EraDev
Ghoster-Xما هو NDR ؟ وكيف يستطيع أن يوفر حماية 360° ؟
مقدمة
نحن نعيش في أوقات استثنائية. أدى الوباء إلى زيادة غير مسبوقة في الاستثمارات الرقمية ، لدرجة أن بعض الخبراء يزعمون انه سيتم تحويل العديد من الشركات إلى الأبد. ولكن حيثما يوجد ابتكار واعمال قائمة على الـ Cloud، تكون هناك أيضا مخاطر. هذه الاستثمارات نفسها ، مع تمكين فرص عمل جديدة وطرق عمل ، وسعت نطاق هجوم المؤسسة ما يسمي بـ Attack Surface. وقد تركوا عن غير قصد ثغرات في الرؤية والتغطية بحيث يستطيع المهاجمون استغلال هذه الثغرات بعمل برامج الفديه (Ransomware) و البرامج الخبيثه (Malware) واي عدد من التهديدات المتقدمة.
لهذا السبب تتطلع العديد من المؤسسات إلى اكتشاف الشبكة والاستجابة لها (NDR) و هي فئة من حلول الأمن السيبراني التي تكتشف النشاط الضار من خلال تحليل حركة مرور الشبكة.
ما هو ال NDR ؟
كشف الشبكة والاستجابة لها (NDR) هو حل للأمن السيبراني يراقب باستمرار شبكة مؤسسة ما لاكتشاف التهديدات السيبرانية والسلوك الشاذ باستخدام أدوات أو تقنيات غير قائمة على التوقيع ويستجيب لهذه التهديدات عبر القدرات الأصلية أو من خلال التكامل مع أدوات / حلول الأمن السيبراني الأخرى .
يبلغ سوق NDR حالًيا أكثر من مليار دولار و هو ثاني أسرع سوق في فئة الأمن السيبراني المتنامية بمعدل نمو سنوي مركب (CAGR) متوقع بنسبة 17٪ خلال السنوات الثلاث القادمة. على الرغم من أن حلول أمان NDR لاتمنع النشاط الضار ، إلا أنها تحدد أنشطة مابعد الاختراق وتوفر إشارة تحذير مبكرة تفيد بوجود خطأ ما مما يمكّن المؤسسات من إيقاف الهجمات قبل أن تتسبب في أضرار جسيمة.
لايستخدم NDR وكيًلا (agent) لاكتساب نظرة ثاقبة للنشاط الضار ، ويعتمد بدلاً من ذلك على تنقلات الشبكة (Network traffic) أو نقرة افتراضية لتحليل حركة المرور عبر أماكن العمل وأعباء العمل السحابية. هذا مهم ،لأنه بدون وكلاء ، فإن حلول NDR قادرة على:
• توفير نطاق أكبر من الحلول القائمة على الوكيل
• تقليل تعقيد النشر Deployment
• تقليل الاحتكاك الأمني مع الـ DevOps
لماذا تحتاج الشركات الى تقنية NDR ؟
على الرغم من الوتيرة السريعة لمبادرات التحول الرقمي الأخيرة ، فمن المرجح أن تظل بعض أعباء العمل في أماكن العمل دائما. لهذا السبب تستخدم جميع المؤسسات تقريًبا السحابة المختلطة (Hyprid Cloud) عمليات النشر. بالإضافة إلى ذلك ،تستخدم أكثر من 90٪من المؤسسات إما اثنين أو أكثر من موفري الخدمات السحابية.
ومع ذلك ، فإن هذا المزيج من البيئات يزيد من سطح هجوم المؤسسة ، مما يجذب انتباه الجهات الفاعلة المهددة ذات الدوافع المالية والمدعومة من الدولة. لديهم مجموعة واسعة بشكل متزايد من التكتيكات والتقنيات والإجراءا ت TTPs المتاحة لهم. وفي حالة مجرمي الإنترنت ، هناك اقتصاد سري بقيمة تريليونات يمكن من خلالها مشاركة الأدوات والمعرفة والبيانات المسروقة.
