Вирусийн эсрэг програм хангамж, халдлагыг эрт илрүүлж урьдчилан сэргийлэх систем (IDPSs) зэрэг аюул заналыг илрүүлэх уламжлалт шийдлүүдийн дийлэнх нь өвөрмөц үзүүлэлтүүд (IOCs) эсвэл тогтсон хэв шинжийг (signature) эрж хайх замаар аюулыг тодорхойлж, урьдчилан сэргийлдэг.  

Хэв шинж гэдэг нь хэдийн мэдэгдэж буй кибер халдлагатай холбоотой ямар ч шинж чанар байж болно. Тухайлбал, кодын мөр, хортой програмын файлын хаш (#) эсвэл файлын хэмжээ, тодорхой багцын гарчиг, түүнчлэн фишинг эсвэл сошиал имэйлийн сэдвийн мөр гэх мэт. Тогтсон хэв шинжид суурилсан хэрэгслүүд нь мэдэгдэж буй хэв шинжүүдийн мэдээллийн санг тогтмол шинэчилж, сүлжээний урсгалд тэдгээр хэв шинж байгаа эсэхийг скан хийх замаар аюул заналыг илрүүлдэг.  

Тиймээс энэ төрлийн арга нь хэдийн мэдэгдэж буй аюул заналыг сүлжээнд нэвтрэх, нуугдахаас сэргийлж, урьдчилан сэргийлэхэд үр дүнтэй байдаг. Эсрэгээрээ шинэ бөгөөд хараахан мэдэгдээгүй хортой програм болон аюул заналыг илрүүлж чаддаггүй сул талтай. Мөн хэв шинж агуулаагүй дараах төрлийн аюул заналыг илрүүлж чадахгүй байх нь бий.  

• Хулгайлагдсан итгэмжлэл ашиглан сүлжээнд нэвтрэх 

• Гүйцэтгэх ажилтны цахим шуудангийн хаягийг хулгайлах болон дуурайх бизнес имэйлийн хадлага (BEC) 

• Байгууллагын мэдээллийг USB дискэнд хадгалах, хортой вэбсайтын холбоос дээр дарах  гэх мэт ажилтнуудын хариуцлагагүй эсвэл санамсаргүй үйлдлээс шалтгаалсан эрсдэл. 

Ransomware болон бусад дэвшилтэт аюул занал нь эдгээр сохор цэгүүдийг ашиглан сүлжээнд нэвтэрч, тагнуул хийж, давуу эрхээ дээшлүүлж, дайралт хийх тохиромжтой мөчийг хүлээдэг. 

Хэв шинжид суурилсан шийдлүүд нь урьдчилан сэргийлэх гэсэн үндсэн үүрэгтэй байдаг бол NDR шийдэл нь сүлжээн дэх болзошгүй аюул заналд идэвхтэй хариу үйлдэл үзүүлдэг. Өөрөөр хэлбэл NDR нь хиймэл оюун ухаан, машин сургалт болон зан төлөвийн анализ зэрэг аргуудыг ашиглан мэдэгдэж буй хэв шинжийг скан хийхийн оронд сүлжээний урсгал болон үйл ажиллагааг бодит цаг хугацаанд хянаж, дүн шинжилгээ хийх замаар сүлжээний гадна болон доторх аливаа сэжигтэй үйлдлийг илрүүлж, кибер халдлагад хариу үзүүлдэг.  

NDR нь сүлжээний урсгалын анализ (NTA)-ын шинэ хувилбар бөгөөд сүлжээн дэх түүхий мэдээллээс сүлжээний урсгалын загварыг гаргаж ирдэг технологи дээр зан төлөвийн анализ болон аюул заналд хариу үзүүлэх технологи зэргийг нэмснээр үүссэн байна. Гартнераас 2020 онд NTA-ийг NDR болгон шинэчлэн нэрлэсэн.  

NDR нь: 

Сүлжээний үндсэн зан төлөвийг загварчилдаг.  

