為什麼即使是大公司,在網路防護方面投資甚多,仍然會成為網路攻擊的受害者?
最常見的原因是其網路安全方法已經過時。許多企業的安全團隊部署了數十種工具,卻缺乏對自身網路的全面可視性。如今的企業網路不僅包括傳統的物理網路,還涵蓋雲端環境。駭客通常利用被竊取的憑證,透過被攻陷的承包商進行攻擊,並盡可能避免使用惡意軟體,而是傾向於利用合法的軟體和雙用途應用程式。因此,傳統的端點防護工具往往無法有效應對這些隱匿的網路攻擊。
——————————————————————-
傳統安全工具為何不夠?
當今的攻擊者以「隱匿性」為優先考量,無論是專注於間諜活動的APT(高級持續性威脅)、勒索軟體集團,還是針對特定組織的其他攻擊,攻擊者會竭盡所能避免被發現,並複雜化事後分析的難度。例如:
- 利用員工或承包商的合法憑證進行攻擊。
- 使用系統內已存在的管理工具,實施「駐足利用」策略。
- 利用漏洞,以特權用戶帳號或設備進行操作。
- 以邊緣設備(如代理伺服器和防火牆)作為攻擊起點。
而傳統的安全工具往往難以有效應對:
- 僅保護網路邊界:無法及時偵測內部的可疑網路活動。
- 入侵偵測/防護系統(IDS/IPS):對加密流量的偵測能力有限,且通常無法監控內部橫向移動。
- 防毒和端點防護系統:難以處理完全以合法工具執行的手動攻擊,且無法部署於路由器、IoT設備等。
——————————————————————-
網路偵測與回應(NDR)是什麼?
NDR 系統能詳細監控組織的網路流量,並透過多種規則與算法來檢測異常活動,同時提供快速事件回應的工具。
特色功能:
- 流量全方位分析:分析所有方向的流量,包括內部橫向(東西向)與內外部(南北向)流量。
- 行為分析與簽名分析:結合行為模式與傳統簽名分析來提升偵測精準度。
- 加密流量的指紋辨識:即使無需解密,也能檢測SSL/TLS流量中的惡意活動。
主要優勢:
- 早期威脅偵測:能及時發現攻擊者如暴力破解密碼、利用漏洞等行為的痕跡。
- 加速事件調查:能以直觀的網路互動圖展示攻擊行動源與路徑。
- 內部威脅與錯誤配置檢測:包括阻止未經授權的應用程式使用或過時軟體運行。
- 供應鏈威脅偵測:例如未授權的遙測數據傳輸或被植入木馬的更新。
- 自動化回應:根據條件執行隔離可疑設備、限制網路互動等措施。
——————————————————————-
NDR 與其他 *DR 工具的區別
- NDR(Network Detection and Response):專注於流量分析,特別適合檢測內部威脅與橫向移動。
- EDR(Endpoint Detection and Response):針對端點設備的活動提供詳細分析。
- XDR(eXtended Detection and Response):整合多個來源的數據,提供全局性的威脅檢測和回應能力。
這些工具相輔相成,共同構成全面的安全防護。
——————————————————————-
卡巴斯基的 NDR 解決方案
卡巴斯基在其 Kaspersky Anti Targeted Attack Platform (KATA) 中集成了 NDR 功能,根據企業需求提供不同層級的防護:
- 基礎版:包括 SSL/TLS 連線指紋分析與基礎回應功能。
- 進階版(KATA NDR Enhanced):增強內部流量監控與自動化回應功能。
- 頂級版(KATA Ultra):結合 EDR 與 NDR 功能,提供一站式 XDR 解決方案。
這些功能幫助企業應對現代化攻擊,提升整體的網路安全能力。
資料來源 : https://www.kaspersky.com/blog/ndr-key-facts-for-cio-ciso/52758/