NDR – Network Detection & Response тепер вважається технологією безпеки в ІТ-безпеці, яка не повинна бути відсутня в мережах жодної компанії. Але хто оцінює всі дані та відповідає? Магічне слово тут MDR – керовані служби виявлення та реагування. Інтерв’ю з Майклом Вейтом, експертом із безпеки Sophos.
Ефективні рішення безпеки включають такі технологічні компоненти, як мережевий захист кінцевих точок, брандмауер нового покоління в поєднанні зі штучним інтелектом і людським досвідом у формі служб безпеки.
У той час як класичні рішення безпеки виявляють і відвертають велику кількість атак і зловмисних аномалій, прямим захистом мережі протягом тривалого часу дещо нехтували. Однак після того, як зловмисники знайшли доступ до мережі, їх важко вистежити. Ні захист кінцевої точки, ні брандмауер надійно не виявляють зловмисників, які вже знаходяться в мережі. Таким чином зловмисники можуть тривалий час безперешкодно та таємно переміщатися вбік через мережу (бічний рух), щоб підготувати фактичну атаку або крадіжку даних.
NDR добре – MDR краще
Майкл Вейт, експерт із безпеки в Sophos (Зображення: Sophos).
NDR (виявлення та реагування мережі) тепер незамінний для надійної безпеки мережі. Незважаючи на те, що технології виявлення NDR забезпечують дуже хороший огляд стану та захисту мережі, необхідно розуміти нешкідливі та небезпечні повідомлення. Нарешті, також важливо виконати пункт «Відповідь» у NDR, тобто вжити правильних дій після ознак атаки чи інциденту.
Sophos приділяє саме цьому увагу у своїх рішеннях і пропонує компаніям кероване виявлення та реагування на кібербезпеку як послугу цілодобово, 24/7/365. Майкл Вейт, експерт із безпеки в Sophos, відповідає нам в інтерв’ю про те, як саме MDR працює з Sophos, що він може робити та які важливі моменти.
Сильні сторони NDR у поєднанні з MDR – кібербезпека як послуга
Кібербезпека B2B: які переваги NDR для компаній?
Майкл Вейт, Sophos: «Сучасне рішення NDR виявляє атаки навіть глибоко в мережі. Він відстежує трафік, а також виявляє активність некерованих систем, пристроїв Інтернету речей, неавторизованих користувачів або активів і будь-яких інших джерел мережевого трафіку. Він навіть може перевіряти зашифровані пакетні дані, не піддаючи особистим даним ризику».
Нове покоління NDR, наприклад, від Sophos, — це вдосконалене рішення для моніторингу мережі, призначене для боротьби зі складним ландшафтом загроз, що постійно змінюється. Він поєднує в собі п’ять власних механізмів виявлення з аналітикою глибокого навчання, щоб надавати в режимі реального часу дієві дані щодо широкого спектру мережевих загроз. Механізми виявлення класифікують мережевий трафік на основі понад 330 протоколів, 50 ризиків потоку та тисяч IOC. Ці механізми також включають численні моделі глибокого навчання, які забезпечують новий рівень точності виявлення загроз, мінімізуючи помилкові спрацьовування».
Кібербезпека B2B: чому компаніям варто покладатися на MDR у поєднанні з NDR?
Майкл Вейт, Sophos: «Виявлення аномалії або шаблону атаки в мережі – це лише перший крок. Система NDR попереджає компанію, а також надає відповідну інформацію про проблему чи атаку. Вони повинні бути правильно витлумачені, а потім частина «відповіді» має бути виконана ідеально. І саме в цьому полягає проблема багатьох компаній, оскільки вони не мають доступних експертів. З MDR все працює інакше: після виявлення зловмисників потрібно видалити з мережі, а лазівки закрити. Це робиться автоматично через інший важливий компонент екосистеми безпеки: MDR (керовані служби виявлення та реагування). Служби MDR автоматично інформуються рішенням NDR про те, що раніше не виявлений зловмисник може бути в мережі компанії.
Отримавши цю інформацію, команда Sophos MDR Security Operations Center негайно вживає заходів, досліджує звіт NDR і усуває зловмисників. Водночас судові експерти досліджують шляхи атаки, щоб виявити залишки шкідливого програмного забезпечення або виявити та виправити маніпуляції та зміни прав у мережі. Тільки точна обробка такого ланцюга інцидентів є ідеальною відповіддю на атаку».
Кібербезпека B2B: які особливості NDR?
Майкл Вейт, Sophos: «Технології NDR приносять компанії багато світла в інакше темну мережу. Це допомагає ідентифікувати невідомі або незахищені мережеві пристрої, включаючи законні пристрої IoT або OT, якими неможливо повністю керувати за допомогою датчика кінцевої точки. До них відносяться, наприклад, пристрої IoT, принтери або застарілі системи, які знаходяться в мережі. Мережеві пристрої, які були забуті і тому не враховані та захищені ІТ-безпекою, також популярні серед хакерів. NDR визначає та відстежує такі пристрої на предмет підозрілої чи зловмисної поведінки, яка може свідчити про атаку.
Крім того, неавторизовані активи, введені в мережу, які вже можуть бути скомпрометовані або використані для запуску атаки, можуть бути легко виявлені та відстежені Sophos NDR».
B2B Cyber Security: Sophos NDR також виявляє найсучасніші атаки?
Майкл Вейт, Sophos: «Це дуже цікавий момент. Рішення також виявляє дії командування та управління (C2), яких раніше не було. Оскільки багато атак і порушень безпеки контролюються віддалено. На перший погляд, деякі комунікації між зловмисником і його віддаленими процесами в мережі здаються законними. NDR може виявляти нові дії C2 нульового дня і таким чином виявляти цілеспрямовані вузькоспеціалізовані атаки на ранній стадії.
Ще однією особливістю рішення є раннє виявлення підозрілих потоків мережевого трафіку. Sophos здатний навіть ідентифікувати незвичайні шаблони трафіку та таким чином виявляти шкідливий трафік, створений відомим шкідливим програмним забезпеченням. Приклад: Sophos проаналізувала шаблон трафіку QBot або Qakbot і порівняла його з підозрілими потоками мережевого трафіку. Також так було ідентифіковано атаку QBot. Технологія, що стоїть за цим: Модель Sophos NDR EPA (Encrypted Payload Analytics) перетворює потоки пакетів на зображення і використовує нейронну мережу, щоб визначити, чи відповідає зображення тому, що ми очікуємо від потоку даних Qakbot або іншого сімейства зловмисних програм (наприклад, Bumblebee, Cobalt Strike, Emotet, Dridex)».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.