Καθώς το τοπίο απειλών γίνεται ολοένα και πιο περίπλοκο, οι ομάδες ασφαλείας πρέπει να είναι προετοιμασμένες για την άμεση εξέταση των αναδυόμενων και πιθανών επιθέσεων. Θα πρέπει να βρουν τρόπους να τις αντιμετωπίσουν και κατ’ επέκταση να λάβουν μέτρα έγκαιρης ανίχνευσής τους.

Είναι γεγονός ότι με τη βοήθεια λύσεων, όπως το Fortinet FortiNDR με το FortiNDR Cloud, οι οργανισμοί είναι πλέον σε θέση να αρχίσουν να προετοιμάζονται για να αντιμετωπίσουν επιθέσεις τύπου low and slow. Με τη δυνατότητα να παραδοθεί ως cloud-based, Guided-SaaS ή on-premises, το FortiNDR μπορεί να βοηθήσει στην επίλυση πέντε κρίσιμων προβλημάτων που αντιμετωπίζουν σήμερα οι SOC (ομάδες λειτουργιών ασφαλείας).

  1. Εκτεταμένος χρόνος παραμονής των attackers

Κάτι που βλέπουμε συχνά να χρησιμοποιείται από προηγμένους attackers είναι ο εκτεταμένος χρόνος παραμονής. Για πάνω από μια δεκαετία τώρα, ο χρόνος που ένας εισβολέας μπορεί να διατηρήσει πρόσβαση στο σύστημα ενός οργανισμού υπερβαίνει κατά πολύ τα αποδεκτά επίπεδα. Σύμφωνα με την IBM, χρειάστηκαν κατά μέσο όρο 277 ημέρες το 2022 για να εντοπιστεί και να περιοριστεί μια παραβίαση. Το γεγονός αυτό δίνει τη δυνατότητα στους attackers, μετά από εισβολή να βρουν και να κλέψουν τα πιο ευαίσθητα δεδομένα ενός οργανισμού, συχνά κρατώντας τα ως λύτρα.

Η ανίχνευση και απόκριση δικτύου (NDR) συνήθως αναπτύσσεται για την αντιμετώπιση του παραπάνω ζητήματος, καθώς το NDR συμπληρώνει συχνά τα εργαλεία EDR και SIEM αναλύοντας meta data δικτύου – όπως το όνομα χρήστη, το όνομα υπολογιστή, το domain και την κατάσταση κάθε δικτυακής συναλλαγής – για να παρέχει το απαραίτητο πλαίσιο γύρω απο τη δραστηριότητα του δικτύου. Το NDR συνδυάζει τα meta data με την τεχνητή νοημοσύνη (AI) και τη μηχανική μάθηση (ML) για να επιτρέψει στις ομάδες ασφαλείας να αναλύσουν τεράστιες ποσότητες δεδομένων γρήγορα. Ένα από τα πλεονεκτήματα του FortiNDR, συγκεκριμένα, είναι ότι παρέχει πλούσια meta data δικτύου για έως και ένα χρόνο, επιτρέποντας στις ομάδες ασφάλειας να έχουν πρόσβαση σε περισσότερα δεδομένα για πιο εμπεριστατωμένη ανάλυση.

  1. Έλλειψη «R» (ανίχνευση) στο NDR

Φυσικά, η αρχική ανίχνευση από πλούσια meta data είναι μόνο η αρχή. Παρά τις υψηλές οικονομικές δαπάνες για λύσεις ασφάλειας, το 52% των αναλυτών SOC αναφέρουν ότι χρειάζονται περισσότερο προκαθορισμένο περιεχόμενο (όπως guided playbooks και κανόνες) για να μειώσουν το χρόνο που αφιερώνουν σε πολύπλοκες έρευνες απειλών.

Σε αντίθεση με τις περισσότερες λύσεις NDR, οι οποίες συνήθως δεν διαθέτουν ενσωματωμένες δυνατότητες, το FortiNDR παρέχει πλούσια εργαλεία πλοήγησης και έρευνας που επιταχύνουν τον εντοπισμό και την απόκριση. Λειτουργίες όπως η πολύπλευρη αναζήτηση, παρατηρήσεις που βασίζονται σε συσχετισμό πολλαπλών γεγονότων και η χαρτογράφηση MITRE ATT&CK βοηθούν τις ομάδες ασφαλείας να ανταποκρίνονται ταχύτερα και πιο ολοκληρωμένα σε απειλές.

Επιπρόσθετα, τα FortiNDR guided playbooks βοηθούν τους ερευνητές να ακολουθούν τα σωστά βήματα, βασισμένα σε πραγματικές συμπεριφορές, για τον εντοπισμό των attackers. Ένας ερευνητής μπορεί απλώς να επιλέξει το playbook “Log4j Hunting” και να δημιουργήσει αμέσως μια έρευνα χρησιμοποιώντας προκατασκευασμένα ερωτήματα που ενσωματώνουν τις πιο πρόσφατες πληροφορίες απειλών και ανιχνεύσεις.

  1. Έλλειψη εμπειρίας και ταλέντων

Μια άλλη μεγάλη πρόκληση που συνεχίζει να επηρεάζει τη βιομηχανία είναι η παγκόσμια έλλειψη ταλέντων στον χώρο της κυβερνοασφάλειας. Λύσεις όπως το FortiNDR υποστηρίζουν ομάδες ασφαλείας που αντιμετωπίζουν προβλήματα λόγω έλλειψης δεξιοτήτων, χρόνου ή γνώσεων αναφορικά με τους τρόπους που μπορούν να αμυνθούν στις πιο πρόσφατες cyber τεχνικές. Το FortiNDR επιτυγχάνει τον στόχο αυτό συμπληρώνοντας τις δυνατότητες ανάλυσης AI/ML με εικονική ή προσωπική εμπειρία. Το πρόγραμμα Virtual Security Analyst (VSA) αναλύει και διερευνά νέες και αναδυόμενες επιθέσεις, ενώ η ανθρώπινη εμπειρία παρέχεται από τους technical success managers (TSMs), οι οποίοι απαντούν σε ερωτήσεις σχετικά με τα ευρήματα, ρυθμίζουν τις παραμέτρους και βελτιστοποιούν τις εγκαταστάσεις.

