Network Detection and Response (NDR)-oplossingen bieden zichtbaarheid en mogelijkheden voor het detecteren van bedreigingen voor netwerkverkeer. In deze gids worden de functies en voordelen van NDR besproken, waaronder het detecteren van afwijkingen en het reageren op incidenten.
Lees meer over het belang van NDR in een uitgebreide beveiligingsstrategie en best practices voor implementatie. Inzicht in NDR is essentieel voor organisaties om hun netwerken te beschermen tegen cyberdreigingen.
De evolutie van Network Detection & Response (NDR)
Aanvankelijk werd netwerkverkeer door bedrijven vastgelegd om de prestaties van hun netwerkomgevingen te testen. Toen de hoeveelheid data in wereldwijde industrieën en netwerken begon toe te nemen, evolueerde deze mogelijkheid tot een hulpmiddel voor cyberdefensie.
Voordat het bekend stond als netwerkdetectie en -respons, werd de technologie voor het monitoren van netwerkverkeer eerst netwerkverkeeranalyse (NTA) genoemd. Hoewel NTA nog steeds een belangrijk onderdeel is van de huidige netwerkbeveiliging en SOC-praktijken (Security Operations Center), is het sterk uitgebreid om alle aspecten van netwerkdetectie en -beveiliging te omvatten.
Tegenwoordig zijn NDR-oplossingen zoals SentinelOne's Singularity™ Endpoint een combinatie van geavanceerde gedragsanalyses, kunstmatige intelligentie (AI) en machine learning (ML) en cloudtechnologieën. Al deze bewegende delen dragen bij aan de moderne NDR-oplossing, die een populaire keuze is voor organisaties die hun detectiemogelijkheden willen verbeteren, risiconiveaus voor inkomende bedreigingen willen identificeren en taken met betrekking tot onderzoekende analyse en telemetrie willen automatiseren, zodat beveiligingsprofessionals zich kunnen concentreren op triageprocessen en het reageren op bedreigingen.
Hoe werkt Network Detection & Response (NDR)?
Netwerkdetectie- en responsoplossingen werken door continu ruwe netwerkverkeer en -activiteit binnen de netwerken van een organisatie te verzamelen en te correleren. Er worden gegevens verzameld vanaf de perimeter van het netwerk om noord-zuidverkeer vast te leggen, en vanaf sensoren binnen het netwerk om oost-westverkeer vast te leggen.
Een robuuste NDR maakt gebruik van AI- en ML-algoritmen om een basiskennis te ontwikkelen van normaal of typisch netwerkverkeer voor de organisatie, die wordt gebruikt om ongewoon kwaadaardig gedrag op te sporen. AI en ML worden ook gebruikt om de tactieken, technieken en procedures (TTP's) van tegenstanders te modelleren, in kaart gebracht in relatie tot het MITRE ATT&CK om het gedrag van bedreigingsactoren nauwkeurig te detecteren.
Beveiligingsteams gebruiken NDR's ook voor end-to-end forensisch onderzoek van tijdlijnen van aanvallen, waarbij de eerste gegevenslekken worden getoond, laterale bewegingen en andere kwaadaardige activiteiten, voordat automatische preventie- en mitigatiemaatregelen en workflows worden geactiveerd. Omdat NDR-oplossingen zulke betrouwbare gegevens produceren en context kunnen correleren, verminderen ze de totale tijd en moeite die aan onderzoeken wordt besteed drastisch. NDR-oplossingen draaien meestal om de volgende belangrijke technieken:
Deep & Machine Learning
NDR-oplossingen maken gebruik van zowel machine learning (ML) als gedragsanalyse om nauwkeurige voorspellingen te doen, wat kan leiden tot de detectie van onbekende bedreigingen binnen een netwerk. ML werkt vaak samen met gedragsanalyse om beveiligingsteams te helpen bij het identificeren van indicatoren van compromittering voordat deze kunnen uitgroeien tot volledige cyberincidenten. Machine learning in NDR-oplossingen maakt ook snellere triage en mitigerende maatregelen mogelijk, omdat ze continu inkomende, potentiële bedreigingen afwegen op basis van realistische scenario's.
Deep learning is een ander onderdeel van typische NDR-oplossingen. Het is een vorm van ML die gebruikmaakt van kunstmatige neurale netwerken om de mogelijkheden van NDR uit te breiden. Deep learning-modellen helpen beveiligingsanalisten bij het interpreteren van de gegevens, zodat ze de onbekende bedreigingen die in een systeem op de loer liggen, kunnen ontdekken.
Statistische analyse
Met behulp van statistische en heuristische technieken kunnen NDR-oplossingen netwerkverkeerpatronen en gegevens volgen aan de hand van vooraf bepaalde 'normen' van het systeem om tekenen van inbreuken en compromittering op te sporen. Statistische analyse werkt door het typische/normale verkeersgebruik als basis te meten en vervolgens het inkomende verkeer daarmee te vergelijken. Verdacht verkeer dat buiten de normale bereiken en drempels valt, wordt vervolgens geïdentificeerd voor triage.