NDR шийдлүүд нь сүлжээн дэх тусгай мэдрэгч, хэрэглээний агентууд болон галт хана, рүүтэр зэрэг сүлжээний дэд бүтцээс сүлжээний үйл ажиллагааны түүхий дата болон мета датаг татаж авдаг. Дараа нь тухайн датандаа зан төлөвийн аналитик, хиймэл оюун ухаан, машин сургалтыг ашиглан сүлжээний хэвийн үйл ажиллагаа, үйл ажиллагааны үндсэн загварыг гаргаж ирдэг. 

Хортой байж болзошгүй, сэжигтэй үйлдлийг илрүүлдэг. 

NDR нь сүлжээг тасралтгүй хянадаг бөгөөд үндсэн зан төлөвөөс гажих хазайлтыг бодит цаг хугацаанд тодорхойлохын тулд аналитик болон хиймэл оюун ухааны чадавхыг ашигладаг. Жишээ нь, хэрэглэгч ажлын бус цагаар эмзэг мэдээлэлд хандах, хэрэглэгчийн төхөөрөмж үл мэдэгдэх гадаад серверт холбогдох, эсвэл порт дээр хачирхалтай дата багц хүлээн авах зэрэг байж болно. 

NDR шийдлүүд нь north-south (гаралт, оролт) болон east-west (дотоод) сүлжээний урсгалыг хоёуланг нь хянадаг тул хөндлөнгийн аюул заналын хөдөлгөөн, дотоод хүмүүсийн хортой нийтлэг зан төлөв ба дэвшилтэт аюулыг илрүүлж, хянах боломжтой. Зарим NDR шийдлүүд нь шифрлэгдсэн урсгал дотор нуугдаж буй аюул заналыг ч илрүүлэх чадвартай байдаг. 

Түүнчлэн NDR нь аюул заналын талаарх мэдээллүүд, MITRE ATT&CK-ын хамрах хүрээ болон кибер гэмт хэрэгтнүүдийн тактик, техникүүд болон үйл явц (TTPs)-ын талаарх бусад эх сурвалжийн дата зэргийн харилцан хамааралд үндэслэн аюул заналын зан төлөвийн загварчлалыг гаргадаг. Эдгээр загварчлал нь NDR шийдэлд үйл ажиллагааны чимээнээс дохиог шүүж, халдлага болон хачирхалтай боловч хор хөнөөлгүй үйл ажиллагаа эсвэл ‘худал-эерэг’-ийг ялгахад тусалдаг.  

Ослын хариу арга хэмжээ авах автоматжуулалт, хэрэгслээр хангадаг.  
NDR шийдэл нь кибер халдлага болон кибер халдлагын дохио байж болзошгүй зан төлөвийг  илрүүлэх үедээ: 

• Аюулгүй байдлын баг эсвэл аюулгүй байдлын үйл ажиллагааны төвд (SOC) бодит цаг хугацаанд сэрэмжлүүлэг өгөх, сэрэмжлүүлдэг. 

• Ослын үед авах хариу арга хэмжээг автоматжуулдаг. NDR шийдлүүд нь халдлага болж байгаа үед нь тасалдуулах эсвэл хаахын тулд сэжигтэй сүлжээний холболтыг зогсоох зэрэг үйлдлийг автоматаар хийх боломжтой. NDR нь ослын хариу үйлдлийг идэвхжүүлэхийн тулд бусад аюулгүй байдлын хэрэгслүүдтэй интеграци хийх боломжтой. Жишээлбэл, байгууллагын SOAR (аюулгүй байдлын зохион байгуулалт, автоматжуулалт ба хариу үйлдэл) системийг урьдчилан тодорхойлсон хариу үйлдлийн зааварчилгааны дагуу ажиллуулахад хүргэж болно. 

• Аюул заналын мөрдөн шалгалтыг оновчилдог. NDR шийдлүүд нь үргэлжилж буй халдлагын мөрдөн шалгалтыг хурдасгах болон үл мэдэгдэх эсвэл илрээгүй байгаа аюулыг урьдчилан шалгахад ашиглаж болох контекст өгөгдөл, функцээр аюулгүй байдлын баг болон SOC-уудыг хангадаг. 

