ابزار تشخیص و واکنش شبکه (NDR) چیست و استفاده از آن چه اهمیتی دارد؟
شبکههای رایانهای پایه و اساس دنیای مجازی را تشکیل میدهند. این شبکهها به میلیونها کاربر، دستگاه، برنامه کاربردی و سیستم امکان میدهند در هر زمانی که بخواهند با یکدیگر ارتباط برقرار کنند. بدون وجود چنین شبکههایی، رایانش مدرن به نحوی که امروزه میشناسیم امکانپذیر نخواهد بود. سازمانهای امروزی به این شبکهها و نقش آنها در زیرساخت کلی فناوری اطلاعات وابسته هستند. در نتیجه جای تعجب نیست هکرهایی هم که به دنبال ایجاد اختلال در خدمات سازمان های دولتی و شرکت های مختلف سطح جهان میباشند این شبکهها را مورد هدف حملات ویرانگر خود قرار دهند.
برای آشنایی کامل با میزان اهمیت امنیت شبکه، این حقیقت مهم را در نظر بگیرید که تقریباً 99 درصد از حملات سایبری از طریق این شبکهها اجرا میشوند. در نتیجه شبکهها میتوانند حاوی اطلاعات مهمی درباره تهدیدات در حال اجرا باشند. از این رو حدود 45 درصد از سازمانها از تحلیل ترافیک شبکه (NTA[1]) به عنوان اولین خط دفاعی جهت تشخیص تهدیدات سایبری استفاده میکنند.
علاوه بر این، شبکهها هیچ وقت دروغ نمیگویند! دادههای شبکه که در اثر برقراری ارتباط بین دستگاهها و سیستمها تولید میشوند برخلاف فایلهای گزارش (لاگ) تحت هیچ شرایطی توسط هکرها قابل پاک شدن نیستند. بنابراین هر سازمانی که به دنبال بهبود توانمندی های امنیتی خود است باید به پیادهسازی قابلیتهای تشخیص و واکنش به تهدید در شبکه (NDR[2]) توجه کافی داشته باشد.
قابلیتهای ابزارهای تشخیص و واکنش به تهدیدات
این محصولات اولین بار به عنوان ابزارهایی برای تشخیص ناهنجاری رفتاری در شبکه (NBAD[3]) طراحی شدند تا با تحلیل الگوهای ترافیک شبکه بتوانند رخدادهای ناهنجار و غیرعادی را شناسایی کنند. در اواخر دهه 2010 میلادی، این راهکارها بسیار تکامل پیدا کرده و تبدیل به ابزاری برای تحلیل ترافیک شبکه شدند. به این ترتیب دادههای شبکه که به آنها جریان شبکه هم گفته میشود امکان مقابله با چالش تشخیص تهدید را برای سازمان ها فراهم نمودند.
با رشد ترافیک شبکه، NTA محبوبیت بیشتری در بین مدیران ارشد کسب و کارها پیدا کرد. از طرف دیگر، حملات مهم و بازاریابیهایی که توسط شرکتهای نوظهور صورت میگرفتند نیز در استفاده هر چه بیشتر از این ابزارها تأثیرگذار بودند. با این حال، این محصولات همچنان به عنوان راهکارهایی برای مطالعه الگوهای شبکه تلقی میشدند و شامل ابزارهای واکنش به حادثه نبودند.
در سال 2020 میلادی، مؤسسه گارتنر به صورت رسمی ابزارهای NDR را به عنوان راهکاری برای تشخیص و واکنش به تهدیدات شبکه معرفی کرد. این مؤسسه اعلام نمود استفاده از یادگیری ماشینی و سایر روشهای تحلیلی برای بررسی ترافیک شبکه امکان شناسایی ترافیک مخرب را برای سازمانها فراهم میکند. بنابراین استفاده از چنین ابزارهایی به تیمهای امنیت سایبری برای بهبود شرایط شان در زمینه تشخیص و واکنش به رخدادها کمک بسیار زیادی خواهد نمود.
