NDR là gì? Lợi ích, Ứng dụng và Tính năng chính

Phát hiện và phản hồi mạng (NDR) là gì?

Phát hiện và phản hồi mạng (NDR) đề cập đến các sản phẩm an ninh mạng dùng để thu thập và phân tích lưu lượng mạng nhằm phát hiện các hoạt động độc hại. Trong khi các công cụ phát hiện và phản hồi trên thiết bị đầu cuối (EDR) thu thập và phân tích dữ liệu cũng như hành vi trên các thiết bị đầu cuối, thì các giải pháp NDR hoạt động dựa trên dữ liệu truyền dẫn từ các gói tin mạng đi qua các luồng giao tiếp ngang (east-west) và dọc (north-south) trong hệ thống mạng.

Theo Gartner®, “Các sản phẩm phát hiện và phản hồi mạng (NDR) phát hiện các hành vi bất thường của hệ thống bằng cách áp dụng phân tích hành vi lên dữ liệu lưu lượng mạng. Chúng liên tục phân tích các gói tin mạng thô hoặc siêu dữ liệu lưu lượng trong các mạng nội bộ (giao tiếp ngang - east-west) và giữa mạng nội bộ với mạng bên ngoài (giao tiếp dọc - north-south).

Các sản phẩm NDR bao gồm các phản hồi tự động, như cô lập thiết bị hoặc chặn lưu lượng, được thực hiện trực tiếp hoặc thông qua tích hợp với các công cụ an ninh mạng khác. NDR có thể được triển khai dưới dạng kết hợp giữa phần cứng và phần mềm cho các cảm biến, một số có hỗ trợ cơ sở hạ tầng dạng dịch vụ (IaaS). Bảng điều khiển quản lý và điều phối có thể là phần mềm hoặc dịch vụ SaaS.”

Cựu Giám đốc NSA, Rob Joyce, đã gọi các hệ thống giám sát mạng thụ động là “cơn ác mộng tồi tệ nhất” đối với kẻ tấn công trong một bài phát biểu vào năm 2016. Cụ thể, ông nói:
“...một trong những cơn ác mộng tồi tệ nhất [đối với kẻ tấn công] là thiết bị TAP mạng hoạt động ngoài băng tần (out-of-band) đang thực sự thu thập toàn bộ dữ liệu, hiểu được những hành vi bất thường đang diễn ra và có ai đó đang chú ý đến điều đó.”

NDR hoạt động như thế nào?

Các giải pháp phát hiện và phản hồi mạng (NDR) hoạt động bằng cách lấy một bản sao lưu lượng mạng của tổ chức – thông qua cổng SPAN (còn gọi là port mirroring), thiết bị TAP, hoặc bộ phân phối gói tin (packet broker) – và gửi nó đến một thiết bị chuyên dụng (appliance) để tái tạo lại các “cuộc trò chuyện” diễn ra giữa các thiết bị kết nối vào mạng. Thiết bị này sẽ trích xuất và lưu trữ tất cả các thông tin hữu ích từ những cuộc trò chuyện đó, bao gồm địa chỉ MAC, địa chỉ IP, các cổng mà thiết bị đang kết nối, và nhiều thông tin khác.

Các giải pháp NDR sau đó áp dụng học máy (machine learning) để phân biệt giữa hành vi mạng bình thường và hành vi đáng ngờ. Một số giải pháp NDR thực hiện học máy ngay trên thiết bị chuyên dụng, trong khi những giải pháp khác thực hiện việc này trên nền tảng đám mây.

Lợi ích của việc triển khai học máy trên đám mây là quá trình này đòi hỏi nhiều tài nguyên tính toán, và đám mây có thể mở rộng linh hoạt theo nhu cầu để xử lý khối lượng dữ liệu lớn hơn. Ngược lại, nếu học máy được thực hiện trên thiết bị chuyên dụng và thiết bị bị quá tải, thì việc lắp đặt thêm thiết bị để xử lý tải tăng lên không phải là một quá trình nhanh chóng hay dễ dàng.

