Systemy NDR -

Network Detection and Response

Czym jest NDR?

NDR to kluczowe narzędzie ochrony ruchu sieciowego. Łączy zaawansowaną analizę z pełnym wglądem w infrastrukturę wewnętrzną organizacji. Skutecznie identyfikuje problemy związane z błędami konfiguracji, naruszeniami polityk bezpieczeństwa, spadkami wydajności i nowymi technikami ataków.

NDR jako obowiązkowe dopełnienie strategii bezpieczeństwa IT

W rozmowach z klientami często podkreślamy, że systemy EDR adresują 70% technik ataków opisanych w Matrycy MITRE ATT&CK.

Aby zaadresować kolejne 20%*, firmy powinny wziąć pod uwagę zakup systemu NDR. NDR monitoruje cały ruch sieciowy w czasie rzeczywistym, co pozwala na wykrywanie podejrzanych aktywności, takich jak nietypowe połączenia czy nagłe, duże transfery danych.

Dzięki wykorzystaniu sygnatur i heurystyk NDR identyfikuje techniki ataków, w tym ruch boczny (lateral movement) i eskfiltrację danych. Budowa szczegółowych profili analizy zachowań użytkowników i zbieranie bogatej telemetrii z ruchu sieciowego pozwala na wykrywanie nieautoryzowanych działań, a integracja z innymi narzędziami zabezpieczeń, takimi jak EDR i SIEM, umożliwia uzyskanie pełnego obrazu zagrożeń.

*Pozostałe 10% technik adresują inne technologie: SIEM, NGFW, PAM itp.

Potrzebujesz rozwiązania NDR? Skontaktuj się z nami

Funkcje systemu NDR

Przechowywanie telemetrii ruchu sieciowego

Systemy NDR znacząco zwiększają skuteczność reakcji na incydenty poprzez tworzenie modeli detekcji zagrożeń (dzięki wykorzystaniu AI oraz Machine Learning).

Analiza przepływów sieciowych

Pracując na kopii ruchu, systemy NDR pozyskują do kilkuset różnych metadanych z obserwowanych przepływów. Wykrywają zaawansowane zagrożenia pochodzące zarówno z sieci wewnętrznej, jak i zewnętrznej.

Pełna widoczność

Systemy NDR umożliwiają dokładną analizę zagrożeń dzięki możliwości wizualizacji środowiska sieciowego.

Nowoczesne rozwiązania NDR od naszych partnerów

Posiadamy największe doświadczenie na rynku we wdrażaniu systemów NDR, poparte realizacją wymagających wdrożeń w złożonych, międzynarodowych środowiskach. Dzięki temu potrafimy dopasować rozwiązanie do specyfiki każdej organizacji, zapewniając skuteczną ochronę przed realnymi zagrożeniami.

Dowiedz się więcej o naszych rozwiązaniach NDR

Usługa SOC oparta na systemach EDR i NDR

Jako zespół SOC360 (SOC Operations Center) pracujemy na narzędziach typu EDR/XDR i NDR. EDRy pozwalają naszym analitykom precyzyjnie śledzić wydarzenia zachodzące na endpointach oraz szybko reagować na incydenty, np. poprzez natychmiastowe zatrzymywanie procesów i izolowanie ich w kwarantannie.

NDRy – jako że monitorują ruch sieciowy – umożliwiają nam wykrycie zdarzeń, które mogły zostać pominięte przez inne narzędzia.

Często korelujemy również dane z różnych systemów przy pomocy SIEMów, które mają dla nas wartość dopełniającą.

Ponadto posiadamy laboratorium do detonacji i analizy podejrzanych plików, których funkcje i role są nieznane oraz laboratorium do testowania nowych technologii, aby móc ocenić nowe systemy przed ich wdrożeniem.

Korzystamy też ze wsparcia działu deweloperskiego, który zajmuje się dostosowaniem systemu obsługi zgłoszeń, automatyzacji oraz pisania skryptów, które mogą się przydać w analizie zgłoszeń lub danych wewnętrznych.

Poznaj usługę SOC360

FAQs

Mimo, że SIEM oferuje analizę logów z urządzeń sieciowych, NDR dostarcza bardziej zaawansowane funkcje i narzędzia do wykrywania oraz reagowania na zagrożenia w ruchu sieciowym. Oto kluczowe różnice przemawiające na korzyść NDR:

a. Bogatsze dane o ruchu sieciowym – NDR rejestruje bardziej szczegółowe metadane dla każdego połączenia (np. system GCX gromadzi ponad 90 metadanych na połączenie, podczas gdy systemy SIEM rejestrują tylko kilka informacji: adres i port źródłowy, adres i port docelowy, nazwa hosta, aplikacja, ilość danych).

b. Intuicyjna wizualizacja i analiza danych – mechanizmy prezentacji danych w NDR, w przeciwieństwie do SIEM, dostosowane są do charakteru danych: oferują szybkie filtrowanie, wyszukiwanie i opcję "drill-down". Podnosi to efektywność pracy w czasie analizy alertów oraz reakcji na incydenty.

