Čo je to zisťovanie siete a ako to funguje?

V záujme bezpečnosti a výkonu musia inžinieri rýchlo nájsť problémy so sieťou a pokúsiť sa ich okamžite opraviť. Toto je detekcia a odozva siete (NDR).

NDR je veľmi dôležitým prvkom bezpečnostnej stratégie organizácie. Ale čo to vlastne je?

NDR používa techniky, ktoré nie sú založené na podpisoch (na rozdiel od antivírusového a antimalvérového softvéru), ako je napríklad strojové učenie na detekciu podozrivej prevádzky, ktorá môže naznačovať kybernetický útok. Riešenia NDR analyzujú sieťovú prevádzku a tokové údaje, aby vytvorili modely, ktoré určujú štandardnú prevádzku, potom zisťujú odchýlky a generujú výstrahy.

Reakcia je tiež dôležitou funkciou NDR. Automatické reakcie (napr. odosielanie príkazov do firewallu na odstránenie podozrivej prevádzky) alebo manuálne reakcie (napr. poskytovanie nástrojov na vyhľadávanie hrozieb) sú jeho vlajkovou loďou funkcií.

Triáda viditeľnosti bezpečnostného operačného centra (SOC)

Zatiaľ čo NDR je rozhodujúce pre bezpečnosť siete a IT, rovnako dôležité je mať zavedené doplnkové riešenia, ktoré vašej organizácii poskytnú komplexnú ochranu.

Jedným z konceptov je SOC Visibility Triad. Implementácia doplnkových bezpečnostných nástrojov, ktoré si navzájom kompenzujú nedostatky, podľa nej výrazne znižuje šance, že útočníci dosiahnu svoje ciele.

Tri piliere triády sú:

• EDR pre zabezpečenie koncového bodu,
• SIEM na spracovanie protokolov a koreláciu udalostí,
• NDR na analýzu správania z perspektívy siete.

Prvý z nich, SIEM, je zodpovedný za správu bezpečnostných informácií. V rozsiahlom prostredí potrebuje IT spôsob zhromažďovania a analýzy všetkých relevantných protokolov. Robiť to ručne je veľmi časovo náročné a nie je to nákladovo efektívne, takže riešenie SIEM je rozhodujúce pre zachovanie bezpečnosti a šetrenie zdrojov.

Druhý pilier, EDR, zabraňuje narušeniu koncových bodov. Takáto invázia môže viesť k skutočnej katastrofe, a preto je jednou z najdôležitejších súčastí dobre naplánovanej ochrany.

Tretím pilierom je NDR, čiže sieťová detekcia a odozva. Okrem sieťových hackov riešenie tiež:

• segreguje problémy
• obmedzuje ich na to, na čom skutočne záleží
• filtruje hluk.

NDR umožňuje IT tímu dostať sa k prvkom, na ktorých skutočne záleží, a určiť ich skutočný vplyv na krajinu.

Tieto riešenia využívajú analytické techniky na detekciu podozrivej prevádzky v podnikových sieťach. Nástroje nepretržite analyzujú záznamy pohybu a toku, aby vytvorili modely, ktoré odrážajú štandardné správanie.

SIEM a EDR sú dôležité riešenia, no zanechávajú slepé miesta v obrane. Ak k tomu pridáme NDR, vyplní to medzery v bezpečnosti siete.

Dôvodom bude skutočnosť, že každý zdroj v cloude alebo lokálnom dátovom centre využíva sieť na komunikáciu. Vďaka tomu je NDR najlepším zdrojom informácií o bezpečnosti hybridov. Pokročilé riešenia sú tiež schopné monitorovať a analyzovať šifrovanú prevádzku. Odhaduje sa, že takto je skrytých 90 % malvéru.

Progress Flowmon je riešenie na monitorovanie výkonu siete založené na toku, ktoré vám umožňuje sledovať využitie šírky pásma, porozumieť vzorcom prevádzky a presne určiť hlavnú príčinu problémov so sieťou v lokálnych, okrajových a cloudových prostrediach.

Je výborným doplnkom ochrany akejkoľvek organizácie.

Ak sa chcete o riešení dozvedieť viac, kontaktujte Tomasza Domalewského, ktorý je správcom tohto riešenia v Bakotech.