Các giải pháp NDR cũng thực hiện phân tích hành vi và phân tích chữ ký để tìm các chỉ báo xâm nhập đã biết (IoC – Indicators of Compromise). Thông qua việc kết hợp học máy, phân tích hành vi và phân tích chữ ký, các giải pháp NDR có khả năng phát hiện cả các mối đe dọa đã biết lẫn những mối đe dọa mới chưa từng được nhận diện trước đó.

Hầu hết các giải pháp NDR được triển khai ngoài băng (out-of-band), tức là nằm ngoài luồng truyền dữ liệu chính của mạng. Lợi ích của giải pháp NDR triển khai ngoài băng là nó không làm giảm hiệu suất mạng, đồng thời không nhìn thấy, can thiệp hay thao túng bất kỳ lưu lượng mạng gốc nào.

Các năng lực cốt lõi của giải pháp NDR

Để cung cấp khả năng phát hiện toàn diện nhất có thể, các giải pháp NDR cần hai năng lực cốt lõi:

1. khả năng giải mã lưu lượng mạng được mã hóa một cách an toàn

2. khả năng giải mã nhiều loại giao thức mạng, ứng dụng, cơ sở dữ liệu và internet khác nhau.

Hơn 85% các cuộc tấn công hiện nay sử dụng các kênh mã hóa ở nhiều giai đoạn khác nhau trong chuỗi tấn công mạng (cyber kill chain) để né tránh sự phát hiện của các công cụ bảo mật truyền thống như EDR và SIEM, khiến việc giải mã thực sự – thay vì chỉ phân tích lưu lượng mã hóa – trở nên thiết yếu trong các biện pháp an ninh mạng hiện đại. Phân tích lưu lượng mã hóa không thể phát hiện các cuộc tấn công lợi dụng các giao thức mã hóa của Microsoft như MSRPC và Kerberos.

Một giải pháp NDR có thể giải mã càng nhiều giao thức và cung cấp càng nhiều khả năng quan sát lưu lượng mạng được mã hóa theo thời gian thực, thì càng có khả năng tạo ra các cảnh báo chính xác cao và giảm thiểu cảnh báo sai (false positives).

Tại sao dữ liệu mạng lại quan trọng đối với an ninh mạng và đặc biệt là trong việc phát hiện mối đe dọa?

Đáng chú ý, mạng cung cấp cho các nhóm bảo mật nguồn dữ liệu có độ chính xác cao nhất để phát hiện sớm các mối đe dọa và điều tra pháp y. Mạng không thể bị xâm phạm hoặc vô hiệu hóa bởi kẻ tấn công như cách mà nhật ký và các tác nhân trên thiết bị đầu cuối có thể bị. Nó là một nguồn sự thật không thể thay đổi. Mọi người dùng và thiết bị đều phải giao tiếp qua mạng, vì vậy với NDR, bạn có một thiết bị chuyên dụng âm thầm ghi lại bản sao của toàn bộ lưu lượng đó.

Như một khách hàng của ExtraHop – một giám đốc an ninh mạng tại một công ty bảo hiểm lớn – đã nói: “Tôi luôn ủng hộ việc quan sát dữ liệu ở cấp độ mạng, và tôi luôn nói rằng từ góc nhìn của kẻ tấn công, nơi duy nhất mà chúng không thể thay đổi những gì đang diễn ra là trên mạng. Một khi kẻ tấn công đã xâm nhập vào máy chủ, bạn không thể tin tưởng những gì bạn thấy nữa, nhưng bất kỳ thứ gì đi qua mạng thì đều là thật 100%, và đó chính là cách bạn phát hiện kẻ tấn công và tìm ra chúng đang làm gì.”

Lợi ích của NDR là gì?

Lợi ích chính của NDR là nó cung cấp cho các nhóm bảo mật khả năng quan sát các mối đe dọa trong lưu lượng mạng (cả chiều dọc và chiều ngang) chảy qua doanh nghiệp lai mà họ không thể có được từ IDS, NGFW hoặc bất kỳ công cụ nào khác.

