19 kwietnia 2023

W jaki sposób EDR i NDR wzajemnie się uzupełniają?

Przez długi czas toczono debaty, próbując zdecydować, który z typów firewalla jest lepszy (statefull czy stateless). Potem zastąpiono to pytanie kolejnym "SIEM czy XDR". Dziś podczas targów poświęconych cyberbezpeczeństwu lub na spotkaniach z naszymi klientami bardzo często przedstawiciele firm zadają pytanie: "EDR czy NDR".

Dla przypomnienia, istnieją dwa rodzaje rozwiązań przeznaczonych do wykrywania ataków i złośliwych działań:

  • EDR (Endpoint Detection & Response), oparte na agentach w postaci oprogramowania instalowanych na każdym z monitorowanym w sieci firmowej urządzeniu (systemie).
  • NDR (Network Detection & Response), który analizuje kopię ruchu sieciowego.

Pomimo wspólnego przeznaczenia, oczywiste jest, że mamy tu do czynienia z dwoma bardzo różnymi rozwiązaniami i podejściami - zarówno pod względem koncepcyjnym jak i technicznym. Każde z nich ma swoje zalety.

JAKIE SĄ GŁÓWNE RÓŻNICE POMIĘDZY NDR A EDR?

Po zainstalowaniu agenta, EDR pozwala na monitorowanie wykonywanych procesów, modyfikacji systemu plików, zarządzania prawami, ochroną i utrzymaniem procesów, przed ich niepowołanym restartem itp. NDR (jako sonda programowa lub sprzętowa, rozmieszczona w różnych strategicznych punktach sieci), wykrywa podejrzane zachowania, takie jak Shellcode (wykorzystywanie podatności) lub ruch w sieci wewnętrznej. Jednocześnie NDR zapewniając widoczność i wzmacniając wiedzę o własnym środowisku.

DLACZEGO WYBIERAĆ?

Używając metafory Charlesa Blanc Rolin1, CISO szpitala w Moulins-Yzeure: “Po co wybierać między dwoma zmysłami - wzrokiem i słuchem!” Nasz mózg na podstawie informacji pochodzących z różnych źródeł (zmysłów) buduje obraz rzeczywistości. Na tej podstawie każdego dnia podejmujemy tysiące decyzji. Takie podejście naśladowane jest także w cyberbezpieczeństwie i tak jak mózg centralizuje wszystkie informacje, tak narzędzia wykorzystują do swojego działania wiele technologii Niezależnie zatem czy chodzi o nasz mózg, czy o kontekst wykrywania ataku, jakość podejmowanej decyzji zależy bezpośrednio od informacji dostarczonych przez zmysły lub sensory.

Wracając do samego rozwiązania NDR, działa ono właśnie w opisany wyżej sposób. Uodparnia firmę na ataki, bazując na informacjach o zdarzeniach i alarmach w formie metadanych, prezentując dodatkowo kontekst, niezbędny do podjęcia właściwych decyzji. Detekcja to w cyberbezpieczeństwie coś oczywistego. Nie można jednak zapominać o analizie po włamaniowej czy identyfikacji oznak naruszenia zabezpieczeń (tzw. Hunting). Niektórzy atakujący dostają się bowiem do docelowej infrastruktury za pomocą webshella lub podobnych technik, a następnie odsuwają kluczowy etap włamania na później.

NIE CZEKAJ NA ALERT ZE STACJI ROBOCZEJ!

Nie wchodząc w szczegóły koncepcji Kill Chain czy Mitre ATT&CK Framework, złożone ataki charakteryzują się tzw. etapem rozpoznania, który zawsze identyfikowany jest przez rozwiązanie NDR, na podstawie analizy behawioralnej i kontekstowej przepływów sieciowych. W wypadku niektórych rozwiązań EDR zareagowanie wymaga wcześniejszego wykrycia naruszenia jednego lub więcej systemów. Należy jednak podkreślić, że do wykrycia najpierw musi dojść, a atakujący i zagrożenia potrafią albo skutecznie maskować swoje działanie, albo omijać zabezpieczenia.

GARTNER TWIERDZI, ŻE EFEKTYWNOŚĆ BĘDZIE WYNIKAŁA Z INTEGRACJI

Gartner podkreśla skuteczność integracji różnych typów wykrywania NDR i EDR, wprowadzając pojęcie XDR (eXtended Detection and Response). Wraz z rozszerzaniem się obszarów ataków i ewolucją technik hakerskich, organizacje coraz częściej inwestują właśnie w platformy XDR. Mają w ten sposób szansę zapewnić sobie jednolite i skuteczne podejście do zapobiegania, wykrywania i reagowania na zagrożenia. Warto podkreślić, że rozwiązania NDR są w stanie przekazać wykryte IoC (Indicator of Compromise) i IoA (Indicator of Attack) w czasie rzeczywistym do EDR, poprzez SIEM lub SOAR, tak aby zagrożenie lub atak mogły być zablokowane i naprawione automatycznie.

OD CZEGO ZACZĄĆ?

Biorąc pod uwagę niedogodności związane z wdrożeniem agentów EDR, a czasem nawet brak możliwości ich instalacji (np. z uwagi na przestarzałe systemy operacyjne, sprzęt medyczny itp.), uzupełnienie go o wdrożenie zaawansowanego rozwiązania sieciowego typu NDR jest najlepszym możliwym pomysłem. Zaraz po jego wdrożeniu zabezpieczenie będzie w stanie wykrywać, analizować i reagować, nie czekając na wdrożenie XDR, który oczywiście jest zalecany po wdrożeniu EDR.

Zobacz webinar i dowiedz się więcej o Gatewatcher!

1 https://cybercercle.com/detection-des-incidents-de-securite-pourquoi-faudrait-il-choisir-entre-vision-systemes-et-ecoute-reseau/

Autorem tekstu jest Joanna Świerczyńska

Mateusz Nowak
product manager Gatewatcher / Sekoia

Masz pytania?
Skontaktuj się ze mną:
nowak.m@dagma.pl
32 793 11 19