ما هو تمثيل بيانات الشبكة NDR في الشبكات

اقرأ في هذا المقال


ظهرت تقنية اكتشاف الشبكة والاستجابة لها (NDR) في أوائل عام 2010م لتحديد وإيقاف تهديدات الشبكة المراوغة التي لا يمكن حظرها بسهولة باستخدام أنماط الهجوم، و(NDR) يشار إليها أيضاً باسم تحليل حركة مرور الشبكة (NTA)، تستخدم التكنولوجيا التعلم الآلي والتحليلات السلوكية لمراقبة حركة مرور الشبكة وتطوير خط أساس للنشاط، ثم يكتشفون نشاطاً آخراً مرتبطاً بالبرامج الضارة والهجمات المستهدفة وإساءة استخدام المطلعين والسلوك المحفوف بالمخاطر.

أساسيات شبكة NDR

تسمح حلول (NDR) للمؤسسات بالتعرف على حركة المرور غير العادية التي تشير إلى القيادة والتحكم والحركة الجانبية والتسلل ونشاط البرامج الضارة، وإنّهم يحللون حركة المرور بين الشمال والجنوب بين المضيفين الداخليين والإنترنت، لكنّهم يفحصون أيضاً حركة المرور بين الشرق والغرب بين المضيفين الداخليين بما في ذلك الخوادم الداخلية لتحديد الهجمات بدقة.

وفقاً لـ (NDR) تستخدم بشكل أساسي تقنيات غير قائمة على التوقيع كالتعلم الآلي أو تقنيات تحليلية أخرى لاكتشاف حركة المرور المشبوهة على شبكات المؤسسات، وتعمل أدوات (NDR) باستمرار على تحليل حركة المرور الأولية أو سجلات التدفق مثل (Net Flow)؛ لإنشاء نماذج تعكس السلوك العادي للشبكة، وعندما تكتشف أدوات (NDR) أنماط حركة المرور المشبوهة فإنّها ترفع تنبيهات الاستجابة وهي أيضاً وظيفة مهمة في حلول (NDR).

على عكس العديد من منتجات إدارة السجلات وتحليلات الأمان التي تركز على تنبيهات الأمان تقوم حلول (NDR) بتحليل سجلات حركة مرور الشبكة الأولية لتحديد التهديدات، بينما يمكن أيضاً نشرها كعنصر شبكة سلبي يجمع البيانات من منافذ تبديل الشبكة (SPAN) أو (TAPs) المادية، ويمكن لعدد متزايد من حلول (NDR) اليوم جمع بيانات حركة مرور الشبكة من البنية التحتية للشبكة الحالية مثل جدران حماية الشبكة وتيسير النشر.

  • “NDR” هي اختصار لـ “Network Detection and Response”.
  • “SPAN” هي اختصار لـ “Services and Protocols for Advanced Networks”.
  • “TAP” هي اختصار لـ “Test Anything Protocol”.
  • “NTA” هي اختصار لـ “Network traffic analysis”.

أنواع المشاكل التي يحددها عنها اكتشاف الشبكة NDR

1- برامج ضارة غير معروفة

المهاجمون الخارجيون الذين يستفيدون من البرامج الضارة التي لا يمكن اكتشافها للتغلب على المضيف على الشبكة والتحكم فيها.

2- الهجمات المستهدفة

المهاجمون الخارجيون الذين يستفيدون من الهندسة الاجتماعية والاستغلال وهجمات القوة الغاشمة أو غيرها من التقنيات لتسوية التطبيقات أو نقاط النهاية، وسرقة بيانات اعتماد المستخدم المشروعة وإنشاء القيادة والسيطرة والتحرك بشكل جانبي وسرقة البيانات والتلاعب بها أو تدميرها.

3- الهجمات الداخلية

الموظفون أو المقاولون المنخرطون في مجموعة من السلوكيات بما في ذلك الوصول والسرقة والتلاعب بالملفات والبيانات وتغيير أذونات الوصول وتثبيت البرامج الضارة وغير ذلك.

4- السلوك المحفوف بالمخاطر

  • يمكن للموظفين ذوي النوايا الحسنة ولكن المتهورين تعريض المؤسسات للهجوم.
  • يتضمن السلوك المحفوف بالمخاطر مشاركة حسابات المستخدمين، وكشف البيانات الحساسة للمستخدمين غير المصرح لهم، وتمكين الوصول عن بُعد إلى نقاط النهاية.

فوائد شبكة NDR

توفر حلول (NDR) إمكانات قوية لاكتشاف الهجمات لكل من المهاجمين الداخليين والخارجيين.

1- رؤية هجوم واسعة لتجنب السلبيات الكاذبة

تظهر حلول (NDR) حرفياً كل حدث شبكة يقوم به المهاجم، زما لم يتمكن المهاجم من الوصول مباشرة إلى مضيف واحد ببيانات مستهدفة أو قيمة أو حساسة، يجب أن يقوم المهاجم بمئات من أنشطة الشبكة لتحقيق هدفه النهائي.

يمكن أن ترى حلول (NDR) كل هذه الأحداث بما في ذلك أنشطة القيادة والتحكم والاكتشاف المستندة إلى الشبكة والتي نادراً ما تنشئ حدث سجل، كما ترى منتجات (NDR) أيضاً المراحل اللاحقة من الهجوم بما في ذلك الحركة الجانبية وأنشطة التسرب.