Threat Intelligence Feeds
NDR's kunnen worden getraind om te werken met dreigingsinformatiegegevensstromen die informatie bevatten over bestaande en geïdentificeerde cyberdreigingen. Deze gegevensfeeds vergroten het vermogen van de NDR-oplossing om snel te waarschuwen voor bekende dreigingen, bieden extra contextualisering en helpen bij het prioriteren van de risiconiveaus van gevonden afwijkingen. Dreigingsinformatiefeeds moeten echter zorgvuldig worden samengesteld en beheerd, zodat de gegevens actueel en relevant zijn.
Gartner MQ: Eindpunt
Bekijk waarom SentinelOne vier jaar op rij is uitgeroepen tot Leader in het Gartner® Magic Quadrant™ voor Endpoint Protection Platforms.
Verslag lezen
Hoe bedrijven Network Detection & Response (NDR) gebruiken
Naarmate gedistribueerde netwerken blijven groeien, zijn op handtekeningen gebaseerde beveiligingstools zoals verouderde SIEM's, antivirussoftware (AV), inbraakdetectiesystemen (IDS) en inbraakpreventiesystemen (IPS) niet meer voldoende om moderne cybercriminelen voor te blijven. De meeste bedreigingen hebben tegenwoordig geen eerdere handtekening, wat betekent dat beveiligingsteams meer nodig hebben om cyberaanvallen te kunnen detecteren en tegengaan. Door gebruik te maken van toonaangevende technologieën zoals AI, ML en gedragsanalyse kunnen geavanceerde NDR-oplossingen organisaties betere bescherming bieden in hun cloud- en on-premises-omgevingen.
Hier zijn de belangrijkste zakelijke redenen waarom moderne organisaties NDR-oplossingen gaan gebruiken in hun langetermijnbeveiligingsstrategieën:
Continue zichtbaarheid van bedreigingen
Met een NDR-oplossing kunnen beveiligingsteams bedreigingen in het hele netwerk zien voordat ze zich lateraal kunnen verspreiden en ernstige schade kunnen aanrichten. De zichtbaarheid is ook continu voor alle gebruikers, apparaten en technologieën die met het netwerk zijn verbonden, waardoor beveiligingsteams een optimaal overzicht hebben van de netwerken die ze beveiligen.
Visualisatie van aanvallen
NDR's bieden beveiligingsteams inbraakblauwdrukken, wat betekent dat ze een gedetailleerde tijdlijn van bedreigingen in het hele netwerk kunnen zien om de aanval snel in kaart te brengen en prioriteiten te stellen voor acties en middelen. Omdat NDR's laagwaardige en onbelangrijke waarschuwingen filteren, kunnen ze verschillende fasen van de levenscyclus van een aanval nauwkeuriger detecteren, waaronder persistentie, privilege-escalatie, toegang tot inloggegevens, laterale bewegingen, gegevenslekken en controle- en commando (C2)-acties.
Real-time inbraakdetectie
Dankzij AI en ML kunnen NDR-oplossingen in real-time werken en cyberdreigingen met machinesnelheid detecteren en stoppen. Deze oplossingen zijn in staat om automatisch te reageren op indicatoren van compromittering via native controles, waardoor de aanval wordt gestopt voordat deze zich kan verspreiden.
Alertbeheer
Oudere beveiligingsoplossingen hebben de neiging om grote hoeveelheden waarschuwingen en meldingen te genereren, wat leidt tot burn-out bij beveiligingsanalisten en gemiste detecties. Een NDR-oplossing kan helpen het aantal valse positieven en 'ruis' te verminderen, waardoor analisten hun tijd kunnen besteden aan het stoppen van inbraken en het toepassen van proactieve strategieën.
Bescherm uw eindpunt
Bekijk hoe AI-aangedreven endpointbeveiliging van SentinelOne u kan helpen cyberbedreigingen in realtime te voorkomen, te detecteren en erop te reageren.
Vraag een demo aanConclusie
Traditionele tools voor dreigingsdetectie die gebruikmaken van op handtekeningen gebaseerde methoden en bekende indicatoren van compromittering zijn niet langer voldoende om moderne cyberaanvallers te stoppen. Tools zoals verouderde antivirusprogramma's, inbraakdetectie- en preventiesystemen (IDPS'en) en sommige firewalls zijn beperkt in hun effectiviteit, nu de meeste bedreigingen nieuw en opkomend zijn en geen vooraf geïdentificeerde handtekeningen hebben. Bedreigingen zoals ransomware, geavanceerde persistente bedreigingen (APT's), business email compromise (BEC) en meer zijn in staat om deze verouderde oplossingen te omzeilen.
Naarmate organisaties overstappen op netwerkdetectie- en responsoplossingen voor hun gebruik van kunstmatige intelligentie, machine learning en gedragsanalyse, kunnen ze geavanceerde bedreigers een stap voor blijven en op de lange termijn een proactievere houding aannemen met een uitgebreide oplossing zoals Singularity™ Endpoint platform. NDR's zijn ontworpen om bedreigingen te detecteren door enorme hoeveelheden ruw netwerkverkeer en gegevens te vergelijken met normaal gedrag door middel van continue analyse. Omdat ze beveiligingsteams helpen om sneller en nauwkeuriger te reageren en tegelijkertijd effectieve dreigingsopsporing ondersteunen, zijn NDR's een alom vertrouwde oplossing geworden voor hedendaagse organisaties.