Giảm thiểu rủi ro là một lợi ích quan trọng khác của NDR, xuất phát từ khả năng quan sát mà nó cung cấp. NDR giúp các tổ chức giảm thiểu rủi ro theo một số cách khác nhau. Một ví dụ là các hành vi của tác nhân đe dọa diễn ra ở giai đoạn đầu của một cuộc tấn công, như gửi tín hiệu đến máy chủ điều khiển (command and control beaconing), dò tìm và liệt kê mạng, di chuyển ngang, và leo thang đặc quyền miền – đều được phát hiện hiệu quả nhất trên mạng.

Ngoài ra, các công cụ NDR hàng đầu trong ngành có khả năng tự động phát hiện và phân loại tất cả các tài sản kết nối và giao tiếp với mạng. Điều này giúp các nhóm bảo mật và CNTT có thể quan sát được các thiết bị không được quản lý và hệ thống CNTT không chính thống (shadow IT), đồng thời có được cái nhìn rõ ràng hơn nhiều về bề mặt tấn công và mức độ phơi nhiễm rủi ro của tổ chức. Bạn không thể quản lý những gì bạn không nhìn thấy.

NDR giải quyết những trường hợp sử dụng nào?

Các giải pháp NDR cung cấp khả năng bao phủ liền mạch cho nhiều trường hợp sử dụng khác nhau, từ săn mối đe dọa và phát hiện mã độc tống tiền đến điều tra pháp y mạng và hơn thế nữa. Dưới đây là một vài ví dụ về các trường hợp sử dụng mà những giải pháp NDR hàng đầu có thể xử lý, cùng với các năng lực mà bạn nên tìm kiếm trong một giải pháp NDR để xử lý hiệu quả từng tình huống.

NDR cho phát hiện và phản hồi mã độc tống tiền (Ransomware)

Các cuộc tấn công mã độc tống tiền tiên tiến sử dụng các chiến thuật tinh vi sau khi xâm nhập để tăng tốc độ lây lan phần mềm độc hại trên toàn bộ hạ tầng của nạn nhân. Để giảm thiểu mã độc tống tiền, các giải pháp NDR nên cung cấp:

• Khả năng quan sát các máy khách đã nhận tệp độc hại hoặc kết nối với các địa chỉ IP đáng ngờ
• Phát hiện hành vi độc hại sau khi bị xâm nhập dựa trên trí tuệ nhân tạo
• Điều tra và phản hồi nhanh chóng để cô lập có chiến lược chỉ các hệ thống đã bị xâm nhập

NDR cho di chuyển lên đám mây an toàn (Secure Cloud Migration)

Việc di chuyển lên đám mây có thể dẫn đến nhiều trở ngại không lường trước được, như trải nghiệm người dùng kém, các phụ thuộc chưa được biết đến, và bề mặt tấn công mở rộng. Để hỗ trợ quá trình di chuyển lên đám mây một cách an toàn, các giải pháp NDR nên cung cấp:

• Tự động phát hiện, phân loại và lập bản đồ tất cả tài sản (bao gồm thiết bị, giao thức, chứng chỉ và các phụ thuộc)
• Giám sát từ lớp 2 đến lớp 7 (L2–L7) để so sánh hiệu suất trước, trong và sau khi di chuyển
• Phát hiện theo thời gian thực và tình báo mối đe dọa từ toàn bộ bề mặt tấn công lai

NDR cho hệ thống phát hiện xâm nhập thế hệ tiếp theo (Next-Generation IDS)

Mặc dù các hệ thống IDS truyền thống và độc lập vẫn là công cụ phổ biến, đặc biệt để đáp ứng các yêu cầu tuân thủ, nhưng phương pháp phát hiện dựa trên chữ ký khiến chúng kém hiệu quả hơn trước các mối đe dọa tinh vi. Các sản phẩm NDR tích hợp khả năng IDS có thể cung cấp:

• Phát hiện xâm nhập cả tại chỗ (on-premises) và trên đám mây
• Phát hiện toàn diện được hỗ trợ bởi trí tuệ nhân tạo và phân tích dựa trên quy tắc
• Cảnh báo chính xác cao với ngữ cảnh đầy đủ phục vụ điều tra chuyên sâu