إذا لم تراقب المؤسسات حركة مرور الشبكة فغالباً ما يفوتها الاكتشاف أو أنشطة الاسترداد الداخلية والتي تُعد الجزء الأكثر تكرارا والأطول من الهجوم النشط، ونادراً ما يجدون أنشطة الشبكة بما في ذلك عمليات فحص الشبكة ومسح المنافذ واتصالات القيادة والتحكم وغيرها من أساليب الهجوم المستندة إلى الشبكة.

2- الاكتشاف المبكر للتخفيف من حدة الهجمات قبل وقوع الضرر

  • كلما تم التمكن من اكتشاف الهجمات مبكراً، كلما تم التمكن من إيقاف المهاجمين في مساراتهم مبكراً.
  • يتم توثيق متوسط ​​الوقت المستغرق للهجوم جيداً من خلال العديد من استطلاعات الاستجابة بعد الحادث بمتوسط ​​يتراوح بين خمسة وسبعة أشهر.
  • إذا تم التمكن من اكتشاف مهاجم والتحقيق فيه وإيقافه في الساعات أو الأيام الأولى للهجوم فمن المحتمل أنّه يمكن القضاء على جميع الأضرار المحتملة.
  • من خلال الرؤية في المراحل الأولى من الهجوم، يمكن لحلول (NDR) تحديد أحداث الشبكة غير العادية المتعلقة باتصالات القيادة والتحكم وأنشطة الاكتشاف.
  • ما لم تقم فرق الأمان بتحليل بيانات الشبكة بحثاً عن حالات شاذة تشير إلى وقوع هجمات فسيواجهون صعوبة في العثور على المهاجمين خلال المراحل المبكرة الهامة للغاية من الهجوم، وبالتالي لن يتمكنوا من إيقاف معظم الهجمات قبل حدوث ضرر حقيقي.

3- تجنب أوجه القصور في تحليلات المحذوف

  • تقوم منصات (NDR) بتحليل حزم الشبكة الأولية لمعرفة سلوك المستخدم والجهاز واكتشاف الهجمات.
  • يستخدمون تقنية التعلم الآلي المتقدمة لملف تعريف سلوك الشبكة لجميع الكيانات واكتشاف سلوكيات الهجوم الشاذة، بدلاً من الاعتماد على أنظمة الجهات الخارجية التي لا يمكنها تحديد النشاط بمرور الوقت أو الكشف بدقة عن التهديدات الخفية التي تمتزج مع النشاط المشروع.
  • إنّه يمثل كل نشاط فردي ولا يمكن العبث به أو حذفه.
  • الحزمة القوية هي أفضل مصدر للحقيقة يوفر رؤية لجميع سلوكيات الشبكة.

4- مدخلات بيانات تحليلية واسعة لزيادة الدقة

تتمتع حلول (NDR) بسياق واسع لمشاهدة جميع أحداث الشبكة التي ينفذها المهاجم ممذا قد يؤدي إلى تحسين دقة اكتشافات الهجوم، ويمكنهم رؤية جميع جوانب تكتيكات وتقنيات المهاجم:

  • أنشطة استطلاع الشبكة.
  • بيانات اعتماد المستخدم المستخدمة في الحركة الجانبية.
  • السلوكيات الإدارية، ومشاركة الملفات النادرة التي تم الوصول إليها ومواقع القيادة والتحكم التي تم الاتصال بها، وربما حتى عملية نقطة النهاية المسؤولة عن حدث الشبكة.

5- الكشف خارج الصندوق دون ضبط شامل

  • لا تتطلب أنظمة (NDR) الأساسية تكوين السجلات أو تطبيع تنسيقات السجل أو لاستخراج السلوك.
  • يمكن الوصول إلى حزم الشبكة بسهولة ولديها كل المحتوى الفعلي المتاح بسهولة لأنظمة (NDR) لتحليلها وتخزينها.
  • يمكن للنظام المصمم جيداً استخراج البيانات الوصفية السلوكية الأكثر صلة وتخزينها بكفاءة لأداء التنميط السلوكي الدقيق واكتشاف الهجوم، وبالتالي فإنّ هذه القدرات الجاهزة تقلل من الحمل التشغيلي.

6- بصمة شبكة صفرية مع تحليلات مقدمة من السحابة

  • يتم توفير أدوات اكتشاف الشبكة والاستجابة لها اليوم من السحابة.
  • يعمل هذا النهج السحابي الأصلي على تبسيط العمليات لأنّ الفرق لا تحتاج إلى نشر خوادم سجلات جديدة في أماكن العمل لجمع بيانات الشبكة وتحليلها.
  • بالإضافة إلى ذلك يمكن لمنصات (NDR) المتقدمة جمع سجلات الشبكة من منتجات أمان الشبكة الحالية، بما في ذلك جدران حماية الشبكة وتجنب أجهزة استشعار الشبكة المخصصة.
  • توفر أنظمة (NDR) رؤية كاملة واكتشاف التهديدات مع الحد الأدنى من النفقات العامة.

المصدر: COMPUTER NETWORKING / James F. Kurose & Keith W. RossComputer Networks - The Swiss BayCOMPUTER NETWORKS LECTURE NOTES / B.TECH III YEAR – II SEM (R15)An Introduction to Computer Networks / Peter L Dordal


شارك المقالة: