خبرمقالات

ابزار تشخیص و واکنش شبکه (NDR) چیست و استفاده از آن چه اهمیتی دارد؟

شبکه‌های رایانه‌ای پایه و اساس دنیای مجازی را تشکیل می‌دهند. این شبکه‌ها به میلیون‌ها کاربر، دستگاه، برنامه کاربردی و سیستم امکان می‌دهند در هر زمانی که بخواهند با یکدیگر ارتباط برقرار کنند. بدون وجود چنین شبکه‌هایی، رایانش مدرن به نحوی که امروزه می‌شناسیم امکان‌پذیر نخواهد بود. سازمان‌های امروزی به این شبکه‌ها و نقش آنها در زیرساخت کلی فناوری اطلاعات وابسته هستند. در نتیجه جای تعجب نیست هکرهایی هم که به دنبال ایجاد اختلال در خدمات سازمان های دولتی و شرکت های مختلف سطح جهان می‌باشند این شبکه‌ها را مورد هدف حملات ویرانگر خود قرار دهند.

برای آشنایی کامل با میزان اهمیت امنیت شبکه، این حقیقت مهم را در نظر بگیرید که تقریباً ۹۹ درصد از حملات سایبری از طریق این شبکه‌ها اجرا می‌شوند. در نتیجه شبکه‌ها می‌توانند حاوی اطلاعات مهمی درباره تهدیدات در حال اجرا باشند. از این رو حدود ۴۵ درصد از سازمان‌ها از تحلیل ترافیک شبکه (NTA[۱]) به عنوان اولین خط دفاعی جهت تشخیص تهدیدات سایبری استفاده می‌کنند.

علاوه بر این، شبکه‌ها هیچ وقت دروغ نمی‌گویند! داده‌های شبکه که در اثر برقراری ارتباط بین دستگاه‌ها و سیستم‌ها تولید می‌شوند برخلاف فایل‌های گزارش (لاگ) تحت هیچ شرایطی توسط هکرها قابل پاک شدن نیستند. بنابراین هر سازمانی که به دنبال بهبود توانمندی های امنیتی خود است باید به پیاده‌سازی قابلیت‌های تشخیص و واکنش به تهدید در شبکه (NDR[۲]) توجه کافی داشته باشد.

 

قابلیت‌های ابزارهای تشخیص و واکنش به تهدیدات

این محصولات اولین بار به عنوان ابزارهایی برای تشخیص ناهنجاری رفتاری در شبکه (NBAD[۳]) طراحی شدند تا با تحلیل الگوهای ترافیک شبکه بتوانند رخدادهای ناهنجار و غیرعادی را شناسایی کنند. در اواخر دهه ۲۰۱۰ میلادی، این راهکارها بسیار تکامل پیدا کرده و تبدیل به ابزاری برای تحلیل ترافیک شبکه شدند. به این ترتیب داده‌های شبکه که به آنها جریان شبکه هم گفته می‌شود امکان مقابله با چالش تشخیص تهدید را برای سازمان ها فراهم نمودند.

با رشد ترافیک شبکه، NTA محبوبیت بیشتری در بین مدیران ارشد کسب و کارها پیدا کرد. از طرف دیگر، حملات مهم و بازاریابی‌هایی که توسط شرکت‌های نوظهور صورت می‌گرفتند نیز در استفاده هر چه بیشتر از این ابزارها تأثیرگذار بودند. با این حال، این محصولات همچنان به عنوان راهکارهایی برای مطالعه الگوهای شبکه تلقی می‌شدند و شامل ابزارهای واکنش به حادثه نبودند.

در سال ۲۰۲۰ میلادی، مؤسسه گارتنر به صورت رسمی ابزارهای NDR را به عنوان راهکاری برای تشخیص و واکنش به تهدیدات شبکه معرفی کرد. این مؤسسه اعلام نمود استفاده از یادگیری ماشینی و سایر روش‌های تحلیلی برای بررسی ترافیک شبکه امکان شناسایی ترافیک مخرب را برای سازمان‌ها فراهم می‌کند. بنابراین استفاده از چنین ابزارهایی به تیم‌های امنیت سایبری برای بهبود شرایط شان در زمینه تشخیص و واکنش به رخدادها کمک بسیار زیادی خواهد نمود.