2023 онд гарсан “Forrester Network Analysis and Visibility Wave” тайланд сүлжээний анализ ба ил тод байдал (NAV) болон NDR хэрэгслүүд нь үр дүнтэй zero-trust тогтолцоог бий болгоход чухал ач холбогдолтой гэж мэдэгджээ. Түүнчлэн “Сүлжээний ил тод байдал болон сүлжээний илрүүлэлт, хариу арга хэмжээний (NDR) хэрэгслүүд нь аюулгүй байдлын аналитик платформууд болох аюулгүй байдлын зохион байгуулалт, автоматжуулалт, хариу арга хэмжээний [SOAR] шийдэл; мөн бүрэн ил тод байдал, дүн шинжилгээ хийх боломжийг олгодог өргөтгөсөн илрүүлэх, хариу арга хэмжээ авах [XDR] хэрэгслүүдийг хэрхэн нөхөж, эсвэл интеграци хийж ажилладаг талаар дурдагдсан ба улмаар zero-trust-ийг бий болгож, хариу үйлдлийг хөнгөвчлөх боломжийг олгодог" гэсэн байна.  

Тус тайланд NDR вендор сонгохдоо анхаарах дараах зүйлсийг жагсаасан байна.  

Шифрийг тайлах чадвартай байх: Шифр тайлах чадвар нь халдагчид шифрлэгдсэн урсгал дотор үйл ажиллагаагаа нуух боломжийг арилгаж, ил тод байдлыг улам нэмэгдүүлдэг. 

Шинжээчдийн туршлагыг онцлох: Forrester-с аюулгүй байдлын чадварлаг мэргэжилтнүүд дутагдалтай байгааг тэмдэглэжээ. Тиймээс NDR шийдэл нийлүүлэгчид ямар ч түвшний ур чадвартай шинжээч үр дүнтэй мөрдөн шалгалт хийх боломжтой байлгахад анхаарч хэрэглэгчийн интерфейсийг сайжруулах замаар энэ нөхцөл байдлыг шийдвэрлэх ёстой. 

Zero-trust сүлжээний хандалтын (ZTNA) интеграцчилал: Тасралтгүй өсөн нэмэгдэж буй ажиллах хүчний тархалттай холбоотой халдлагын гадаргуу өргөжиж, энэ нь суурин сүлжээнд төвлөрсөн хэрэгслүүдэд ил тод байдлын зөрүүг бий болгож байна.  Тиймээс NDR нийлүүлэгчид байршлаас үл хамааран сэжигтэй эсвэл хортой үйлдлийг илрүүлэхийн тулд ZTNA шийдэл нийлүүлэгчидтэй интеграци хийх боломжийг олгох замаар энэ асуудлыг шийдвэрлэх ёстой. 

FORTINET КОМПАНИЙН NDR ШИЙДЭЛ 

Fortinet нь FortiNDR болон FortiNDR Cloud гэсэн хоёр төрлийн уян хатан суурилуулалтын сонголттойгоор сүлжээгээр дамжсан халдлагыг илрүүлэх, эрэмбэлэх, мөрдөн шалгах, агнах болон хариу арга хэмжээ авах хэрэгслүүдийг аюулгүй байдлын багуудад олгодог.  

FortiNDR Cloud нь Fortinet-ийн SaaS-д суурилсан NDR шийдэл юм. Энэ нь сүлжээний урсгалыг шалгахын тулд AI, ML, зан төлөвийн болон хүн шинжилгээг (human analysis) ашигладаг. FortiNDR Cloud нь мэдрэгчийг мета өгөгдөл цуглуулах зорилгоор хэрэглэгчийн сүлжээнд байрлуулж, дүн шинжилгээ хийх зорилгоор клауд руу илгээдэг. Мөн тухайн шийдэл хэрэглэгч бүрийг техникийн туслах тусгай менежерүүдээр хангадаг бөгөөд олж, нээсэн мэдээллээ хуваалцах, тохиргоог тааруулах, болон NDR суурилуулалтаа оновчлоход туслах зэргээр байгууллагын найдвартай зөвлөхөөр ажилладаг. FortiNDR Cloud нь буцаан агнах (retroactive hunting), дүн шинжилгээ хийх боломжийг олгохын тулд мета өгөгдлийг 365 хоногийн турш хадгалдаг. 

