิเคราะห์ความปลอดภัย และการวิเคราะห์พฤติกรรม ทำให้ NDR สามารถตรวจจับภัยคุกคามได้อย่างรวดเร็วและมีประสิทธิภาพสูง เพื่อให้เจาะจงยิ่งขึ้น ผลิตภัณฑ์ NDR ไม่เพียงแต่สามารถวิเคราะห์เนื้อหาของการรับส่งข้อมูลเครือข่ายเท่านั้น แต่ยังระบุกิจกรรมที่ผิดปกติด้วยการวิเคราะห์ข้อมูลเมตาของการรับส่งข้อมูลเครือข่าย (ขนาด/รูปร่างของการรับส่งข้อมูล) ความสามารถนี้มีข้อได้เปรียบเมื่อต้องรับมือกับการรับส่งข้อมูลที่เข้ารหัส ซึ่งอาจเป็นไปไม่ได้ที่ผลิตภัณฑ์ NDR จะถอดรหัสแบบเรียลไทม์ ผลิตภัณฑ์ NDR ทั่วไปมีความสามารถในการตรวจจับและความสามารถในการตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้น

บทบาทของ NDR ในระบบรักษาความปลอดภัยทางไซเบอร์คืออะไร

ผู้โจมตียุคใหม่มองหาจุดอ่อนในสภาพแวดล้อมขององค์กรที่พวกเขาสามารถใช้ประโยชน์ได้ แม้ว่าอุปกรณ์ปลายทางเป็นพื้นที่การโจมตียอดนิยมสำหรับผู้โจมตีส่วนใหญ่ แต่พวกเขากลับมองหาวิธีปกปิดภัยคุกคามทางไซเบอร์ภายในการรับส่งข้อมูลเครือข่ายปกติมากขึ้น แนวทางนี้กำลังได้รับความนิยมเนื่องจากความซับซ้อนในการรับรู้ที่เกี่ยวข้องกับการตรวจสอบ การวิเคราะห์ และการตรวจจับภัยคุกคามในขณะที่พวกมันสำรวจเครือข่าย ในอดีตอันไม่ไกลนัก การระบุภัยคุกคามในการรับส่งข้อมูลเครือข่ายจำเป็นต้องใช้ทรัพยากรพร้อมประสบการณ์ที่กว้างขวางในการกำหนดค่า ดูแลรักษา และตรวจสอบการรับส่งข้อมูลเครือข่าย อย่างไรก็ตาม ทุกวันนี้ ภูมิทัศน์ความปลอดภัยทางไซเบอร์มีความแตกต่างกันอย่างมาก ทำให้การป้องกันเครือข่ายสามารถเข้าถึงได้มากขึ้นสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทุกคน ไม่ใช่แค่ผู้เชี่ยวชาญด้านเครือข่ายเท่านั้น

ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ส่วนใหญ่เห็นด้วย การโจมตีส่วนใหญ่จะสัมผัสกับเครือข่ายไม่ทางใดก็ทางหนึ่ง การศึกษาล่าสุดชี้ให้เห็นว่า 99% ของการโจมตีที่ประสบความสำเร็จสามารถตรวจพบได้ในการรับส่งข้อมูลเครือข่าย ซึ่งสามารถระบุและบรรเทาผลกระทบได้หลายอย่างก่อนที่ผู้โจมตีจะปรับใช้เพย์โหลด โซลูชันการป้องกันเครือข่ายสมัยใหม่ทำให้การปกป้องเครือข่ายเข้าถึงได้ง่ายขึ้นสำหรับผู้เชี่ยวชาญด้านความปลอดภัยโดยทำให้ความสามารถต่างๆ ใช้งานง่าย เมื่อประกอบกับความสามารถอัตโนมัติที่เพิ่มขึ้นซึ่งรวมอยู่ในโซลูชันส่วนใหญ่ การระบุภัยคุกคามในเครือข่ายจึง “ถูกส่งต่อ” มากขึ้นกว่าที่เคย สำหรับทีมรักษาความปลอดภัยส่วนใหญ่ แม้แต่ผู้ที่ขาดความเชี่ยวชาญด้านเครือข่ายก็สามารถทำได้ ปรับใช้โซลูชัน NDR ในกลุ่มการรักษาความปลอดภัย และเริ่มระบุภัยคุกคามในขณะที่เคลื่อนย้ายระหว่างสินทรัพย์เครือข่าย และเข้าและออกจากเครือข่ายโดยอาศัยการแทรกแซงของมนุษย์เพียงเล็กน้อย ด้วยการรวม NDR ไว้ในกลุ่มการรักษาความปลอดภัย ทีมรักษาความปลอดภัยยังสามารถเห็นประโยชน์เชิงกลยุทธ์และยุทธวิธีมหาศาลที่เกินกว่าการระบุภัยคุกคามบนเครือข่าย