  1. Συνεργατική αντιμετώπιση των απειλών

Ένας τρόπος με τον οποίο οι ομάδες ασφαλείας μπορούν να επιταχύνουν περαιτέρω την ανταπόκρισή τους στις απειλές είναι με την παράλληλη εκτέλεση των αναγκαίων βημάτων αλλά και την συνεργασία των μελών του “παγκόσμιου” SOC τους για περαιτέρω ανάλυση των αποτελεσμάτων.

Το FortiNDR επιτρέπει στους επαγγελματίες ασφαλείας να συντονίζουν τις προσπάθειες αναζήτησης απειλών και έρευνας στις παγκόσμιες ομάδες του SOC τους. Για παράδειγμα, ένας αναλυτής SOC που εδρεύει στην Ευρώπη έχει τη δυνατότητα να δημιουργήσει μια έρευνα, ενώ ένας συνάδελφος στις Ηνωμένες Πολιτείες αντιγράφει την ίδια  έρευνα, αλλάζοντας ακόμη και ερωτήματα ή και μεταβλητές. Μοιράζοντας αυτά τα αποτελέσματα μέσω του user interface, οι αναλυτές μπορούν να συνεχίσουν να επεκτείνουν και να αναπτύσσουν τα ευρήματά τους με βάση τη δική τους αξιολόγηση.

  1. Έλλειψη ενοποίησης και integration

Δεδομένης της πολύπλοκης, πολυπρομηθευτικής υποδομής ασφαλείας πολλών οργανισμών σήμερα, οι περισσότερες ομάδες ασφαλείας δυσκολεύονται να ανταποκριθούν γρήγορα και ολοκληρωμένα σε κυβερνοεπιθέσεις, ακόμη και μετά τον εντοπισμό τους. Για να μειωθεί αυτή η πρόκληση της πολυπλοκότητας, το consolidation και το integration της λύσης είναι ζωτικής σημασίας.

Το FortiNDR ενσωματώνεται άψογα με πολλά στοιχεία του Fortinet Security Fabric και λύσεις τρίτων με τη χρήση της τεχνητής νοημοσύνης και της μηχανικής μάθησης για τη βελτίωση της ανίχνευσης, της απόκρισης και της αποτροπής απειλών. Mε το integration σε ενα FortiGate, το FortiNDR ειδοποιεί για προβλήματα στην δραστηριότητα ενώ προωθεί τον εσωτερικό αποκλεισμό IP στο FortiGate. Επιπλέον, το FortiNDR ελέγχει τα αρχεία που διέρχονται από τα Firewall και στη συνέχεια τα αναλύει περαιτέρω με στόχο να αποτραπεί η λήψη κακόβουλων στοιχείων από τους χρήστες. Το FortiNDR ενσωματώνεται επίσης με το FortiSOAR για συντονισμένη απόκριση μεταξύ προϊόντων και ταχύτερη αποκατάσταση. 

Περαιτέρω στοιχεία για μια επιτυχημένη εφαρμογή του NDR

Τα παραπάνω είναι μόνο μερικά παραδείγματα των προκλήσεων που αντιμετωπίζουν οι σημερινοί επαγγελματίες ασφάλειας, αλλά κατά την αναζήτηση πιθανών λύσεων NDR, υπάρχουν και άλλοι παράγοντες που πρέπει να ληφθούν υπόψη.

Καταρχάς, όποια λύση κι αν επιλέξει κάνεις, θα πρέπει να είναι σε θέση να παρέχει ορατότητα σε δημόσιο και ιδιωτικό cloud και ρυθμίσεις σχετικά με IoT/OT. Οι προμηθευτές θα πρέπει να υποστηρίζουν οποιαδήποτε διαμόρφωση αυτών των περιβαλλόντων και να παρέχουν στην ομάδα ασφαλείας τα εργαλεία για τη διερεύνηση και την απόκριση σε κακόβουλη συμπεριφορά σε όλο το δίκτυο.

Επιπλέον, ενώ οι δυνατότητες AI/ML αποτελούν μεγάλο μέρος του NDR, τα εργαλεία που βασίζονται αποκλειστικά στο AI/ML τείνουν να παράγουν αυτό που καλούμε «white noise». Οι προμηθευτές NDR θα πρέπει να εξισορροπήσουν την προσέγγισή AI/ML με ανθρώπινη και ρεαλιστική ανάλυση για να συμβάλουν στη μείωση των ψευδώς θετικών αποτελεσμάτων.

Τέλος, το NDR θα πρέπει να κοινοποιεί αμφίδρομα ανιχνεύσεις και παρατηρήσεις με συμπληρωματικές τεχνολογίες όπως το EDR και το SIEM, επιτρέποντας την έγκαιρη ανίχνευση και την ενορχηστρωμένη απόκριση σε γνωστές ή και άγνωστες απειλές δικτύου.

Μάθετε με μια επίδειξη του FortiNDR πώς η Fortinet αξιοποιεί την AI/ML τεχνολογία, τη συμπεριφορά και την ανθρώπινη ανάλυση, για να επιτρέψει την ταχύτερη ανίχνευση και απόκριση περιστατικών.

Περισσότερα στο www.fortinet.com