این گزارش، راهکارهای NDR را به عنوان رویکردهایی در نظر میگیرد که با استفاده از روشهای غیرمبتنی بر امضا مثل یادگیری ماشینی، دادههای شبکه را تحلیل نموده و رفتارهای غیرعادی در شبکه را شناسایی میکنند. ابزارهای تشخیص و واکنش به تهدید در شبکه، نظارت را به صورت لحظهای و بلادرنگ انجام میدهند. این ابزارها یک خط مبنا را مشخص کرده و هر زمان که رفتار عجیبی را تشخیص دهند، هشداری ارسال میکنند. آنها ترافیک شبکه سازمان را به طور کامل و با نظارت بر حسگرهای شبکه بررسی مینمایند. ابزارهای NDR دارای توانایی اجرای دستی یا خودکار اقدام هایی هستند که به کاهش پیامد رخدادهای امنیتی کمک میکنند.
اگرچه در خصوص این بازار نوظهور، شور و هیجان زیادی برپا شده اما تیمهای امنیت سایبری به وضوح شاهد اهمیت NDR در وضعیت امنیت کلی سازمانشان هستند. بر اساس گزارش مؤسسه تحقیقاتی 451 Research: «قابلیت تشخیص و واکنش به تهدیدات امنیتی در شبکه، یکی از مهمترین فناوریهایی است که بیشتر شرکتها قصد دارند آن را به زودی پیادهسازی کنند». در یک نظرسنجی دیگر نیز که توسط شرکت فناوری اطلاعات فورستر (Forrester) صورت گرفته است، حدود 60 درصد از شرکتکنندگان اعلام کرده اند که انتظار دارند بودجه امنیت شبکهشان تا پایان سال 2021 میلادی افزایش یابد.
طوفانی برای مهاجمان
در شرایط کنونی که مهاجمان سایبری از بودجه کافی برخوردار بوده و از جدیدترین زیرساختهای مدرن هم استفاده میکنند، حملات سایبری نسبت به گذشته بسیار متداول شدهاند. از سوی دیگر با توجه به رشد حجم و قدرت حملات سایبری، متأسفانه ابزارهای تشخیص کنونی قادر به همگام شدن با آنها نیستند. بنابراین در این شرایط، تشخیص نشانه های نفوذ به تنهایی کافی نبوده و تیمهای امنیت سایبری نیاز به ابزارهایی دارند که قابلیت شناسایی رفتارهای غیرعادی را داشته و پیش از آنکه دیر شود، درباره حملات پیش رو هشدار لازم را دهند. فراهم کردن بودجه لازم برای پیادهسازی یک ابزار جدید برای تیمهای امنیتی که دارای منابع و زمان محدودی هستند کار چندان توجیهپذیری نبوده و منجر به افزایش پیچیدگی زیرساخت و دشوارتر شدن مدیریت آن میشود.
علاوه بر این، حجم بسیار بالای دادههای در جریان در شبکهها باعث شده مهاجمان بتوانند به راحتی حملاتشان را از دید مدافعان سایبری مخفی کرده و مانع شناسایی آنها شوند. این تهدیدات میتوانند خود را در قالب الگوهای عادی ترافیک شبکه مخفی نموده و فرصت هکرها را برای خرابکاری بیش از پیش افزایش دهند. مدافعان امنیت باید برای مقابله با رویکردهای حملات کنونی به ابزارهای NDR مجهز شوند. این ابزارها میتوانند بر شبکه سازمان نظارت پیوسته داشته و رفتارهای مشکوک یا عجیب را به سرعت شناسایی نموده و هشدارهایی کاربردی و مفید را ارسال کنند. این هشدارها تأثیر بسیار زیادی در شناسایی سریع و مقابله به موقع با حملات سایبری خواهند داشت.