FortiNDR нь on-premises орчинд зориулагдсан хувилбар юм. Энэ нь тусгаарлагдсан орчинд ажилладаг бөгөөд мэдээллийн технологийн болон үйл ажиллагааны технологи (OT)-ийн сүлжээний урсгалын талаар гүн гүнзгий ойлголт өгөхийн зэрэгцээ аюулгүй ажиллагааг хангадаг. Мэдрэгчийг хэрэглэгчийн сүлжээгээр байрлуулж, дүн шинжилгээг газар дээр нь хийдэг. 

Дээрх хоёр шийдэл нь Fortinet Security Fabric болон EDR, SOAR, SIEM, XDR гэх мэт олон тооны гуравдагч байгууллагын шийдлүүдтэй интеграци хийх боломжийг олгодог. FortiNDR шийдлүүд нь мөрдөн шалгалтын үйл ажиллагааг автоматжуулж, оношилгоо, нөхөн сэргээлт хийх боломжийг танд олгоно. Fortinet NDR шийдлүүд нь дараах байдлаар үр дүнтэй хариу үйлдэл үзүүлэх боломжийг олгодог. 

Fortinet нь Forrester-ийн 2023 оны 2-р улирлын NAV Wave тайланд “Strong Performer”-ээр шалгарсан. Ялангуяа Fortinet NDR шийдэл нь аюул заналыг илрүүлэх болон илрүүлэх технологийн шалгуурт боломжит хамгийн өндөр оноог авсан юм.

Нарийн төвөгтэй аюул заналхийллийг илүү хурдан тодорхойлох 

Зөвхөн AI/ML шинжилгээнд тулгуурладаг NDR шийдлүүд нь орчны судалгаа хийх явцдаа ‘худал-эерэг’ үр дүн гаргах хандлагатай байдаг. FortiNDR Cloud нь хүн болон машинд суурилсан шинжилгээг хослуулснаар аюулгүй байдлын шинжээчид үйлдэл хийж болохуйц өндөр нарийвчлалтай ‘үнэн-эерэг’ илрүүлэлтийг бий болгодог. Эдгээр технологийн давуу талуудыг хослуулснаар хэвийн бус, хортой зан үйлийг илрүүлж, анзаарагдахгүй өнгөрөхөөс сэргийлдэг. 

FortiNDR нь JA3 хэшээр шифрлэгдсэн халдлага, ransomware, downloader, зоос олборлогчид гэх мэт хортой файлууд болон сүлжээний гажуудлыг шинжлэх, илрүүлэх зорилгоор хиймэл мэдрэлийн сүлжээ (artificial neural network) болон Виртуал Аюулгүй Байдлын шинжээчийн хослолыг ашигладаг. FortiNDR нь мөн үйлдвэрлэл, цахилгаан станц, аюулгүй байдал болон бусад үйл ажиллагааны технологийн орчинд програм болон төхөөрөмжүүдийг чиглэсэн хортой урсгалыг илрүүлэх, хаах тусгай хэв шинжүүдийг агуулдаг. 

Fortinet NDR шийдлүүд нь хоёулаа FortiGate-ийн дараагийн үеийн галт хана (NGFWs) болон man-in-the-middle нууцлал тайлах төхөөрөмжтэй нягт уялдаа холбоотой байж шифр тайлах боломжийг олгодог. 

Илүү төвөгтэй сүлжээнүүдэд ил тод байдлыг хангах 

Fortinet NDR шийдлүүд нь сүлжээний телеметрийг on-premises, клауд болон хосолсон сүлжээний орчинд шинжилж, төгсгөлийн цэгийн агент ашиглахгүйгээр хэвийн бус, хортой үйлдлийг илрүүлдэг. 