Veelgestelde vragen over netwerkdetectie en -respons
Netwerkdetectie en -respons is een beveiligingsoplossing die netwerkverkeer controleert op ongebruikelijke patronen, afwijkingen of bekend aanvalsgedrag. Het inspecteert pakketten, flowrecords en metadata in on-premise, cloud- en hybride omgevingen.
Wanneer het een bedreiging detecteert, zoals laterale bewegingen of gegevenslekken, geeft het een waarschuwing en biedt het context om u te helpen incidenten snel te onderzoeken en in te dammen.
Een NDR-tool maakt gebruik van netwerktaps, span-poorten of packet brokers om ruwe verkeers- en stroomgegevens te verzamelen. Het past gedragsanalyses, dreigingsinformatie en soms machine learning toe om afwijkingen op te sporen, zoals niet-goedgekeurde protocollen, vreemde scans of command-and-control-oproepen.
Zodra een verdachte gebeurtenis wordt gesignaleerd, begeleiden playbooks de triage, het opsporen van dreigingen en geautomatiseerde of handmatige beheersingsmaatregelen.
Moderne netwerken zijn complex: microsegmentatie van clouds, externe gebruikers en versleutelde stromen kunnen bedreigingen verbergen voor endpointtools alleen. NDR overbrugt hiaten door verkeer over segmenten en protocollen heen te volgen.
Dat betekent dat u heimelijke indringers die zich lateraal verplaatsen, versleutelde malware-downloads of malafide apparaten kunt opsporen, zodat u niet uitsluitend op logboeken of eindpuntensensoren hoeft te vertrouwen om elke dreiging aan het licht te brengen.
Met NDR krijgt u: dieper inzicht in intern verkeer, snelle detectie van heimelijke aanvallen en rijkere context voor onderzoeken. U ziet laterale bewegingen en versleutelde bedreigingen die EDR ontwijken. Geautomatiseerde waarschuwingen en responsplaybooks versnellen de beheersing.
Bovendien helpt continue monitoring u bij het valideren van netwerksegmentatie en compliance, waardoor de verblijftijd wordt verkort en de impact van inbreuken wordt beperkt.
EDR richt zich op eindpuntgedrag: processen, bestanden en registerwijzigingen op hosts. SIEM verzamelt logboeken en gebeurtenissen uit uw hele stack voor correlatie en rapportage. XDR brengt telemetrie van eindpunten, netwerk, cloud en identiteit samen in één console.
NDR richt zich op het netwerkverkeer zelf en vult blinde vlekken in versleutelde of onbeheerde segmenten op. Samen zorgen ze voor gelaagde detectie en respons.
NDR-tools detecteren laterale bewegingen, brute-force- of ongeautoriseerde toegangspogingen, DNS-tunneling, command-and-control-callbacks, gegevenslekken, ARP-spoofing en afwijkend protocolgebruik. Ze signaleren ook ongebruikelijke verkeersvolumes, verborgen beaconing en beleidsschendingen, zoals onbeveiligde schaduw-IT-services, zodat u zowel geautomatiseerde aanvallen als handmatige inbraken kunt ontdekken die langs firewalls glippen.
Wanneer NDR verdacht verkeer signaleert, biedt het pakketopnames, sessiegegevens en informatie over de dreiging, zoals IP-adressen, procesnamen of betrokken gebruikersaccounts. Geautomatiseerde playbooks kunnen kwaadaardige IP's blokkeren, geïnfecteerde segmenten in quarantaine plaatsen of verdachte stromen afknijpen. Analisten gebruiken live stroomgrafieken en forensische tijdlijnen om aanvalspaden te traceren, waardoor het sneller mogelijk is om normaal verkeer in te dammen, te herstellen en te herstellen.
Kies een NDR met high-fidelity pakketregistratie, versleutelde verkeersanalyse en ondersteuning voor cloud- en containernetwerken. Zoek naar gedragsanalyses die uw baselines leren kennen, ingebouwde feeds met dreigingsinformatie en naadloze integratie met uw SOAR of SIEM.
Geautomatiseerde responsworkflows, aanpasbare detecties en gedetailleerde forensische dashboards helpen uw team om dreigingen op te sporen en snel te handelen.
De NDR van SentinelOne kan bedreigingen voor het netwerkverkeer automatisch isoleren en in quarantaine plaatsen door het oost-west- en noord-zuidverkeer te analyseren met behulp van AI. Het maakt gebruik van wereldwijde telemetriegegevens over bedreigingen om afwijkingen op te sporen. Wanneer het een incident detecteert, kan Singularity XDR actie ondernemen, kwetsbaarheden verhelpen en waar nodig rollbacks initiëren.
U kunt ook uw onderzoek naar bedreigingen verrijken door gebruik te maken van de SOAR-services van SentinelOne met NDR-ondersteuning.