ประการแรก การรวม NDR ไว้ในกลุ่มการรักษาความปลอดภัยของคุณ จะถือว่าคุณปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของแนวทางการรักษาความปลอดภัยแบบ “การป้องกันในเชิงลึก” แม้ว่าแพลตฟอร์มการป้องกันอุปกรณ์ปลายทางและโซลูชันการตรวจจับและตอบสนองอุปกรณ์ปลายทางได้รับการออกแบบมาเพื่อระบุภัยคุกคามบนอุปกรณ์ปลายทาง แต่โดยทั่วไปแล้วจะมองไม่เห็นภัยคุกคามเมื่อเคลื่อนผ่านเครือข่าย ในทำนองเดียวกัน ผลิตภัณฑ์ป้องกันข้อมูลสูญหายสามารถระบุได้ดีมากเมื่อข้อมูลสำคัญย้ายจากตำแหน่งที่กำหนด อย่างไรก็ตาม พวกเขาทำได้ไม่ดีนักในการรับข้อมูลสำคัญที่ส่งผ่านเครือข่าย โดยเฉพาะอย่างยิ่งหากถูกทำให้สับสนภายในการรับส่งข้อมูลเครือข่ายปกติ สถานการณ์นี้เป็นจุดที่ผลิตภัณฑ์รักษาความปลอดภัย NDR มีศักยภาพในการยกระดับความสามารถของทีมรักษาความปลอดภัยในการลดความเสี่ยงของการโจมตีทางไซเบอร์ที่ประสบความสำเร็จ เช่นเดียวกับผลิตภัณฑ์อื่นๆ ที่กล่าวถึงซึ่งมีไว้เพื่อการตรวจจับภัยคุกคามในสินทรัพย์หรือประเภทข้อมูลเฉพาะ NDR มุ่งเน้นไปที่การทำความเข้าใจการรับส่งข้อมูลเครือข่ายในแบบที่ไม่มีผลิตภัณฑ์รักษาความปลอดภัยอื่นสามารถทำได้ ด้วยการเปิดใช้การวิเคราะห์ที่รวดเร็วของการรับส่งข้อมูลเครือข่ายแบบเรียลไทม์ ผลิตภัณฑ์รักษาความปลอดภัย NDR จึงสามารถตรวจพบภัยคุกคามที่อาจเกิดขึ้นในการรับส่งข้อมูลเครือข่ายที่อาจไม่มีใครสังเกตเห็น

เมื่อตรวจพบภัยคุกคามแล้ว ข้อมูลนั้นจะถูกแชร์ไปยังแพลตฟอร์ม SIEM หรือ XDR ได้อย่างง่ายดายเพื่อให้สัมพันธ์กับภัยคุกคามอื่นๆ ซึ่งบางส่วนอาจถือว่าเป็นสัญญาณที่อ่อนแอ ด้วยการวิเคราะห์ภัยคุกคามเครือข่ายอย่างต่อเนื่องกับข้อมูลที่เกี่ยวข้องกับความปลอดภัยอื่นๆ ทีมรักษาความปลอดภัยจะได้รับประโยชน์จากมุมมองแบบองค์รวมมากขึ้นเกี่ยวกับภัยคุกคามในสภาพแวดล้อมเครือข่ายทั้งหมดของพวกเขา ตัวอย่างเช่น เป็นเรื่องปกติที่ผู้โจมตีจะใช้การโจมตีหลายเวกเตอร์กับเป้าหมายของพวกเขา เช่น การเริ่มแคมเปญอีเมลฟิชชิ่งต่อพนักงานหลายคน ในขณะเดียวกันก็มองหาช่องโหว่ที่ทราบซึ่งค้นพบในเครือข่าย เมื่อตรวจสอบแยกกัน อาจถือว่ามีลำดับความสำคัญต่ำกว่าเมื่อพิจารณาว่าเป็นส่วนหนึ่งของการโจมตีแบบกำหนดเป้าหมาย เมื่อใช้ NDR ร่วมกับ XDR การโจมตีเหล่านี้จะไม่ถูกตรวจสอบแยกกันอีกต่อไป แต่สามารถเชื่อมโยงและเพิ่มข้อมูลตามบริบทที่เกี่ยวข้องได้ ทำให้การพิจารณาว่าเกี่ยวข้องกันได้ง่ายขึ้นมาก ขั้นตอนเพิ่มเติมนี้ ซึ่งในกรณีส่วนใหญ่สามารถเกิดขึ้นได้โดยอัตโนมัติ หมายความว่านักวิเคราะห์ความปลอดภัยจะมีประสิทธิผลและประสิทธิผลมากขึ้นโดยไม่ต้องใช้ความพยายามมากขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับผลประโยชน์เชิงกลยุทธ์ของ NDR โปรดดูที่ คู่มือผู้ซื้อ NDR.