Нэмж дурдахад, FortiNDR Cloud нь FortiEDR болон гуравдагч байгууллагын EDR хэрэгслүүдтэй нэгдэж, нэгдсэн ил тод байдал, өргөтгөсөн хариу үйлдэл үзүүлэх боломжийг олгодог. Төгсгөлийн цэгийн илрүүлэлтийн дата болон сүлжээний аюул заналхийллийн мэдээллийг хооронд нь уялдуулснаар шинжээчид халдагчийн үйлдлүүдийг нэг цэгээс нөгөө цэг хүртэл (end-to-end) харах боломжтой бөгөөд хяналтгүй төгсгөлийн цэгүүдийг тодорхойлж, эцсийн цэгийн дата (төхөөрөмжийн нэр, үйлдлийн систем, MAC хаяг, IP хаяг) зэрэг аюул заналын талаарх контекст бүхий мэдээллийг олж авч, хариу үйлдлийг хялбарчлахын тулд тэдгээр төгсгөлийн цэгүүдийг FortiNDR Cloud консолоос шууд тусгаарладаг. 

FortiNDR Cloud нь мөн ZTNA үйлчилгээ үзүүлэгч нартай интеграци хийснээр алслагдсан оффис болон гэр оффисоос ирж буй сүлжээний урсгалд дүн шинжилгээ хийж, байршлаас үл хамааран байгууллагын хэмжээнд бүрэн ил тод байдлыг баталгаажуулдаг. 

Ачаалал өндөртэй SOC багуудад хариу арга хэмжээгээ хялбарчлахад туслах 

Хортой эсвэл сэжигтэй зан үйлийг илрүүлэх нь зөвхөн эхлэл юм. SOC-ийн шинжээчид болон аюул заналын анчдад тэдний хэрэгцээг харгалзан үзсэн хэрэгсэл хэрэгтэй. Forrester NAV Wave тайланд вендорууд "бүх түвшний ур чадвартай SOC-ийн шинжээчдийн ажлын урсгалд бүхэлд нь туслахын тулд контекст UI-г" хэрэгжүүлж байгаа тухай дурджээ.  

FortiNDR Cloud нь аюул заналыг илрүүлэх бүрдээ аюулгүй байдлын шинжээчдэд тухайн илэрсэн зүйлийн ноцтой байдлын оноо, холбогдох аюулын тагнуулын мэдээллээр хангаж, хариу арга хэмжээг эрэмбэлэхэд нь тусалдаг. Илрүүлэлтийн ноцтой байдлыг тухайн үйл ажиллагаа нь ‘үнэн-эерэг’ болох нь батлагдсан тохиолдолд хэрэглэгчийн систем, нөөцийн нууцлал, бүрэн бүтэн байдал, хүртээмжид үзүүлэх нөлөөллийн үндсэн дээр тодорхойлно. Ноцтой байдлын оноог өндөр, дунд эсвэл бага гэж жагсаах бөгөөд өндөр түвшний ноцтой илрүүлэлт нь хамгийн их хохирол учруулах болно. Цаашлаад FortiNDR Cloud нь нөхөн сэргээлт, мөрдөн шалгалтын хүчин чармайлтад туслах дараагийн алхмуудыг санал болгодог. 

Fortinet NDR шийдлүүд нь MITRE ATT&CK-ийн амьдралын мөчлөгийн бүх хүрээнд, тагнуулын болон зэвсэглэлийн хамгийн эхний шатнаас кибер гэмт хэрэгтний эцсийн зорилго хүртэл тухай халдлага үйлдэгчийн зан төлөвийг тодорхойлдог. Учир нь халдагчийн зан төлөвийн шинж тэмдгийг эрт илрүүлэх нь илүү үр дүнтэй хариу үйлдэл үзүүлэхэд тусалдаг. 

Эх сурвалж: Enterprise solutions 2024. №1