NDR cho điều tra và pháp y mạng (Network Forensics and Investigation)

Dữ liệu từ thiết bị đầu cuối và nhật ký chỉ cung cấp cho các nhà điều tra và đội phản ứng sự cố cái nhìn ở mức bề mặt, nhưng không thể mang lại chiều sâu dữ liệu bất biến như trong các gói tin mạng. Để hỗ trợ điều tra pháp y, các giải pháp NDR nên cung cấp:

• Ghi lại gói tin liên tục, giúp bạn không bao giờ phải lo lắng về việc tái tạo một sự cố
• Ghi lại gói tin theo sự kiện, tức là ghi lại các gói tin dựa trên các điều kiện do người dùng đặt ra
• Khả năng truy xuất dữ liệu trong 30, 60, 90 và 180 ngày

NDR cho săn mối đe dọa nâng cao (Advanced Threat Hunting)

Đối với nhiều tổ chức, việc săn mối đe dọa chỉ mang tính lý tưởng vì các phương pháp truyền thống đòi hỏi nhiều công cụ phức tạp cùng với các nhà phân tích có kỹ năng và thời gian để tìm ra những "ẩn số chưa biết." Để hỗ trợ một chương trình săn mối đe dọa nâng cao có khả năng kiểm tra giả thuyết nhanh chóng và tìm ra các chỉ báo xâm nhập (IoC), các giải pháp NDR phải cung cấp:

• Dữ liệu giao dịch và các điểm khởi đầu trực quan dựa trên truy vấn
• Quy trình làm việc được tăng cường để săn tìm nhanh hơn
• Khả năng săn mối đe dọa trên các môi trường lai và trong lưu lượng mạng

NDR cho Mô hình Zero Trust

NDR cũng hỗ trợ các sáng kiến zero trust bằng cách cung cấp khả năng quan sát và phân tích đối với tất cả người dùng, thiết bị, khối lượng công việc và ứng dụng đang giao tiếp trên mạng. Các giải pháp NDR đảm bảo việc giám sát mạng liên tục và xác thực chính sách. Những giải pháp NDR hàng đầu còn có thể giải mã lưu lượng một cách an toàn, tự động phát hiện và phân loại tài sản, cũng như xác định các lỗ hổng. Với dữ liệu từ NDR, các tổ chức có thể đưa ra các quyết định truy cập dựa trên chính sách một cách sáng suốt.

Tôi có cần NDR nếu đã có EDR và SIEM không?

Tóm lại là có. EDR và SIEM là những công nghệ phát hiện và phản hồi nền tảng, nhưng chúng có những giới hạn nhất định. Chúng chỉ cho bạn biết khi nào kẻ tấn công đã xâm nhập, chứ không cho biết chúng bắt đầu từ đâu, đã di chuyển như thế nào, hoặc đã truy cập vào những hệ thống nào trong quá trình đó.

Các thiết bị không được quản lý, như thiết bị IoT hoặc thiết bị của khách và nhà thầu, hoặc là không thể cài đặt tác nhân giám sát thiết bị đầu cuối (endpoint agents), hoặc bạn không có quyền để cài đặt chúng. Hơn nữa, các tác nhân đe dọa tinh vi đang tìm ra cách để né tránh EDR, thậm chí còn tạo ra một thị trường chợ đen sinh lợi cho các công cụ gọi là “kẻ diệt EDR” (EDR killers).

Sự khác biệt giữa NDR và EDR là gì?

NDR khác biệt so với EDR ở chỗ nó không sử dụng agent để giám sát lưu lượng east-west và north-south. Thay vào đó, nó dựa vào thiết bị tap vật lý hoặc ảo để phân tích dữ liệu mạng trên cả hệ thống tại chỗ và khối lượng công việc trên đám mây. Điều này rất quan trọng, vì không cần agent nên các giải pháp NDR có thể:

• Giảm độ phức tạp khi triển khai.
• Giảm xung đột bảo mật trong quy trình DevOps.
• Mở rộng quy mô tốt hơn so với các giải pháp dựa trên agent.
• Cung cấp khả năng quan sát mọi gói tin được gửi và nhận.

