روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ چرا حتی شرکتهای بزرگ که به شدت روی دفاع سایبری خود تکیه و سرمایهگذاری کردهاند فریب حملات سایبری را میخورند؟ اغلب، موضوع سر رویکرد امنیتی از رده خارج است. تیمهای امنیتی ممکن است کلی ابزار به کار برند اما هنوز در شبکههای اختصاصی خود به دید کافی نرسیده باشند. این در این روز و روزگار می تواند نه تنها شامل بخشهای فیزیکی بلکه محیط های کلود نیز بشود. هکرها اغلب از اطلاعات سرقتی بهره میبرند، توسط کنتراکتورهای دستکاریشده کار را جلو برده و سعی دارند بسیار به ندرت از بدافزارها استفاده کنند- ترجحیشان استفاده از نرمافزارهای قانونی و اپهای دومنظوره است. برای همین ابزارهای امنیتی که معمولاً برای محافظت از اندپوینتهای شرکت استفاده می شوند ممکن است در مقابل حملات سایبری که پوشش خوبی دارند به حد کافی مؤثر عمل نکنند. در تحقیقات اخیر، 44 درصد از CISOها از دست دادن نقض داده را گزارش دادند و 84 درصد مسئله را به ناتوانی تحلیل ترافیک خصوصاً ترافیک رمزگذاریشده ربط دادهاند. اینجاست که سیستمهای NDR وارد میدان می شوند. آنها تحلیل جامع ترافیک را انجام میدهند که این شامل ترافیک داخلی نیز می شود؛ این به طور قابلتوجهی قابلیتهای امنیتی را بالا میبرد. در دامنه محصولات کسپرسکی، کارکرد NDR به عنوان بخشی از پلتفرم KATA[1] پیادهسازی میشود.
ابزارهای امنیتی از رده خارج کافی نیستند
اگر یک کلمه صرفاً میتوانست توصیفگر اولویتهای مهاجمین امروز باشد، «دزدی» است. خواه حمله APT با محوریت جاسوسی باشد و خواه گروه باجافزاری یا هر حمله دیگری به سازمان خاص، مهاجمین همه تلاش خود را میکنند تا به بهترین نحو از دست شناساییها در بروند و جلوی تحلیلهای پسارخدادی پیچیده را بگیرند. گزارش واکنش رخداد ما به وضوح این را نشان میدهد. مهاجمین از اطلاعات محرمانه کارمند یا پیمانکار قانونی بهرهبرداری کرده، به ابزارهای ادمین که از قبل داخل سیستم داشته اجرا میشده نفوذ پیدا نموده (به این تاکتیک "زیست خارج از سرزمین" میگویند) و برای اجرای اقداماتی از اکانتها، پردازشها یا دستگاههای کاربر با مزیت، آسیبپذیریها را اکسپلویت میکنند. افزون بر این، دستگاههایی چون سرورهای پروکسی و فایروالها به شدت دارد به عنوان پایگاههای حمله استفاده میشوند. اما چطور تیمهای امنیت سایبری میتوانند به این مسئله واکنش نشان دهند؟ اگر رویکرد شناسایی تهدید یک شرکت چندین سال پیش طراحی شده بود، مدافعین آن براحتی دچار فقدان ابزارهایی برای شناسایی به موقعِ چنین فعالیتی میشدند.
- آنها در قالب سنتیاش، فقط از محیط سازمان محافظت میکنند و در بخش شناسایی فعالیت مشکوک شبکه داخل آن (مانند اینکه مهاجمین کامپیوترهای اضافی را در دست گیرند) یاری نمیدهند.
- سیستمهای تشخیص نفوذ و پیشگیری IDS/IPS))قابلیتهای IDS کلاسیک برای تشخیص فعالیت روی کانالهای رمزگذاریشده بسیار محدود است و مکان معمولی آنها بین بخشهای شبکه مانع از تشخیص حرکت جانبی میشود.
- آنتی ویروس و سیستم های محافظت از نقطه پایانی استفاده از این ابزارها برای تشخیص فعالیتی که به طور کامل با ابزارهای قانونی در حالت دستی انجام می شود، دشوار است. علاوه بر این، سازمانها همیشه روترها، دستگاههای IoT یا لوازم جانبی شبکه دارند که در آنها امکان استقرار چنین سیستمهای حفاظتی وجود ندارد.