این گزارش، راهکارهای NDR را به عنوان رویکردهایی در نظر می‌گیرد که با استفاده از روش‌های غیرمبتنی بر امضا مثل یادگیری ماشینی، داده‌های شبکه را تحلیل نموده و رفتارهای غیرعادی در شبکه را شناسایی می‌کنند. ابزارهای تشخیص و واکنش به تهدید در شبکه، نظارت را به صورت لحظه‌ای و بلادرنگ انجام می‌دهند. این ابزارها یک خط مبنا را مشخص کرده و هر زمان که رفتار عجیبی را تشخیص دهند، هشداری ارسال می‌کنند. آنها ترافیک شبکه سازمان را به طور کامل و با نظارت بر حسگرهای شبکه بررسی می‌نمایند. ابزارهای NDR دارای توانایی اجرای دستی یا خودکار اقدام هایی هستند که به کاهش پیامد رخدادهای امنیتی کمک می‌کنند.

اگرچه در خصوص این بازار نوظهور، شور و هیجان زیادی برپا شده اما تیم‌های امنیت سایبری به وضوح شاهد اهمیت NDR در وضعیت امنیت کلی سازمان‌شان هستند. بر اساس گزارش مؤسسه تحقیقاتی ۴۵۱ Research: «قابلیت تشخیص و واکنش به تهدیدات امنیتی در شبکه، یکی از مهم‌ترین فناوری‌هایی است که بیشتر شرکت‌ها قصد دارند آن را به زودی پیاده‌سازی کنند». در یک نظرسنجی دیگر نیز که توسط شرکت فناوری اطلاعات فورستر (Forrester) صورت گرفته است، حدود ۶۰ درصد از شرکت‌کنندگان اعلام کرده اند که انتظار دارند بودجه امنیت شبکه‌شان تا پایان سال ۲۰۲۱ میلادی افزایش یابد.

طوفانی برای مهاجمان

در شرایط کنونی که مهاجمان سایبری از بودجه کافی برخوردار بوده و از جدیدترین زیرساخت‌های مدرن هم استفاده می‌کنند، حملات سایبری نسبت به گذشته بسیار متداول شده‌اند. از سوی دیگر با توجه به رشد حجم و قدرت حملات سایبری، متأسفانه ابزارهای تشخیص کنونی قادر به همگام شدن با آنها نیستند. بنابراین در این شرایط، تشخیص نشانه های نفوذ به تنهایی کافی نبوده و تیم‌های امنیت سایبری نیاز به ابزارهایی دارند که قابلیت شناسایی رفتارهای غیرعادی را داشته و پیش از آنکه دیر شود، درباره حملات پیش رو هشدار لازم را دهند. فراهم کردن بودجه لازم برای پیاده‌سازی یک ابزار جدید برای تیم‌های امنیتی که دارای منابع و زمان محدودی هستند کار چندان توجیه‌پذیری نبوده و منجر به افزایش پیچیدگی زیرساخت و دشوارتر شدن مدیریت آن می‌شود.

علاوه بر این، حجم بسیار بالای داده‌های در جریان در شبکه‌ها باعث شده مهاجمان بتوانند به راحتی حملاتشان را از دید مدافعان سایبری مخفی کرده و مانع شناسایی آنها شوند. این تهدیدات می‌توانند خود را در قالب الگوهای عادی ترافیک شبکه مخفی نموده و فرصت هکرها را برای خرابکاری بیش از پیش افزایش دهند. مدافعان امنیت باید برای مقابله با رویکردهای حملات کنونی به ابزارهای NDR مجهز شوند. این ابزارها می‌توانند بر شبکه سازمان نظارت پیوسته داشته و رفتارهای مشکوک یا عجیب را به سرعت شناسایی نموده و هشدارهایی کاربردی و مفید را ارسال کنند. این هشدارها تأثیر بسیار زیادی در شناسایی سریع و مقابله به موقع با حملات سایبری خواهند داشت.