Tôi có cần NDR nếu đã có IDS và tường lửa (firewalls) không?

Một lần nữa, câu trả lời là có. Tường lửa và các hệ thống IDS cũ có thể bị né tránh và thường chỉ giám sát lưu lượng mạng chiều dọc (north-south) đi qua ranh giới mạng, chứ không theo dõi lưu lượng nội bộ chiều ngang (east-west). Tuy nhiên, những hoạt động then chốt trong các cuộc tấn công thành công đều phải diễn ra trên mạng, điều đó có nghĩa là NDR có thể phát hiện ra các mối đe dọa mà IDS cũ và tường lửa không thể nhìn thấy.

Tôi nên tìm những năng lực nào ở một nhà cung cấp NDR?

Không phải tất cả các giải pháp NDR đều được tạo ra như nhau. Dưới đây là một vài năng lực then chốt mà bạn nên tìm kiếm khi đánh giá các giải pháp khác nhau:

Ghi và phân tích gói tin đầy đủ (Full packet capture – PCAP) và phân tích – Nhiều giải pháp NDR chỉ thu thập siêu dữ liệu của lưu lượng mạng, chẳng hạn như tiêu đề gói tin, điều này có thể đủ nếu bạn đang điều tra những mối đe dọa rõ ràng, như một thiết bị nội bộ giao tiếp với một địa chỉ IP độc hại đã biết. Nhưng nếu bạn đang tìm kiếm bằng chứng về các kỹ thuật "sống nhờ môi trường sẵn có" (living off the land) hoặc cố gắng xác định phạm vi đầy đủ và mức độ nghiêm trọng tiềm tàng của một vụ xâm nhập, thì bạn cần khả năng ghi và phân tích gói tin đầy đủ (PCAP). Với PCAP và phân tích đầy đủ, các nhà phân tích có thể xác định chính xác những hệ thống và dữ liệu nào đã bị kẻ tấn công truy cập trong quá trình vi phạm. Điều này giúp họ đưa ra quyết định sáng suốt hơn về mức độ nghiêm trọng của sự cố và cách giảm thiểu gián đoạn bằng cách chỉ tắt các hệ thống bị ảnh hưởng.

Khả năng hiểu và giải mã giao thức (Protocol fluency) – Hãy tìm một giải pháp NDR có khả năng giải mã không chỉ các giao thức mạng và internet, mà cả các giao thức ứng dụng và cơ sở dữ liệu. Giải pháp NDR càng giải mã được nhiều giao thức, bạn sẽ càng có được cái nhìn rõ ràng hơn về bảo mật và hiệu suất hệ thống.

Giải mã chiến lược (Strategic decryption) – Bạn không thể bảo vệ những gì bạn không thể nhìn thấy. Nếu bạn không thể quan sát bên trong “hộp đen” của lưu lượng và giao thức được mã hóa, bạn sẽ bị che mắt trước hơn 85% các cuộc tấn công. Hãy tìm kiếm các giải pháp NDR có khả năng giải mã ít nhất là lưu lượng TLS 1.3 và SSL, cũng như các giao thức mã hóa của Microsoft như Kerberos, MSRPC, LDAP, WINRM, SMBv3 và NTLM. Phân tích lưu lượng mã hóa không thể phát hiện số lượng ngày càng tăng các cuộc tấn công lợi dụng các giao thức mã hóa của Microsoft như MSRPC và Kerberos.

Nền tảng tích hợp thay vì giải pháp rời rạc (Platform over point solutions) – Các giải pháp NDR hiện đại kết hợp sức mạnh của NDR với IDS, giám sát hiệu suất mạng (NPM) và pháp y gói tin trong một nền tảng duy nhất để cung cấp khả năng phát hiện toàn diện và phản hồi nhanh hơn. Tại sao phải trả tiền, quản lý và tích hợp nhiều sản phẩm riêng lẻ trong khi bạn có thể kết hợp tất cả vào một giải pháp mạnh mẽ và tiết kiệm chi phí?

Nguồn: Network Detection and Response (NDR) Defined: Benefits, Use Cases, Features and Capabilities