Dat netwerkverkeer ziet er legitiem uit, maar het kan een serieuze bedreiging verbergen

Cyberbeveiliging
Network Traffic

Met bijna 80% van de cyberdreigingen die nu legitiem gebruikersgedrag nabootsen, hoe bepalen top SOC’s wat legitiem verkeer is en wat is potentieel gevaarlijk?

Waar kom je heen wanneer firewalls en eindpuntdetectie en respons (EDR) tekortschieten in het detecteren van de belangrijkste bedreigingen voor je organisatie? Inbreuken op Edge -apparaten en VPN -gateways zijn gestegen van 3% naar 22%, volgens het laatste rapport van Verizon’s Report Data Breach Investigations. EDR-oplossingen worstelen om zero-day exploits te vangen, technieken voor het land en malwarevrije aanvallen. Bijna 80% van de gedetecteerde bedreigingen maakt gebruik van malwarevrije technieken die normaal gebruikersgedrag nabootsen, zoals benadrukt in het wereldwijde dreigingsrapport van Crowdstrike. De grimmige realiteit is dat conventionele detectiemethoden niet langer voldoende zijn, omdat dreigingsactoren hun strategieën aanpassen, met behulp van slimme technieken zoals diefstal van referenties of DLL -kaping om ontdekking te voorkomen.

In reactie daarop wenden beveiligingsactiviteiten (SOC’s) zich tot een meerlagige detectie aanpak die netwerkgegevens gebruikt om activiteits tegenstanders bloot te leggen, kunnen niet verbergen.

Technologieën zoals netwerkdetectie en respons (NDR) worden aangenomen om zichtbaarheid te bieden die EDR aanvult door gedrag bloot te leggen die eerder worden gemist door op eindpunt gebaseerde oplossingen. In tegenstelling tot EDR werkt NDR zonder agent -implementatie, dus identificeert het effectief bedreigingen die gemeenschappelijke technieken en legitieme tools kwaadwillig gebruiken. De bottom line is ontwijkende technieken die werken tegen edge -apparaten en EDR is minder kans om te slagen wanneer NDR ook op de uitkijk is.

Legering: de snellere strategie voor dreigingsdetectie

Net als gelaagdheid voor onvoorspelbaar weer, stimuleren elite SOC’s veerkracht door een meerlagige detectiestrategie gericht op netwerkinzichten. Door detecties in één systeem te consolideren, stroomlijnen NDR management en stelt teams in staat om zich te concentreren op risico’s met hoge prioriteit en use cases.

Teams kunnen zich snel aanpassen aan evoluerende aanvalsomstandigheden, bedreigingen sneller detecteren en schade minimaliseren. Laten we nu opmaken en de lagen die deze dynamische stapel vormen nader bekijken:

De basislaag

Lichtgewicht en snel toe te passen, deze vangen gemakkelijk bekende bedreigingen om de basis voor verdediging te vormen:

  • Op handtekening gebaseerde netwerkdetectie Dient als de eerste beschermingslaag vanwege de lichtgewicht aard en snelle responstijden. Industrie-toonaangevende handtekeningen, zoals die van Proofpoint ET Pro die op Suricata-motoren draaien, kunnen snel bekende bedreigingen en aanvalspatronen identificeren.
  • Bedreigingsinformatie,, Vaak samengesteld uit indicatoren van compromis (IOC’s), zoekt naar bekende netwerktiteiten (bijv. IP -adressen, domeinnamen, hashes) waargenomen in werkelijke aanvallen. Net als bij handtekeningen zijn IOC’s gemakkelijk te delen, lichtgewicht en snel te implementeren, met snellere detectie.

De malwarelaag

Bedenken malwaredetectie Als een waterdichte barrière, bescherming tegen “druppels” van malware -payloads door malwarefamilies te identificeren. Detecties zoals Yara -regels – een standaard voor statische bestandsanalyse in de community van de malware -analyse – kunnen malwarefamilies identificeren die gemeenschappelijke codestructuren delen. Het is cruciaal voor het detecteren van polymorfe malware die zijn handtekening verandert met behoud van de gedragskenmerken van de kern.

