如何選擇網絡檢測與響應解決方案(NDR)?
疫情肆虐全球的上半年,網絡釣魚攻擊增加了600%,勒索軟件攻擊增加了148%,FBI報告的網絡犯罪暴增了300%。而企業的檢測與響應能力和速度,卻并沒有成比例增加,這也使得各種DR解決方案成為當下企業的安全投資熱點。
網絡檢測和響應(NDR)解決方案能夠幫助企業增強威脅響應能力,提高網絡安全的可見性和威脅免疫力。
要為業務選擇合適的網絡檢測和響應解決方案,企業需要考慮的因素有很多,以下,我們整理了幾位網絡安全專家對NDR選型給出的建議供企業參考。
Mike Hamilton,CI Security首席技術官
選擇網絡檢測和響應解決方案包含一系列技術和崗位人員,對于不同的企業來說,技術與人員的組合都是高度定制化的,這里有三種不同路徑:
- 托管。托管的檢測和響應服務結合多種技術從網絡中收集信息,例如檢測分析以識別異常活動,以及相關分析人員根據預定義的操作手冊進行調查、確認和執行響應操作,這些都已服務的方式提供。
- 運營。您擁有NDR的技術、操作人員以及響應、恢復和記錄保存的流程。這就是許多企業的發展路徑,但是這條路往往是越走越難。
- 自動化。最先進的技術就是自動化:SOAR和其他方法可以利用您的預防和檢測控制工具與措施,并將其集成起來,并由技術來自動響應和行動。
要確定是通過托管、操作還是自動化來提供最佳服務,請詢問供應商:
- 部署的速度/便捷程度如何?
- 解決方案是否收集并分析所有數據源?
- 對于運營模式,資源成本是多少,包括將資源分配給網絡安全的機會成本對項目會構成何種影響?
- 對于托管模式,提供商如何尋找和保留威脅獵人和分析師?
- 對于自動化模式,誤報的最壞情況是什么?
Rahul Kashyap,Awake Security首席執行官
選擇網絡檢測和響應解決方案(NDR)可以防御非惡意軟件威脅,包括內部攻擊、證書濫用、橫向移動和數據泄露等。NDR使企業可以更清楚地了解網絡的實際狀況以及所發生的活動。但是,并非所有NDR解決方案都是平等的。為了使價值最大化,建議用戶考慮以下三個關鍵參數:
- 數據:尋找能夠解析整個數據包而不是局限于NetFlow或IDS警報的解決方案。這提供了更大的可見度,使解決方案能夠識別更多相關威脅。
- 機器學習和AI:避免使用主要依賴無監督機器學習并充當黑匣子的解決方案。這類產品的誤報會產生大量的運營開銷,并且不能向分析師提供解釋問題被標記的原因的信息。
- 用例:能否替換現有的網絡取證、威脅搜尋等解決方案來減少工具泛濫。這有助于鞏固和現代化你的安全運營,從而提高安全團隊效率。
像任何其他安全解決方案一樣,僅獲取新的NDR工具并不能提高安全性。以我的經驗,購買者在決定技術堆棧時必須考慮對運營的影響,這一點至關重要。
Igor Mezic,MixMode首席技術官
選擇網絡檢測和響應解決方案選擇NDR解決方案時,應詢問有關基礎方法的一些關鍵問題:
- AI NDR智能檢測響應系統是否部分或完全取決于規則?如果是這樣,與調整和維護規則集相關的開銷是多少?在現代安全環境中,攻擊媒介正在迅速變化,大大超過了規則開發的工作量。基于規則的信息可以用作上下文,但不能用作主要信息源。機器學習系統的核心應適應新的網絡條件,因此應獨立于靜態規則。
- 檢測的誤報率中假陽性占比多少?假陰性占比是多少?NDR的響應功能高度依賴檢測的質量。因誤報關閉子網可能會破壞正常的網絡運行。在基于規則的系統和使用基于標簽的監督學習方法的系統中,會有大量誤報(包括假陽性和假陰性)。基于聚類和貝葉斯方法的無監督系統通常也有較高的“假陽性”誤報率。
- 當我們向網絡添加新的子網或路由器時會發生什么?NDR系統是否必須重新學習一切?在現成的機器學習系統中學習可能需要6到24個月的時間。如果每次將新組件添加到網絡時都要重復該循環,那么該方案就存在較大的局限性。AI系統必須在不增加額外學習時間的情況下適應網絡上的新狀況。
- 檢測系統是否容易被欺騙?眾所周知,非生成式機器學習方法很容易通過注入損壞的數據樣本來欺騙,從而使系統無法識別特定的攻擊。
史蒂夫·米勒(Steve Miller),FireEye首席應用安全研究員
網絡檢測和響應解決方案(NDR)應當支持多種形式的安全操作和行動。
檢測事件必須區分為不同的優先級類別。事件優先級或嚴重性劃分可以確保重要的,合格的網絡檢測事件位居任務列表的頂部。您的安全團隊可以優先處理“頭部”檢測事件,并對受影響的資產進行更加謹慎和快速的響應。
網絡活動必須有歷史記錄。這可以是在一段時間內存儲的完整數據包捕獲,也可以只是在每個網絡檢測事件之前和之后5分鐘的“時間片段”中捕獲數據包。解決方案應包括抽象的網絡日志記錄,例如Netflow和HTTP事件日志記錄。日志記錄越多,調查就越容易。
解決方案必須啟用行動警報自動化。分析警報時,分析人員會執行例行動作來收集有助于確認和響應方式的信息。解決方案必須啟用與警報關聯的自動數據收集,以備分析人員檢查,從而減少手動操作。
從功能上講,NDR解決方案必須輕松集成和收集來自其他技術堆棧的上下文數據,例如:DHCP租用、被動DNS解析、威脅參與者或惡意軟件關聯,以及可能通過隔離、阻止或操縱數據包來緩解或減少惡意事件影響的網絡/資產“處理”系統。自動提供上下文數據和“處理”選項是采取行動的基礎,而行動通常是人類工作流程中最費力的部分。
JyothishVarma,Nuspire產品管理總監
當企業準備投資檢測與響應托管服務(MDR)時,他們應考慮投資那些能夠檢測可繞過現有安全控制措施的攻擊的解決方案。對于那些具有靜態檢測機制的解決方案,如果黑客使用的漏洞沒有觸發預設的規則,那么沒人會知道攻擊已經發生。
因此,企業必須依靠那些通過高級威脅檢測和響應解決方案,以及訓練有素的安全分析人員來增強安全控制能力的解決方案或托管服務,這些分析人員應經過系統培訓,能夠主動發現威脅。
企業選擇的MDR方案還應當可以實時檢測攻擊,并且有專家全天候工作,以調查和響應可能被技術漏掉的警報。MDR服務商需要提供24/7/365安全運營中心的服務,其中配備了安全分析人員,可確保您可以充分利用專家資源來檢測攻擊,并根據需要協調事件響應計劃。通過與擁有24/7全天候安全運營中心的提供商合作,現有的企業安全團隊將提高工作效率,并減少因誤報而浪費的時間。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
