IKT

Kako k varnosti omrežja pripomorejo orodja NDR

Rešitve za zaznavanje in odziv na omrežju nenehno spremljajo delovanje omrežja, odkrivajo kibernetske grožnje in nenavadno obnašanje na ravni omrežja. To počnejo z uporabo orodij in tehnik, ki ne temeljijo na podpisih.

Podporniki obveščajo

FINANCE
IKT
Digitalna dostopnost bo sredi leta 2025 postala zakonska obveza – kaj to pomeni za podjetja?
IKT
DIGITALNA DOSTOPNOST
IKTRedakcija IKT Digitalna dostopnost bo sredi leta 2025 postala zakonska obveza – kaj to pomeni za podjetja?

Več o tem boste izvedeli na brezplačnem izobraževanju, ki ga organizira Zavod za digitalno dostopnost A11Y.si.

FINANCE
IKT
Kako je videti virtualni pomočnik za podjetniška okolja
IKT
ADD KONFERENCA
IKTPodpornik projekta Kako je videti virtualni pomočnik za podjetniška okolja

To boste lahko izvedeli na letni konferenci podjetja ADD, na kateri bodo govorili tudi o novi regulativi, ki bo krojila nadaljnji razvoj, ter o podatkih in umetni inteligenci.

FINANCE
IKT
Slovenski Kontron lansiral zasebno mobilno omrežje 5G v nemški proizvodnji
IKT
ZASEBNA 5G OMREŽJA
IKTPodpornik projekta Slovenski Kontron lansiral zasebno mobilno omrežje 5G v nemški proizvodnji

Gre za naložbo v robustno omrežno infrastrukturo, ki je pripravljena na prihodnost in podpira trenutne in prihodnje potrebe po brezžični povezljivosti v proizvodnji in skladišču

FINANCE
IKT
Kako bodo s pomočjo umetne inteligence preprečili izumrtje atlantskega lososa na Norveškem
IKT
NAGRADA ZA INOVACIJO
IKTPodpornik projekta Kako bodo s pomočjo umetne inteligence preprečili izumrtje atlantskega lososa na Norveškem

Rešitev je v okviru pobude Tech4Aall razvil Huawei skupaj z lokalnimi partnerji

FINANCE
IKT
Poziv za obnovo pravil enotnega digitalnega trga
IKT
DIGITALNI TRG
IKTPodpornik projekta Poziv za obnovo pravil enotnega digitalnega trga

Digitalno preobrazbo tradicionalnih industrij bi bilo treba voditi z jasnimi pravili za dostop in delitev podatkov

22.10.2021 08:00
Čas branja: 3 min
Kako k varnosti omrežja pripomorejo orodja NDR
Pri orodjih NDR je pomemben tudi intuitiven uporabniški vmesnik, ki ob morebitnih varnostnih incidentih uporabnika vodi preprosto in učinkovito.

Z razvojem interneta stvari in računalništva v oblaku je v poslovna omrežja poleg ljudi povezanih čedalje več različnih naprav. To prinaša nove varnostne izzive, ki jih rešujemo z orodji za zaznavanje in odziv na omrežju (NDR – Network Detection and Response). O tem, kako delujejo te rešitve, smo se pogovarjali s Simonom Žuničem iz podjetja Sfera IT.

Rešitve NDR nenehno spremljajo delovanje omrežja, odkrivajo kibernetske grožnje in nenavadno obnašanje na ravni omrežja. To počnejo z uporabo orodij in tehnik, ki ne temeljijo na podpisih. Na grožnje se odzivajo z integracijo drugih orodij za kibernetsko varnost, kot so sistemi za nadzor dostopa do omrežja (NAC), požarni zidovi ali sistemi za zaščito končnih točk (EDR).

Orodja NDR v omrežju iščejo sumljive in/ali škodljive podatke. Če sistem zazna, da je nekaj narobe, diagnosticira težavo in poskuša ugotoviti, kaj natančno je varnostna grožnja. Na podlagi te diagnoze se uvedejo avtomatizirana opravila, ki pomagajo ublažiti težavo, hkrati pa se o tem opozori IT-ekipa.