ضرورت نظارت بر شبکه
برای حفاظت از امنیت شبکه ابزارهای مختلفی وجود دارد. این ابزارها شامل الگوریتمهای Handshaking[4]، سوئیچها، فایروالها و غیره هستند. از آنجا که هدف اصلی از طراحی این ابزارها در اختیار داشتن دادههای کاربردی برای اجرای تحلیلهای معنادار است بنابراین تمام ابزارهایی که برای تشخیص و واکنش در شبکه طراحی شدهاند باید مجهز به قابلیت نظارت بر کل شبکه بوده و پیشزمینه لازم برای واکنش به تهدیدات را داشته باشند.
برای تشخیص و واکنش کارآمد به تهدیدات شبکه داشتن نظارت لحظهای و بلادرنگ یک امر ضروری است. بدون وجود چنین قابلیتی، تشخیص آنچه در شبکه در جریان است، تقریباً غیرممکن خواهد بود. مثلاً یک کوه یخ را در نظر بگیرید. اگر فقط امکان مشاهده نوک کوه یخ را داشته باشید، کنترل شما نسبت به آنچه در بخشهای پایینی جریان دارد، مبهم خواهد بود. در حوزه امنیت شبکه نیز استفاده از فایلهای گزارش (لاگ) به تنهایی باعث محدود شدن دید شما میشود اما با ایجاد نظارت عمیقتر میتوانید از آنچه در شبکه در حال وقوع است، مطلع شوید. برای داشتن دیدی کامل نسبت به شبکه باید دادههای شبکه و فایلهای گزارش را با یکدیگر استفاده کنید. به این ترتیب قادر به مشاهده عمق کامل کوه یخ و رسیدن به یک نظارت کاملتر خواهید بود.
NDR از جمله اجزای کلیدی راهکارهای تشخیص و واکنش توسعهیافته
NDR از طریق ادغام با سایر راهکارهای مرکز عملیات امنیت همچون SIEM، ابزارهای تشخیص و واکنش به تهدیدات در نقاط انتهایی و SOAR، یک نظارت یکپارچه و جامع از تهدیدات بالقوه را فراهم میکند. مثلاً ادغام SIEM و NDR، دادههای شبکه و فایلهای لاگ را با یکدیگر ترکیب میکند. به این ترتیب هشدارهای دقیقتری ایجاد میشود که تحلیلگران با استفاده از آنها میتوانند بررسیهای جامعتری را انجام دهند. انجام این کار به صورت طبیعی و به عنوان بخشی از یک راهکار هوش تهدید به تیمهای امنیتی کمک میکند تا بتوانند واکنشهای سریعتری نسبت به تهدیدات داشته و نیاز به جابجایی بین ابزارهای مختلف را از بین ببرند.
امروزه تیمهای امنیت سایبری برای همگام شدن با چشمانداز رو به رشد تهدیدات سایبری، مراکز عملیات امنیت مدرنتری را طراحی کرده اند. هدف راهکارهای واکنش و تهدید توسعهیافته کمک به مدافعان سایبری از طریق ترکیب راهکارهای تشخیص و واکنش از جمله SIEM، NDR و EDR تحت یک پلتفرم واحد، آن هم با استفاده از استانداردهای باز، خودکارسازی و تحلیلهای متقابل است. ترکیب SIEM و NDR نقطه شروع بسیار خوبی برای پیادهسازی راهکار کلی XDR میباشد. مقابله با تهدیدات امروزی مستلزم داشتن نظارتی عمیقتر نسبت به شبکه و اطلاعاتی کاربردی است که به تیمهای امنیت سایبری برای واکنش سریعتر کمک میکنند. راهکارهای NDR میتوانند این ابزارها را در اختیار شما قرار دهند.
[1] Network Traffic Analysis
[2] Network Detection and Response
[3] Network Behavior Anomaly Detection
[4]Handshaking روشی برای برقراری ارتباط بین دو سیستم است. پروتکل Handshaking شامل اطلاعاتی از قبیل قوانین مذاکره بین دو طرف میباشد.
منبع: securityintelligence