De adaptieve laag

Gebouwd om evoluerende omstandigheden te worden, gebruiken de meest geavanceerde lagen gedragsdetectie en machine learning -algoritmen die bekende, onbekende en ontwijkende bedreigingen identificeren:

  • Gedragsdetectie Identificeert gevaarlijke activiteiten zoals domeingeneratie -algoritmen (DGA’s), command- en controle communicatie en ongebruikelijke gegevens -exfiltratiepatronen. Het blijft effectief, zelfs wanneer aanvallers hun IOC’s veranderen (of zelfs componenten van de aanval), omdat het onderliggende gedrag niet verandert, waardoor een snellere detectie van onbekende bedreigingen mogelijk wordt.
  • Ml Modellen, zowel onder toezicht als zonder toezicht, kunnen zowel bekende aanvalspatronen als abnormaal gedrag detecteren die kunnen wijzen op nieuwe bedreigingen. Ze kunnen aanvallen richten die een grotere tijdsduur en complexiteit omvatten dan gedragsdetecties.
  • Anomaliedetectie Gebruikt niet -gecontroleerde machine learning om afwijkingen te herkennen van baseline netwerkgedrag. Dit waarschuwt SOC’s voor afwijkingen zoals onverwachte services, ongebruikelijke klantensoftware, verdachte aanmeldingen en kwaadaardig managementverkeer. Het helpt organisaties bedreigingen aan het licht te brengen die zich in de normale netwerkactiviteit verbergen en de tijd van de aanvaller te minimaliseren.

De querylaag

Ten slotte is er in sommige situaties gewoon geen snellere manier om een ​​waarschuwing te genereren dan om de bestaande netwerkgegevens op te vragen. Op zoek gebaseerde detectie Logzoekquery’s die meldingen en detecties genereren-functies als een snap-on-laag die klaar is voor snelle respons op korte termijn.

Verenigende dreigingsdetectielagen met NDR

De ware kracht in meerlagige detecties is hoe ze samenwerken. Top SOC’s implementeren netwerkdetectie en respons (NDR) om een ​​uniform beeld van bedreigingen in het netwerk te bieden. NDR correleert detecties van meerdere motoren om een ​​volledig bedreigingsweergave, gecentraliseerde netwerkzichtbaarheid en de context die realtime incidentrespons te leveren te leveren.

Voorbij gelaagde detecties, Geavanceerde NDR -oplossingen Kan ook verschillende belangrijke voordelen bieden die de algehele responsmogelijkheden verbeteren:

  • Het detecteren van opkomende aanvalsvectoren en nieuwe technieken die nog niet zijn opgenomen in traditionele EDR-handtekening-gebaseerde detectiesystemen.
  • Volgens een FireEye -rapport verlagen vals -positieve tarieven met ~ 25%
  • Incidentresponstijden verkorten met AI-aangedreven triage en geautomatiseerde workflows
  • Uitgebreide dekking van MITER ATT & CK-netwerkgebaseerde tools, technieken en procedures (TTPS)
  • Gebruikmakend van gedeelde intelligentie en gemeenschapsgestuurde detecties (Open-Source Solutions)

Het pad vooruit voor moderne SOC’s

De combinatie van steeds meer geavanceerde aanvallen, het uitbreiden van aanvalsoppervlakken en toegevoegde hulpbronnenbeperkingen vereist een verschuiving naar meerlagige detectiestrategieën. In een omgeving waar aanvallen in seconden slagen, sluit het venster voor het handhaven van effectieve cybersecurity zonder een NDR -oplossing snel. Elite SOC -teams krijgen dit en hebben al gelaagd. De vraag is niet om meerlagige detectie te implementeren, het is hoe snel organisaties deze overgang kunnen maken.

Corelight Network Detection and Response

Het geïntegreerde NDR-platform van Corelight combineert alle zeven hierboven genoemde netwerkdetectietypen en is gebouwd op een basis van open-source software zoals Zeek®, zodat u de kracht van gemeenschapsgestuurde detectie-intelligentie kunt benutten. Voor meer informatie: Gehoorlicht.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Google sloeg met een boete van $ 314 miljoen over stiekeme gegevensgrepen

Batterijen van 9.000 mAh komen eraan – en uw telefoon is geen baksteen

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]