c. Zaawansowane mechanizmy detekcji – NDR wykorzystuje do analizy bogatsze dane, dzięki czemu zwiększa szanse na sprawne wykrycie zagrożeń. Detekcja zagrożeń w SIEM zwykle oparta jest jedynie na prostych regułach korelacyjnych i danych reputacyjnych.

d. Skalowalność i kontekst w czasie rzeczywistym – NDR monitoruje cały ruch sieciowy w czasie rzeczywistym i daje możliwość identyfikacji podejrzanych aktywności na poziomie warstwy aplikacyjnej. SIEM, ze względu na swoją zależność od logów, dostarcza jedynie wycinkową i często opóźnioną perspektywę zagrożeń.

Nie, sam EDR nie wystarczy. Mimo monitorowania źródeł danych pozwalających na wykrywanie ponad 70% technik i taktyk z matrycy MITRE ATT&CK® (na ten moment najbardziej uniwersalne kompedium TTPs), EDRy nie zapewniają pełnego pokrycia. Do jak najpełniejszego monitorowania powierzchni ataku organizacji powinno się wykorzystywać także NDRy (jako podstawa monitorowania ruchu sieciowego) oraz narzędzia klasy SIEM (zbierające dane z pozostałych źródeł np. logi z AD), a także w szczególnych przypadkach różne mechanizmy chmurowe. Mimo, że EDR to najlepszy punkt wyjściowy, w dobrze zabezpieczonej organizacji bez NDR się nie obejdzie.

Jeśli firma korzysta z NGFW (Next Generation Firewall), to tak – nadal może potrzebować systemu NDR (Network Detection and Response), ponieważ choć NGFW analizuje m.in. ruch sieciowy pod kątem zagrożeń, to nie jest tak wyspecjalizowany w detekcji anomalii i zaawansowanych ataków jak NDR.

Z drugiej strony, w przypadku małych firm, gdzie wolumen ruchu sieciowego jest niewielki, wdrożenie rozbudowanego system NDR może się nie opłacać. W takich sytuacjach dobrze skonfigurowany NGFW w pełni wystarczy. NDR odgrywa istotną rolę w rozbudowanych organizacjach w kontekście skali, ryzyk i złożoności środowiska IT – w dużych sieciach firewall brzegowy po prostu nie widzi znacznej ilości komunikacji, zwłaszcza wewnątrz sieci.

Nie musi być. Nowoczesne rozwiązania NDR są projektowane tak, aby ich wdrożenie było szybkie i możliwie bezinwazyjne. W wielu przypadkach wystarczy uruchomić analizę kopii ruchu sieciowego (np. SPAN portów lub urządzeń TAP), bez konieczności. ingerencji w istniejącą infrastrukturę.

Dodatkowo wiele firm decyduje się na NDR jako usługę (MSSP), co oznacza, że konfigurację, monitoring i obsługę techniczną przejmuje zewnętrzny zespół specjalistów (w naszym przypadku SOC360). Dzięki temu można korzystać z zaawansowanego wykrywania zagrożeń bez rozbudowy własnego SOC-u.

Główne pytania, jakie trzeba sobie zadać to:

Czego widoczność i/lub ochronę chcę uzyskać? Web aplikacji? Połączenia użytkowników do Internetu? Komunikację klientów z serwerami? Środowisko OT? Poczty elektronicznej?
Jaki mam główny cel? Ochrona przeciw ransomware? Wykrywanie anomalii sieciowych? Ochrona przed malware? Monitorowanie aktywności użytkowników?
Czy mam już inne narzędzia bezpieczeństwa, czy zaczynam od technologii NDR?
Czy chcę aktywnie blokować zagrożenia systemem NDR (in-line), czy szczegółowo monitorować, ale przeprowadzając mitygację innymi narzędziami?

Znając odpowiedzi na główne pytania, możesz zagłębić się w szczegóły:

Czy moje środowisko jest chronione szyfrowaniem, podziałem na VALANy? Jeśli tak, to gdzie ono występuje i jak wygląda względem innych części sieci?
Czy używam połączeń VPN? Jeśli tak to w których miejscach, w jakim celu oraz gdzie są terminowane?
Ile mam lokalizacji, w których chcę monitorować?
Jaki dzienny wolumen ruchu występuje w miejscach, które chcę monitorować?
Czy w lokalizacjach, w których chcę monitorować i reagować na zagrożenia mam możliwość kopiowania ruchu sieciowego na przełącznikach lub narzędziach typu firewall (SPAN port)?
Czy mam osobę w zespole, która zajęłaby się monitorowaniem przy użyciu NDR, czy chcę zlecić monitorowanie firmie zewnętrznej?
Czy w miejscach, w których chcę monitorować i reagować na zagrożenia mam możliwość kopiowania ruchu sieciowego na przełącznikach lub narzędziach typu firewall (SPAN port)?