تشخیص و پاسخ شبکه چیست؟
سیستمهای NDR نظارت دقیقی بر ترافیک سازمان ارائه نموده و قوانین و الگوریتمهای مختلفی را برای شناسایی فعالیتهای غیرعادی اعمال میکنند. آنها همچنین شامل ابزارهایی برای واکنش سریع رخداد میشوند. تفاوت اصلی با فایروال ها نظارت بر انواع ترافیک در جهات مختلف است. بنابراین، نه تنها ارتباطات بین یک شبکه و اینترنت (شمال-جنوب) بلکه تبادل داده بین میزبانها در یک شبکه شرکتی (شرق-غرب) نیز مورد تجزیه و تحلیل قرار می گیرد. ارتباطات بین سیستمها در شبکههای خارجی و منابع کلود شرکتی و همچنین بین خود منابع کلود نیز بیتوجه نمیمانند. این امر باعث می شود NDR در زیرساختهای مختلف موثر باشد: درون محل سازمانی، کلود و هیبریدی. تفاوت اصلی با IDS/IPS کلاسیک استفاده از مکانیسم های تحلیل رفتاری در کنار تجزیه و تحلیل امضا است. علاوه بر تجزیه و تحلیل اتصالات، یک راهکار NDR ترافیک را به شکل "خام" نگه می دارد و طیف وسیعی از فناوری ها را برای تجزیه و تحلیل چنین "عکسهای فوری" از تبادل داده ارائه میدهد. NDR میتواند بسیاری از پارامترهای ترافیک (از جمله ابرداده) را تجزیه و تحلیل کند، که فراتر از وابستگیهای ساده «آدرس-میزبان-پروتکل» است. به عنوان مثال، با استفاده از اثر انگشت JAx، NDR میتواند ماهیت اتصالات رمزگذاری شده SSL/TLS را شناسایی و بدون نیاز به رمزگشایی، ترافیک مخرب را شناسایی کند.
مزایای NDR برای تیمهای آیتی و امنیتی
- تشخیص زودهنگام تهدید حتی گامهای اولیه مهاجمین – خواه گذرواژههای اجباری بیرحمانه خواه سوء استفاده از آسیبپذیریها در برنامههای در دسترس عموم- ردپایی را بر جای میگذارد که ابزارهای NDR میتوانند آن را شناسایی کنند. NDR، نه تنها در لبه های یک شبکه، بلکه در نقاط انتهایی آن نیز وجود دارد، همچنین برای تشخیص حرکت جانبی در داخل شبکه، دستکاری با توکنهای احراز هویت، تونل سازی، پوسته های معکوس و سایر تکنیک های حمله رایج از جمله تعاملات شبکه مناسب است.
- بررسی تسریعیافتهی رخداد. ابزارهای NDR اجازه تحلیل عمیق و گسترده فعالیتهای مشکوک را میدهد. جداول تعامل شبکه جاهایی را که مهاجمین حرکت کردند و جایی که فعالیتشان از آن سرچشمه گرفته نشان میدهند. این درحالیست که دسترسی به ترافیک خام باعث بازسازی اقدامات مهاجمین و ساخت قوانین شناسایی برای سرچهای آتی میشود.
- رویکرد نظاممند برای تصویر بزرگ حمله. NDR با تاکتیکها، تکنیکها و رویههای حمله کار میکند. اینها بر طبق فریمورک محبوب MITRE ATT&CK نظاممند شدهاند. راهکارهای این درجهای معمولاً میگذارند تیم امنیتی براحتی شاخصهای شناساییشده را دستهبندی کرده و در نتیجه بهتر نمای بزرگ حمله را درک کرده متوجه مرحلهی آن نیز شده و دریابد چطور حمله میتواند به مؤثرترین شکل ممکن متوقف شود.
- شناسایی تهدیدهای داخلی، پیکربندی نادرست و IT سایه. رویکرد "رفتاری" به ترافیک به NDR اجازه می دهد تا به وظایف پیشگیرانه نیز رسیدگی کند. نقض سیاستهای امنیتی مختلف، مانند استفاده از برنامه های غیرمجاز در دستگاه های شخصی، اتصال دستگاه های اضافی به زیرساخت شرکت، اشتراک گذاری رمز عبور، دسترسی به اطلاعاتی که برای تسکهای کاری لازم نیست، استفاده از نسخه های نرم افزار قدیمی و اجرای نرم افزار سرور بدون رمزگذاری و احراز هویت به درستی پیکربندی شده است، میتواند زود شناسایی و متوقف شود.
- تشخیص تهدید زنجیره تامین نظارت بر ترافیک برنامههای کاربردی قانونی ممکن است عملکردهای اعلامنشده را نشان دهد، مانند انتقال غیرمجاز از راه دور به سازنده یا تلاش برای ارائه بهروزرسانیهای تروجانی.
