ما المقصود بالكشف عن الشبكة والاستجابة لها (NDR)؟

تطورت تقنية NDR من تقنية تحليل حركة مرور الشبكة (NTA)، وهي تقنية تم تطويرها في الأصل لاستخراج نماذج حركة مرور الشبكة من بيانات حركة مرور الشبكة غير المنسقة. ومع إضافة حلول NTA لتحليل السلوك وقدرات الاستجابة للتهديدات، قام محللو الصناعة في Gartner بتغيير اسم الفئة في عام 2020 إلى "الكشف عن الشبكة والاستجابة لها".

الشبكات هي الأساس لعالمنا المتصل اليوم، وهي الأهداف الرئيسية للجهات سيئة النية التي تنشئ التهديدات.

وقد اعتمدت المؤسسات بشكل تقليدي على أدوات الكشف عن التهديدات، كبرامج مكافحة الفيروسات، وأنظمة كشف التسلل، وجدران الحماية لضمان أمن الشبكة.

يستخدم العديد من هذه الأدوات نهجًا قائمًا على التوقيع للكشف عن التهديدات، وتحديد التهديدات من خلال مطابقة مؤشرات الاختراق (IOC) بقاعدة بيانات تحتوي على توقيعات التهديدات الإلكترونية.

قد يكون التوقيع أي سمة مرتبطة بهجوم إلكتروني معروف، مثل سطر من رموز تعليمات برمجية من نوع معين من البرامج الضارة أو سطر موضوع بريد إلكتروني محدد لتصيد المعلومات. تقوم الأدوات المستندة إلى التوقيع بمراقبة الشبكات بحثًا عن هذه التوقيعات المكتشفة مسبقًا وتُصدِر تنبيهات عند العثور عليها.

رغم فاعليتها في منع التهديدات الإلكترونية المعروفة، إلا إن الأدوات القائمة على التوقيع تواجه صعوبة في اكتشاف التهديدات الجديدة أو غير المعروفة أو الناشئة. وليس من السهل عليها اكتشاف التهديدات التي تفتقر إلى التوقيعات الفريدة أو التي تشبه السلوك الحقيقي، مثل:

• مهاجمين إلكترونيين يستخدمون بيانات اعتماد مسروقة للوصول إلى الشبكة
  
  
• هجمات اختراق بريد إلكتروني خاص بنشاط تجاري (BEC)، حيث ينتحل المتسللون أو يسرقون حساب بريد إلكتروني خاصًّا بمسؤول تنفيذي.
  
  
• ينخرط الموظفون عن غير قصد في سلوك محفوف بالمخاطر، مثل حفظ بيانات الشركة على محرك أقراص USB شخصي أو النقر فوق روابط بريد إلكتروني ضارة وهم لا يعلمون

يمكن لعصابات برامج الفدية وغيرها من التهديدات المستمرة المتقدمة استغلال هذه الثغرات الملحوظة لاختراق الشبكات، وإجراء المراقبة، وتصعيد الامتيازات، وشن هجمات في اللحظات المناسبة.

ويمكن لأدوات NDR مساعدة المؤسسات على سد مثل هذه الفجوات التي خلَّفتها الحلول القائمة على التوقيع وتأمين الشبكات الحديثة ذات التعقيد المتزايد.

باستخدام التحليلات المتقدمة والتعلم الآلي والتحليل السلوكي، يمكن لأدوات NDR اكتشاف التهديدات المحتملة دون وجود توقيعات معروفة. وبهذه الطريقة، توفر أدوات NDR طبقة من الأمن في الوقت الفعلي، وهو ما يساعد المؤسسات على اكتشاف الثغرات الأمنية والهجمات التي قد تفشل أدوات الأمن الأخرى في اكتشافها.

تتخذ حلول الكشف عن الشبكة والاستجابة لها نهجًا استباقيًّا وسريع الاستجابة لإدارة تهديدات الشبكة. تقوم أدوات NDR بمراقبة وتحليل نشاط الشبكة وأنماط حركة المرور بشكل مستمر في الوقت الفعلي لتحديد الأنشطة المريبة التي قد تشير إلى وجود تهديد عبر الإنترنت.

يتضمن اكتشاف التهديدات باستخدام حلول NDR الخطوات الخمس التالية في الغالب:

1. جمع البيانات
2. إنشاء خط أساس يمثل سلوك الشبكة الطبيعي
3. مراقبة النشاط الضار
4. الاستجابة للحوادث
5. التحسين مع مرور الوقت

توفر حلول NDR مجموعة من القدرات يمكن أن توفر مزايا رائعة تفوق أدوات الكشف عن التهديدات التقليدية القائمة على التوقيع. وتشمل هذه القدرات: 

توفر حلول NDR المراقبة والتحليل في الوقت الفعلي، وهو ما يتيح التعرف على التهديدات المحتملة والاستجابة لها في أسرع وقت. يمكن لبعض أدوات NDR أيضًا تحديد الأولويات وإرسال التنبيهات إلى فِرَق الأمن أو مراكز العمليات الأمنية (SOC) حسب درجة شدة التهديد المحتمل.

توفر أدوات NDR رؤية لجميع أنشطة الشبكة، سواء التي في الموقع أو المُدارة في بيئات السحابة الهجينة. تساعد هذه الرؤية الشاملة المؤسسات على اعتراض عدد أكبر من الحوادث الأمنية.