NDR เปรียบเทียบกับ EDR และ XDR อย่างไร

เนื่องจากผลิตภัณฑ์และบริการด้านความปลอดภัยทางไซเบอร์จำนวนมากอ้างว่าให้ผลประโยชน์ที่คล้ายคลึงกัน จึงอาจเป็นเรื่องยากสำหรับผู้มีอำนาจตัดสินใจด้านความปลอดภัยบางรายในการพิจารณาว่าผลิตภัณฑ์ใดที่จะปรับใช้เพื่อรับผลประโยชน์เพิ่มเติม NDR ไม่ได้รับการยกเว้นจากความสับสนนี้ ดังนั้นเพื่อช่วยให้ผู้มีอำนาจตัดสินใจเข้าใจถึงความเหมือนและความแตกต่างระหว่างการควบคุมความปลอดภัยมาตรฐาน ข้อมูลต่อไปนี้จะสรุปความแตกต่างระหว่าง NDR, EDR และ XDR

ขั้นแรก เพื่อสร้างความเข้าใจพื้นฐานเกี่ยวกับจุดเน้นของคู่มือนี้ NDR ต่อไปนี้เป็นความสามารถมาตรฐานของโซลูชัน NDR:

ผลิตภัณฑ์ Endpoint Detection and Response (EDR) จะต้องมีความสามารถดังต่อไปนี้เพื่อให้การป้องกันที่จำเป็นในพื้นที่โฟกัสและอุปกรณ์ปลายทาง:

การตรวจจับและการตอบสนองแบบขยาย (XDR) ผลิตภัณฑ์เป็นหนึ่งในเทคโนโลยีใหม่ล่าสุดในตลาด เกิดจากความจำเป็นในการทำให้ทีมรักษาความปลอดภัยแบบลีนสามารถส่งมอบผลลัพธ์ด้านความปลอดภัยอย่างต่อเนื่องทั่วทั้งองค์กรได้ง่ายขึ้น ผลิตภัณฑ์ XDR ต้องมีความสามารถดังต่อไปนี้เพื่อมอบผลประโยชน์ที่ทีมรักษาความปลอดภัยส่วนใหญ่คาดหวัง 

โดยสรุป ทั้งผลิตภัณฑ์ NDR และ EDR ได้รับการป้อนข้อมูลลงในแพลตฟอร์ม XDR ซึ่งช่วยให้นักวิเคราะห์ความปลอดภัยสามารถตรวจสอบความปลอดภัยทางไซเบอร์ได้รวดเร็วและมีประสิทธิภาพมากขึ้นกว่าเดิม 

ควรเห็นได้ชัดว่าผลิตภัณฑ์ NDR มุ่งเน้นไปที่การระบุภัยคุกคามความปลอดภัยในขณะที่สำรวจโครงสร้างพื้นฐานเครือข่ายขององค์กร อย่างไรก็ตาม ผู้มีอำนาจตัดสินใจด้านความปลอดภัยอาจเข้าใจถึงคุณประโยชน์ของผลิตภัณฑ์ NDR ได้ง่ายขึ้นโดยการใช้ Use Case Lens ในการสนทนา การสนทนาต่อไปนี้จะสรุปกรณีการใช้งานด้านความปลอดภัยทั่วไปหลายกรณีซึ่งผลิตภัณฑ์ NDR สามารถช่วยให้ทีมรักษาความปลอดภัยพบเจอได้

ความท้าทายทั่วไปสำหรับทีมรักษาความปลอดภัยคือการทำความเข้าใจเมื่อผู้โจมตีเคลื่อนตัวข้ามสภาพแวดล้อมของตนไปด้านข้าง ตัวอย่างเช่น เมื่อผู้โจมตีประสบความสำเร็จในการบุกรุกบัญชีผู้ใช้หรืออุปกรณ์ปลายทางโดยไม่มีการตรวจจับ ขั้นตอนถัดไปคือให้ผู้โจมตีพยายามย้ายเข้าสู่สภาพแวดล้อมเพิ่มเติม สมมติว่าพวกเขาสามารถย้ายจากอุปกรณ์หนึ่งไปยังอีกเครื่องหนึ่งได้ในโหมดซ่อนตัว ในกรณีดังกล่าว พวกเขาอาจค้นพบว่ามีข้อมูลที่ละเอียดอ่อนอยู่ในสภาพแวดล้อมใดบ้าง ทำให้การโจมตีส่งผลกระทบมากขึ้นในกรณีของแรนซัมแวร์