Razlika s SIEM in EDR

V čem se orodja NDR razlikujejo od orodij za upravljanje varnostnih dogodkov in tveganj (SIEM) ter rešitev za odkrivanje in odzivanje končnih točk (EDR)? Kot pojasnjuje Simon Žunič, so rešitve SIEM učinkovite pri ustvarjanju poročil o skladnosti in pri zgodnjem odkrivanju, če grožnje kršijo niz vnaprej določenih pravil, definiranih znotraj sistema. V določenih primerih z uporabo strojnega učenja samodejno ustvarjajo pravila in odkrivajo nenavadno vedenje ter ponujajo napredno statistično analizo.

Imajo pa izdelki SIEM tudi pomanjkljivosti. Uporabljajo zgolj podatke iz dnevnikov predhodno definiranih naprav, kar omejuje njihovo vidljivost, prav tako pa nas lahko pustijo ranljive za tako imenovane napade vzhod-zahod (na primer ob prenosu paketov med strežniki znotraj podatkovnega centra). Prav tako jih je težje namestiti, konfigurirati, upravljati in prilagajati, zaradi česar so težko proaktivna rešitev za tekoče varnostne izzive. »Tudi če je SIEM v uporabi, je rešitev NDR glavni del nabora varnostnih orodij,« pojasnjuje sogovornik.

Rešitve EDR pa delujejo kot agenti na končnih točkah in ne vidijo, kaj se dogaja na žici. Naprave IoT, BYOD in v oblaku ponavadi nimajo agenta EDR, zato so potrebne rešitve NDR.

Napredne rešitve omogočajo polno analizo omrežnega prometa

Napredne rešitve NDR temeljijo na analizi omrežnega prometa (NTA) ali pregledu omrežnih komunikacij v realnem času. Določena orodja, kot je Extrahop Reveal, omogočajo tudi polno analizo omrežnega prometa od druge pa vse do sedme (aplikativne) plasti modela povezovanja odprtih sistemov (OSI).

Ti izdelki ponujajo natančnejši vpogled v varnostne dogodke in forenzične dokaze, ki so pregledni, lahko razumljivi in dajejo natančen vpogled v obseg incidentov. To počnejo tako, da analizirajo vsako transakcijo in rekonstruirajo celoten tok vsake komunikacije v omrežju.

Orodja NDR zagotavljajo podatke, ki so potrebni za preiskave in forenzične analize. Informacijski sistemi s podatkovnimi centri namreč potrebujejo informacije, kaj se dogaja v njihovi IT-infrastrukturi.

Prikaz delovanja NDR v praksi

Poglejmo si praktičen primer, ki ponazarja, kako delujejo orodja NDR. VMware je, na primer, razkril varnostne napake, ki imajo resne posledice za okolja, ki uporabljajo strežnik vCenter. Napadalcem je omogočeno izvajanje škodljive kode na neposodobljenih strežnikih vCenter. Take ranljivosti lahko podjetju v kratkem času povzročijo veliko škodo.

Ranljivost strežnika vCenter temelji na napadalcu, ki ima dostop do omrežja prek vrat 443, ki so privzeta vrata in jih vCenter uporablja za poslušanje podatkov svojih odjemalcev. Dokumentacija VMware predpisuje skrbnikom strežnika vCenter, da na požarnih pregradah dovolijo promet na vratih 443, s čimer se zagotovi funkcionalnost vCentra. Napadalci lahko s skeniranjem vrat in omrežja odkrijejo prisotnost strežnikov vCenter, ki so izpostavljeni. Poročali so o primerih takšnega skeniranja iz določenih omrežnih naslovov.

Orodja NDR lahko odkrijejo, ali so strežniki vCenter imeli kakršnokoli komunikacijo s spornimi IP-naslovi, za katere je znano, da iščejo ranljive primerke strežnika vCenter. Če je zaznana kakršnakoli tovrstna komunikacija, je treba blokirati dostop strežnika do interneta.

Z naprednejšimi orodji NDR pa je mogoče natančno opazovati tudi nadaljnje dejavnosti omrežja od in do strežnika vCenter, ki omogoča prestrezanje lateralnih omrežnih aktivnosti, ki bi lahko sledile uspešnemu izkoriščanju ranljivosti strežnika vCenter.