 

ضرورت نظارت بر شبکه

برای حفاظت از امنیت شبکه ابزارهای مختلفی وجود دارد. این ابزارها شامل الگوریتم‌های Handshaking[۴]، سوئیچ‌ها، فایروال‌ها و غیره هستند. از آنجا که هدف اصلی از طراحی این ابزارها در اختیار داشتن داده‌های کاربردی برای اجرای تحلیل‌های معنادار است بنابراین تمام ابزارهایی که برای تشخیص و واکنش در شبکه طراحی شده‌اند باید مجهز به قابلیت نظارت بر کل شبکه بوده و پیش‌زمینه لازم برای واکنش به تهدیدات را داشته باشند.

برای تشخیص و واکنش کارآمد به تهدیدات شبکه داشتن نظارت لحظه‌ای و بلادرنگ یک امر ضروری است. بدون وجود چنین قابلیتی، تشخیص آنچه در شبکه در جریان است، تقریباً غیرممکن خواهد بود. مثلاً یک کوه یخ را در نظر بگیرید. اگر فقط امکان مشاهده نوک کوه یخ را داشته باشید، کنترل شما نسبت به آنچه در بخش‌های پایینی جریان دارد، مبهم خواهد بود. در حوزه امنیت شبکه نیز استفاده از فایل‌های گزارش (لاگ) به تنهایی باعث محدود شدن دید شما می‌شود اما با ایجاد نظارت عمیق‌تر می‌توانید از آنچه در شبکه در حال وقوع است، مطلع شوید. برای داشتن دیدی کامل نسبت به شبکه باید داده‌های شبکه و فایل‌های گزارش را با یکدیگر استفاده کنید. به این ترتیب قادر به مشاهده عمق کامل کوه یخ و رسیدن به یک نظارت کامل‌تر خواهید بود.

 

NDR از جمله اجزای کلیدی راهکارهای تشخیص و واکنش توسعه‌یافته

NDR از طریق ادغام با سایر راهکارهای مرکز عملیات امنیت همچون SIEM، ابزارهای تشخیص و واکنش به تهدیدات در نقاط انتهایی و SOAR، یک نظارت یکپارچه و جامع از تهدیدات بالقوه را فراهم می‌کند. مثلاً ادغام SIEM و NDR، داده‌های شبکه و فایل‌های لاگ را با یکدیگر ترکیب می‌کند. به این ترتیب هشدارهای دقیق‌تری ایجاد می‌شود که تحلیلگران با استفاده از آنها می‌توانند بررسی‌های جامع‌تری را انجام دهند. انجام این کار به صورت طبیعی و به عنوان بخشی از یک راهکار هوش تهدید به تیم‌های امنیتی کمک می‌کند تا بتوانند واکنش‌های سریع‌تری نسبت به تهدیدات داشته و نیاز به جابجایی بین ابزارهای مختلف را از بین ببرند.

امروزه تیم‌های امنیت سایبری برای همگام شدن با چشم‌انداز رو به رشد تهدیدات سایبری، مراکز عملیات امنیت مدرن‌تری را طراحی کرده اند. هدف راهکارهای واکنش و تهدید توسعه‌یافته کمک به مدافعان سایبری از طریق ترکیب راهکارهای تشخیص و واکنش از جمله SIEM، NDR و EDR تحت یک پلتفرم واحد، آن هم با استفاده از استانداردهای باز، خودکارسازی و تحلیل‌های متقابل است. ترکیب SIEM و NDR نقطه شروع بسیار خوبی برای پیاده‌سازی راهکار کلی XDR می‌باشد. مقابله با تهدیدات امروزی مستلزم داشتن نظارتی عمیق‌تر نسبت به شبکه و اطلاعاتی کاربردی است که به تیم‌های امنیت سایبری برای واکنش سریع‌تر کمک می‌کنند. راهکارهای NDR می‌توانند این ابزارها را در اختیار شما قرار دهند.

 

[۱] Network Traffic Analysis

[۲] Network Detection and Response

[۳] Network Behavior Anomaly Detection

[۴]Handshaking روشی برای برقراری ارتباط بین دو سیستم است. پروتکل Handshaking شامل اطلاعاتی از قبیل قوانین مذاکره بین دو طرف می‌باشد.

 

منبع: securityintelligence

نمایش بیشتر

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

نه − دو =

0
سبد خرید
  • هیچ محصولی در سبدخرید نیست.