Web Application Firewall: jak chroni aplikacje webowe?
Do czego służy PAM (Privileged Access Management)?
Web Application Firewall: jak chroni aplikacje webowe?
Do czego służy PAM (Privileged Access Management)?
Pokaż wszystko

NDR czyli sztuczna inteligencja w walce z hakerami

Ostatnia aktualizacja 2024-02-19

Z każdym rokiem wzrasta liczba ataków cybernetycznych skierowana w przedsiębiorstwa. Ataki przybierają różne, coraz trudniejsze do wykrycia formy. Wymusza to na firmach specjalizujących się w systemach bezpieczeństwa opracowanie nowych sposobów na skuteczną obronę przed hakerami. Jednym z tych rozwiązań jest NDR.

Sztuczna inteligencja vs haker?

Potencjalny, cybernetyczny przestępca, który chce dostać się do wewnętrznej sieci przedsiębiorstwa, może korzystać z wielu metod — mniej lub bardziej skutecznych. Te najczęstsze i najpopularniejsze omówiłem w artykule Cyberataki i malware – rodzaje i metody działania przestępców, do którego lektury serdecznie cię zachęcam.
Faktem jest, że w ostatnich latach notowany jest wyraźny wzrost cybernetycznych ataków. Groźna jest nie tylko sama skala zagrożeń, ale przede wszystkim ich forma. Wraz z rozwojem technologii metody hakerów ewoluują. Coraz trudniej jest je wykryć i w odpowiednio szybkim czasie skutecznie zareagować. Konsekwencje działań hakerów mogą być katastrofalne w skutkach. Martwi również to, że coraz częściej ofiarami tego typu przestępstw padają małe i średnie firmy, czyli jednostki, które potencjalnie najmniej przygotowane są na tego typu zagrożenie.
Do tej pory do ochrony przed hakerami stosowane były najczęściej systemy typu firewall, next generation firewall, IDS/IPS lub połączenie tych funkcjonalności w jednym urządzeniu.
Podstawowymi zadaniami wyżej wymienionych systemów jest monitorowanie sieci na styku z internetem, wykrywanie potencjalnych ataków i podejmowanie odpowiednich działań w zależności od zagrożenia.
Niestety wspomniane systemy bazujące na sygnaturach zapewniają pewien poziom bezpieczeństwa, ale nie są w stanie elastycznie reagować na zmieniające się potrzeby i skutecznie bronić się przed nowymi technikami stosowanymi przez przestępców.

Receptą na coraz większe i bardziej wyrafinowane techniki hakerskie jest pojawienie się systemów wykorzystujących sztuczną inteligencję i uczenie maszynowe. W tym kierunku idzie rozwijająca się dziedzina cyberbezpieczeństwa, czyli Network Detection & Response (NDR).

Czym jest Network Detection and Response (NDR)?

Network Detection and Response (NDR) to rozwiązanie, którego głównym celem jest wykrywanie cybernetycznych zagrożeń i nietypowych zachowań w sieci. Czym NDR różni się od innych narzędzi? Oprogramowania tego typu nie tylko bazują na standardowych sygnaturach, ale wykorzystują między innymi techniki analityczne, sztuczną inteligencję i uczenie maszynowe.


Chcesz sprawdzić bezpieczeństwo sieci firmowej i namierzyć luki w bezpieczeństwie? Wykonaj audyt infrastruktury IT. Szerzej na tent temat przeczytasz w artykule: Audyt bezpieczeństwa infrastruktury sprzętowej IT

Zasada działania NDR, czyli jak to wygląda w praktyce?

Jak wspomniałem wyżej, NDR w odróżnieniu od starszych narzędzi, w wykrywaniu zagrożeń nie opiera się tylko na sygnaturach. Z prostej przyczyny, obecne techniki hakerskie są na tyle zaawansowane, że zwyczajne sygnatury nie potrafią wykryć wszystkich zagrożeń. Potrzebne są rozwiązania, które będą stanie w bardziej elastyczny i skuteczniejszy sposób namierzać intruzów i odpowiednio się przed nimi bronić.

Takie rozwiązanie pojawiło się w momencie rozwoju AI i programów bazujących na analizie behawioralnej, wykorzystujących sztuczną inteligencją i uczenie maszynowe.
Narzędzia NDR analizują ruch sieciowy w każdej warstwie modelu ISO/OSI, budują modele, które odzwierciedlają normalne zachowanie sieci. Innymi słowy, zbierają dane dotyczące zachowania konkretnego użytkownika, operacje, jakie wykonuje w sieci itp. W momencie, gdy system wykrywa działania nietypowe, czyli odbiegające od normy i wypracowanego modelu, daje sygnał, że zaczyna się dziać coś potencjalnie złego np. do sieci dostał się ktoś niepowołany i penetruje jego strukturę.

Istnieje kilka rodzajów modeli wykrywania i reagowania na niebezpieczeństwa. Możemy je podzielić na:

EDR (Endpoint Detection and Response): służą do wykrywania i reagowania na zagrożenia w punktach końcowych. Oprogramowanie monitoruje punkty końcowe (laptopy, telefony komórkowe, komputery stacjonarne) szukając nietypowych zachowań i nieznanych sygnatur.
Metody:

  • wykrywanie złośliwego zachowania;
  • analiza Taktyk, Technik i Procedur (TTP);
  • analiza wskaźnika naruszenia bezpieczeństwa Indicator of Compromise (IoC);
  • sygnatury i uczenie maszynowe.