- پاسخ خودکار R در NDR مخفف اقدامات پاسخی مانند جداسازی میزبانها با فعالیت مشکوک، تشدید سیاستهای تعامل منطقه شبکه، و مسدود کردن پروتکل های پرخطر یا میزبانهای خارجی مخرب است. بسته به شرایط، پاسخ میتواند دستی یا خودکار باشد که توسط پیشتنظیماتِ «اگر آن زمان[2]» ایجاد میشود.
NDR، EDR، XDR و NTA
مدیران بخش فناوری اطلاعات و مدیران اجرایی اغلب در مورد اینکه چطور راهکارهای DR با هم فرق دارند و چرا همزمان به همهشان نیاز است سوالات سختی میپرسند. سیستمهای NTA (تحلیل ترافیک شبکه) فنداسیونی هستند که از آن، NDR رشد و تکامل پیدا میکند. آنها طراحی شدند برای جمعآوری و تحلیل همه ترافیک یک شرکت (همینطور نام آن). با این وجود، پیادهسازی اجرایی نشان داد این فناوری پتانسیل بیشتری نیز دارد- میتواند برای واکنش سریع به رخداد نیاز استفاده شود. قابلیتهای واکنشدهی شامل اتوماسیون، تفاوت اولیه NDR است. EDR (واکنش و شناسایی اندپوینت) سیستمی است که کارش تحلیل تهدیدهای سایبری روی برخی دستگاههای داخل شبکه (اندپوینتها) است. گرچه NDR تحلیل عمیق تعاملات دستگاه را ارائه میدهد و ارتباط داخل سازمانی را بررسی میکند اما از طرفی EDR تصویری به همان اندازه پرکار و پرجزئیات از فعالیت روی دستگاههای انفرادی نشان میدهد این سیستمها مکمل یکدیگر هستند و تنها با هم دید کاملی از آنچه در سازمان اتفاق میافتد و ابزارهای مورد نیاز برای شناسایی و پاسخ را ارائه میدهند.
سیستمهای XDR (EXtended Detection & Response) با جمعآوری و همبستگی دادهها از منابع مختلف، از جمله نقاط پایانی، زیرساختهای فیزیکی و کلود، دستگاههای شبکه و غیره، رویکردی جامع برای شناسایی و پاسخ تهدید دارند. این به مدافعین امکان میدهد یک نمای کلی جامع از فعالیت شبکه ببینند، رویدادها را از منابع مختلف در یک هشدار ترکیب کنند، تجزیه و تحلیل پیشرفته را برای آنها اعمال نموده و اقدامات پاسخ را ساده کنند. فروشندگان مختلف چرخشهای متفاوتی را روی XDR انجام میدهند: برخی XDR را به عنوان محصولی ارائه میدهند که شامل عملکردهای EDR و NDR میشود در حالیکه برای برخی دیگر ممکن است فقط از یکپارچهسازی با این ابزارهای خارجی پشتیبانی کنند.
رویکرد کسپرسکی: ادغام NDR با اکوسیستم امنیت
اجرای NDR به این معنی است که یک سازمان در حال حاضر با روش های نظارت و پاسخ تثبیت شده، و همچنین ابزارهایی برای تبادل اطلاعات بین سیستمها، تضمین همبستگی و غنی سازی دادهها از منابع مختلف به سطح بالایی از بلوغ امنیت سایبری دست یافته و به همین دلیل در طیف محصولات کسپرسکی و ماژول NDR قابلیتهای پلتفرم ضد حمله هدفمند کسپرسکی KATA) ) را افزایش میدهد. نسخه اصلی KATA شامل مکانیسم هایی مانند تجزیه و تحلیل اثر انگشت اتصال SSL/TLS، تشخیص حمله ترافیک شمال به جنوب، ضبط انتخابی ترافیک برای اتصالات مشکوک و عملکردهای پاسخ اولیه میشود. نسخه پیشرفته KATA NDR تمام قابلیتهای NDR را که در بالا توضیح داده شد دربر دارد، از جمله تجزیه و تحلیل عمیق و ذخیرهسازی کامل ترافیک، نظارت بر اتصال درون شبکه، و عملکردهای پاسخ پیشرفته خودکار. نسخه درجه یک، KATA Ultra، قابلیت های متخصص EDR را با عملکردهای کامل NDR ترکیب کرده و یک راهکار جامع و تک فروشنده XDR را ارائه میدهد.
[1] Kaspersky Anti Targeted Attack
[2] IF THEN PRESETS
کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