เมื่อย้ายข้ามเครือข่าย พวกเขายังสามารถระบุแอปพลิเคชันหรือบริการที่มีช่องโหว่ซึ่งช่วยให้พวกเขาสามารถเปิด “ประตูหลัง” ในภายหลังเพื่อกลับเข้าสู่สภาพแวดล้อมอีกครั้งได้ตามต้องการ นอกจากนี้ เพื่อรักษาความคงอยู่ในสภาพแวดล้อม ผู้โจมตีจำนวนมากจะพยายามเพิ่มสิทธิ์ของบัญชีผู้ใช้ที่ถูกบุกรุกให้เป็นสิทธิ์ของผู้ดูแลระบบ โดยให้สิทธิ์แก่พวกเขาในการเปลี่ยนแปลงสภาพแวดล้อม อาจปิดคุณสมบัติความปลอดภัยบางอย่าง ลบบันทึกที่ สามารถทิ้ง breadcrumbs ไว้ให้ทีมรักษาความปลอดภัยใช้ในการสืบสวนให้เสร็จสิ้น ด้วย NDR ที่ติดตามกิจกรรมเครือข่ายแบบเรียลไทม์ ทีมรักษาความปลอดภัยสามารถระบุกิจกรรมที่น่าสงสัยระหว่างทรัพย์สินเครือข่ายและรูปแบบการรับส่งข้อมูลที่ผิดปกติจากเครือข่ายของพวกเขาไปยังโลกภายนอกได้อย่างรวดเร็ว ผลิตภัณฑ์ NDR เชื่อมโยงกิจกรรมที่ผิดปกตินี้กับการกระทำของผู้ใช้ ซึ่งสามารถเน้นได้เมื่อผู้โจมตีเคลื่อนที่ผ่านทรัพย์สินเครือข่ายอย่างอิสระ

กรณีการใช้งานด้านความปลอดภัยในชีวิตประจำวันอีกประการหนึ่งที่ผลิตภัณฑ์ NDR สามารถตอบสนองได้นั้นเกี่ยวข้องกับข้อมูลรับรองที่ถูกบุกรุก น่าเสียดายที่ในปัจจุบัน ผู้โจมตีสามารถรับข้อมูลประจำตัวผู้ใช้ที่ถูกต้องได้หลายวิธี ตั้งแต่การซื้อจากเว็บมืดไปจนถึงการให้พนักงานที่ไม่รู้ตัวสมัครเป็นอาสาสมัครเพื่อตอบอีเมลหลอกลวงหรือผ่านทางเว็บไซต์ที่เป็นอันตราย เมื่อผู้โจมตีได้รับข้อมูลประจำตัวแล้ว ผู้โจมตีจะสามารถเข้าถึงสภาพแวดล้อมได้อย่างง่ายดาย เมื่ออยู่ภายในองค์กร ผู้โจมตีสามารถทำกิจกรรมที่เป็นอันตรายจำนวนเท่าใดก็ได้ เช่น การติดตั้งแรนซัมแวร์ที่ทำให้ร่างกายอ่อนแอลง การลบข้อมูลที่สำคัญต่อภารกิจ หรือการเปิดเผยข้อมูลที่เป็นความลับของบริษัทสู่โลกภายนอกเพื่อสร้างความเสียหาย ผลิตภัณฑ์ NDR ทำให้การตรวจหาข้อมูลรับรองที่ถูกบุกรุกง่ายขึ้นโดยธรรมชาติของวิธีการทำงานของ NDR ตัวอย่างเช่น หากตรวจพบพนักงานในอเมริกาเหนือเข้าสู่ระบบจากประเทศจีน ในกรณีดังกล่าว ผลิตภัณฑ์ NDR จะตรวจจับความผิดปกตินี้และสร้างการแจ้งเตือนว่านักวิเคราะห์ความปลอดภัยสามารถตรวจสอบได้อย่างรวดเร็ว เนื่องจากผลิตภัณฑ์ NDR จะปรับบริบทคำเตือนโดยอัตโนมัติ นักวิเคราะห์ความปลอดภัยจึงสามารถระบุได้อย่างรวดเร็วว่าความผิดปกตินี้เป็นภัยคุกคามหรือไม่ และเริ่มการตอบสนองอัตโนมัติในไม่กี่วินาที เช่น การจำกัดการเข้าถึงของผู้ใช้ไปยังสภาพแวดล้อมเครือข่ายทั้งหมด และบังคับให้รีเซ็ตรหัสผ่าน พวกเขายังสามารถรับประกันได้ว่าการเข้าถึงของผู้ใช้ไปยังแอปพลิเคชันบนคลาวด์และสินทรัพย์เครือข่ายจะถูกปิดใช้งานผ่านการผสานรวมกับผลิตภัณฑ์ CASB