Izbor kakovostnih orodij NDR je ozek

Žunič priporoča, da izbirate med rešitvami, ki omogočajo čim globljo analizo omrežnega prometa in imajo intuitiven uporabniški vmesnik, ki bo v primeru varnostnih incidentov uporabnika vodil preprosto in učinkovito.

Vsebino omogoča Sfera IT, d. o. o.

Napišite svoj komentar

Da boste lahko napisali komentar, se morate prijaviti.
Več o temi
Kliknite + poleg oznake in se prijavite na obveščanje. S klikom na ime posamezne oznake preverite seznam člankov.
OGLAS
FINANCE
Nepremičnine
Nepremičnine Kakšen mora biti kakovosten servis kosilnice

Vključevati mora vse potrebne preglede in popravila kosilnice oziroma vrtnega traktorja ali riderja – opravite ga pri strokovnjaku.

FINANCE
PMM
Kako Iskratel uvaja nove tehnologije, ki bodo krojile prihodnost
Pametna mesta in mobilnost
Pametna mesta in mobilnostBranko Žnidaršič Kako Iskratel uvaja nove tehnologije, ki bodo krojile prihodnost

Optični dostop 10G PON in najnovejši standard za domača brezžična omrežja Wi-Fi 6 sta tehnologiji, ki bosta v prihodnje krojili dostop do medmrežnih povezav in s tem medsebojnega sodelovanja. O značilnostih obeh tehnologij smo se pogovarjali s sogovorniki iz podjetja Iskratel, ki so nam predstavili še druge svoje projekte in inovacije, ki bodo omogočale uvajanje novih rešitev in storitev na področju pametnih mest, pametnih tovarn in drugje, kjer bodo potrebne stabilne in hitre povezave.

FINANCE
PMM
Tehnologija 5G bo gasilcem, nujni medicinski pomoči in drugim službam omogočala hitrejše reševalne akcije
Pametna mesta in mobilnost
Pametna mesta in mobilnostVlado Kadunec Tehnologija 5G bo gasilcem, nujni medicinski pomoči in drugim službam omogočala hitrejše reševalne akcije 7

V Iskratelu so predstavili prototipne rešitve, ki jih skupaj s partnerji razvijajo v okviru projekta 5G Varnost

FINANCE
Kibernetska varnost postaja glavno poslovno tveganje. Zakaj?
PRO
Finance
KIBERNETSKA VARNOST
Finance PRO Kibernetska varnost postaja glavno poslovno tveganje. Zakaj? (PRO)

Hekerski napadi lahko za več dni povsem ustavijo poslovanje podjetij – več o tem si preberite v posebni izdaji Kibernetska varnost.

FINANCE
Manager
Namesto dragih računalnikov zabava iz oblaka  
Manager
ManagerMarjan Kodelja Namesto dragih računalnikov zabava iz oblaka  

Morda bomo kmalu videoigre igrali le še v oblaku, če bodo le omrežja zdržala dodatne obremenitve.

FINANCE
IKT
Sistemski varnostni pregled je rentgen, penetracijski test pa magnetna resonanca
IKT
IKTBranko Žnidaršič Sistemski varnostni pregled je rentgen, penetracijski test pa magnetna resonanca

Opisujemo razliko med ukrepoma, za katera lahko porabite vavčerje za kibernetsko varnost, ki jih ponuja Slovenski podjetniški sklad

Moje finance
Razno
VPN: Kako nujno je danes uporabljati navidezno zasebno omrežje?
Moje finance
RaznoMatjaž Ropret VPN: Kako nujno je danes uporabljati navidezno zasebno omrežje?

Predstavljamo, kaj je VPN, in zakaj se je z njegovo pomočjo danes smiselno "skrivati" na spletu.

FINANCE
IKT
Ste izpeljali odličen B2B e-commerce projekt? Prav vas iščemo!
IKT
SPLETNO POSLOVANJE
IKTFinance PRO Ste izpeljali odličen B2B e-commerce projekt? Prav vas iščemo!

Z izborom želimo ozaveščati o pomenu in koristih digitalizacije medpodjetniškega poslovanja ter predstaviti slovenske dobre prakse spletnega poslovanja na področju B2B