تعتمد العديد من المؤسسات على السجلات (Logs) والبيانات المستندة إلى الوكيل، باستخدام أدوات مثل SIEM و EDR والجدران النارية والأدوات الخاصة بموفري الخدمات السحابية. لكن مرارا وتكرارا، تمكن المهاجمون من تجنب أدوات المحيط Perimeter tools. بالإضافة إلى ذلك ، من المستحيل استخدام أداة لكل أصل مع وكيل ونادرا ما تكون السجلات logs شاملة.
النتيجة النهائية: أوقات طويلة بشكل غير مقبول قبل اكتشاف الجهات المهددة ، كما كان الحال مع استغلال SolarWinds exploit. وكلما طالت مدة عدم اكتشافهم ، حدث المزيد من الضرر ، على سبيل المثال من خلال استخراج البيانات أو نشر برامج الفدية. يكتشف العديد من الضحايا بعد فوات الأوان أنهم أصيبوا.
كيف يقدم NDR الدفاع ضد التهديد ؟
تشغل المؤسسات اليوم تطبيقات وأعباء عمل بالغة الأهمية عبر البيئات المحلية Local والهجينة Hybrid والمتعددة السحابية Multiple Cloud. وقد أدى ذلك إلى توسيع نطاق هجومهم وخلق فجوات في الرؤية والتغطية ، والتي تكافح الأدوات المستندة إلى السجل Logs والوكلاء Agents لسدها. تسلط أدوات NDR الأفضل في فئتها الضوء على السلوك المشبوه Bad Behaviour لسد الفجوات ومساعدة المؤسسا ت على تقليل المخاطر الإلكترونية، بغض النظر عن بيئة النشر Deployment.
القضاء على البقع العمياء | Blind spots
يوفر NDR رؤية مهمة في هذا الممر بين الشرق-والغرب East-West حيث يختبئ المهاجمون ويحللون كل معاملة ويظهرون تنبيهات عالية الدقة مع السياق في الوقت الفعلي. يمكنه أيضا تقديم فك تشفير خارج النطاق حركة مرور TLS / SSL المشفرة ، حتى عند تمكين سرية التوجيه التام PFS. وهذا مهم بشكل متزايد حيث يستخدم المزيد من الجهات الفاعلة في التهديد التشفيري .يقدر أن أكثر من 90٪ من البرامج الضارة يتم إخفاؤها بهذه الطريقة.
من منظور السحابة Cloud، يقدم هذا النوع من الرؤية المستندة إلى الشبكة NDR في أعباء العمل أهمية متزايدة. بموجب نموذج المسؤولية المشتركة بالنسبة للأمان السحابي، يقوم مقدمو خدمات الحوسبة السحابية بتأمين البنية التحتية للسحابة على نطاق واسع، بينما يتحمل العملاء المسؤولية نظرًا لكونه حل NDR الرائد للمؤسسات السحابية الأصلية، تعتبر تقنيه IDC من الإمكانات الأساسية، بما في ذلك: رؤية في الوقت الحقيقي والتاريخ في البيئات الحاوية Container Environment لحماية بنيتهم التحتية في السحابة. بشكل فعال، هذا يعني أن العملاء هم المسؤولون عن إدارة أمان عبء العمل الخاص بهم ، وتتوقع شركة Gartner ذلك 99٪ من حالا ت فشل أمان السحابة ستحد ث من جانب العميل في نموذج المسؤولية المشتركة. اذا لن يكن الدفاع المتعمق المدعوم من NDR أكثر أ همية من أي وقت مضى.
الخاتمة
الـ NDR هى تقنيه قويه جدا وتقدر توفر حمايه 365 درجة للشركات الي بتعتمد علي البنيه التحتيه المحليه والهجينه Local and Hyprid Infrastructure. وسوف نستكمل هذا الموضوع في مقاله اخري لنتعرف علي طرق كشف التهديدات باستخدام NDR وطريقه استخدامه في تحقيقات الطب الشرعي Forensics والكثير .
كل من وصل هنا شكرا لوقتك واتمني يكون المحتوي افادك و اسال الله ان يعلمنا ما ينفعنا ويذيدنا علما.
المصادر