NDR (Network Detection and Response). System analizuje ruch sieciowy organizacji. Wykrywa zagrożenia i odpowiednio na nie reaguje.

Metody:

  • wskaźnik ataku Indicators of Attack (IoA);
  • wykrywanie anomalii;
  • zachowanie użytkownika;
  • uczenie maszynowe.

XDR (Extended Detection and Response): W tym przypadku analiza i wykrywanie rozszerzona jest na różne warstwy danych. Oprogramowanie sprawdza parametry i dane, które pochodzą między innymi z poczty e-mail punktów końcowych, serwerów jak i z sieci.

Metody:

  • procedury (TTP);
  • wykrywanie anomalii;
  • wykrywanie złośliwego zachowania;
  • analiza wskaźników naruszenia (IoC).

Jakie są najważniejsze funkcje NDR?

W zależności od producentów sposób działania tych technologii jest różny, natomiast cel nadrzędny jeden – jak najszybciej zweryfikować czy w naszej strukturze sieciowej pojawiło się coś złego, zaalarmować administratora, a w przypadku gdy system jest odpowiednio wyposażony i skonfigurowany – podejmować automatycznie działania prewencyjne.

Do najważniejszych zadań systemu NDR należy:

Detekcja zagrożeń.

System skonfigurowany jest w ten sposób, aby monitorować i na bieżąco automatycznie wykrywać zagrożenia bezpieczeństwa i błędne konfiguracje.

Prewencja zagrożeń.

Tego typu systemy nie tylko skupiają się na detekcji, ale są w stanie przewidzieć potencjalne zagrożenia. Na podstawie zebranych danych system automatycznie oblicza ryzyko, aby wyprzedzić potencjalny atak.
Jednym z możliwych elementów tego typu działania jest tworzenie fałszywych środowisk tzw. systemów-pułapek (ang. Decoy). To są odbicia, emulacje oryginalnych systemów, które z zewnątrz wyglądają jak normalne systemy współdziałające z aplikacjami. Pełnią one funkcję pewnego rodzaju wabików. Cyberprzestępca dokonuje ataku na system-pułapkę, a my mamy czas, żeby się zabezpieczyć przed właściwym atakiem.

Przy wykorzystaniu AI i uczenia maszynowego NDR wykrywa większość popularnych zagrożeń powodowanych przez złośliwe oprogramowanie (zainfekowane pliki i oprogramowanie). Skutecznie radzi sobie z atakami typu Zero Day.

Stanowi dopełnienie i wsparcie dla pozostałych narzędzi jak NAC, firewall, WAFMFA, czy SIEM .

Jakie są zalety z wykorzystania NDR?

Monitoring sieci w czasie rzeczywistym

Technologia NDR pozwala na monitorowanie wszystkich elementów sieci w czasie rzeczywistym. Kontroluje wszystkie aspekty sieci, począwszy od użytkowników po oprogramowanie, a także urządzenia. W ten sposób jesteśmy w stanie maksymalnie w krótkim czasie wykryć zagrożenie i odpowiednio szybko na nie zareagować.

Szybsze wykrywanie i reagowanie na niebezpieczeństwa

Analiza behawioralna i sztuczna inteligencja stosowane w rozwiązaniach NDR zapewniają analitykom informacje umożliwiające szybkie działanie w obliczu zagrożenia.
W ten sposób naruszenia sieci i niebezpieczeństwa wykrywane są znacznie szybciej niż w tradycyjnych i starszych rozwiązaniach.

Precyzyjna detekcja zagrożeń i redukcja kosztów

Przodujące rozwiązania NDR przy analizie danych wykorzystują analizę behawioralną machine learning i sztuczną inteligencję, która pomaga znacznie precyzyjniej wykrywać zagrożenia. Ilość fałszywych incydentów bezpieczeństwa (false positive) jest zdecydowanie mniejsza niż w przypadku tradycyjnych rozwiązań bezpieczeństwa co skutecznie redukuje czas pracy zespołu ds. bezpieczeństwa.

Automatyzacja działań

NDR daje możliwość automatycznej reakcji na zagrożenia, dzięki czemu nie jest uzależniony od dostępności zasobów ludzkich zespołu ds. bezpieczeństwa.

Obecnie do zapewnienia właściwego bezpieczeństwa infrastruktury IT w firmie, nie wystarczy już korzystać ze standardowych narzędzi bezpieczeństwa (firewall, NGFW). Skuteczną ochronę zapewni wdrożenie systemów z różnych poziomów zabezpieczeń (jak np. zarządzanie dostępem uprzywilejowanym – PAM), a także korzystanie z najnowszych zdobyczy technologicznych, w tym technologii NDR.

Potrzebujesz wsparcia przy wyborze i wdrożeniu NDR?

Zapraszam do kontaktu telefonicznego ze mną pod numerem +48 515 135 478 lub mailowego pod adresem pt@sebitu.pl . Wybierzemy najlepszą opcję pod względem jakości, ceny i wymagań funkcjonalnych.

Piotr Tamulewicz - avatar.
Piotr Tamulewicz, doradca ds. rozwiązań IT w SEBITU.