ولأن حلول NDR تراقب حركة المرور في الشبكة من الشمال إلى الجنوب (الخروج والدخول) ومن الشرق إلى الغرب (داخليًّا)، فإنها تستطيع اكتشاف كِلَا النوعَين من الاختراق؛ سواء في محيط الشبكة أو الحركة الجانبية داخل الشبكة. وهذه القدرة على اكتشاف الحالات غير الطبيعية داخل الشبكة تساعد أدوات NDR في اكتشاف التهديدات المتقدمة الكامنة في انتظار الفرصة للهجوم. وتمتلك بعض أدوات NDR القدرة أيضًا على اكتشاف التهديدات المختبئة في حركة المرور المشفرة.

تستفيد أدوات NDR من الذكاء الاصطناعي وخوارزميات التعلم الآلي المتقدمة لتحليل بيانات الشبكة وتحديد الأنماط واكتشاف التهديدات المحتملة، بما في ذلك التهديدات غير المعروفة سابقًا والتي غالبًا لا تكتشفها الأدوات التقليدية.

تتميز بعض حلول NDR بقدرات استجابة مؤتمتة يمكن أن توقف الهجوم في أثناء حدوثه، مثل إنهاء اتصال شبكة مريب على الفور. يمكن لأدوات NDR أيضًا التكامل مع أدوات أمنية أخرى لتنفيذ خطط استجابة للحوادث أكثر تعقيدًا. فمثلاً، بعد اكتشاف تهديد ما، قد تطالب أداة NDR منصة تنسيق الأمن والأتمتة والاستجابة (SOAR) بتشغيل دليل استجابة محدد مسبقًا.

يمكن للعديد من أدوات NDR التكامل مع موجزات وقواعد بيانات استعلامات التهديدات مثل إطار عمل MITRE ATT&CK. تؤدي عمليات التكامل هذه إلى تحسين نماذج سلوك الشبكة ودقة اكتشاف التهديدات. ونتيجةً لذلك، يمكن أن تكون أدوات NDR أقل عرضةً للتنبيهات الخاطئة (الإيجابيات الخاطئة).

توفر حلول NDR بيانات سياقية ووظائف تستفيد فِرق الأمن من استخدامها في أنشطة صيد التهديدات حيث تبحث بشكل استباقي عن تهديدات لم تكتشف من قبلُ.

رغم فوائدها، لا تخلو حلول NDR من بعض القيود. وفيما يلي بعض نقاط الضعف الشائعة في أدوات NDR الحالية:

قد تتطلب أدوات NDR استثمارات كبيرة في الأجهزة، والبرامج، وموظفي الأمن الإلكتروني. فمثلاً، الإعداد الأولي سيحتاج إلى نشر أجهزة استشعار عبر قطاعات الشبكة والاستثمار في تخزين بيانات عالية السعة للتعامل مع كميات كبيرة من بيانات حركة مرور الشبكة.

قد يكون توسيع نطاق حلول NDR ليلائم الشبكات النامية والمتسعة أمرًا صعبًا. وقد تؤدي زيادة تدفق البيانات إلى إجهاد الموارد والتسبب في حالات إعاقة واختناق، وهو ما يجعل حلول الكشف عن التهديدات والاستجابة لها أقل فاعليةً في المؤسسات الكبيرة.

يمكن لأدوات NDR أن تولد العديد من النتائج الإيجابية الخاطئة، وهو ما يربك فرق الأمن ويجهدهم بسبب كثرة التنبيهات. حتى أدنى الانحرافات عن الأنماط العادية قد يتم تصنيفها على أنها سلوك مريب، وهو ما يؤدي إلى إضاعة الوقت، بل واحتمال عدم اكتشاف التهديدات الحقيقية.

قد تؤدي المراقبة المستمرة لحركة مرور الشبكة، ومنها الاتصالات المشفرة، إلى إثارة مشكلات تتعلق بالخصوصية. قد يؤدي عدم الامتثال للوائح القانونية مثل اللائحة العامة لحماية البيانات (GDPR) ومعايير أمن البيانات في صناعة بطاقات الدفع (PCI DSS) إلى فرض عقوبات باهظة وغرامات مالية.

تتميز شبكات المؤسسات اليوم بأنها شبكات واسعة ولامركزية، تربط مراكز البيانات والأجهزة والبرامج وأجهزة إنترنت الأشياء (IoT) وأحمال التشغيل، سواء في موقع العمل أم عبر البيئات السحابية.

تحتاج المؤسسات ومراكز العمليات الأمنية (SOC) إلى مجموعة أدوات قوية للحصول على رؤية كاملة لأنشطة هذه الشبكات المعقدة. وصارت المؤسسات تعتمد بشكل متزايد على مزيج من أدوات NDR، بالإضافة إلى حلول أمنية أخرى.

فمثلاً، تُعَدّ أدوات NDR إحدى الركائز الثلاث لثلاثية رؤية مركز العمليات الأمنية الخاصة بشركة Gartner، إلى جانب اكتشاف نقاط النهاية والاستجابة لها (EDR) والمعلومات الأمنية وإدارة الأحداث (SIEM).

• يُعَدّ اكتشاف نقاط النهاية والاستجابة لها أحد البرامج المصممة لحماية المستخدمين النهائيين وأجهزة نقاط النهاية وأصول تقنية المعلومات الخاصة بالمؤسسة تلقائيًّا من التهديدات الإلكترونية. وفي حين توفر أدوات NDR منظرًا رأسيًّا لحركة المرور على الشبكة، يوفر برنامج EDR منظرًا إضافيًّا، لكن على مستوى أفقي للنشاط عند نقاط النهاية الفردية.
  
  
• تقوم المعلومات الأمنية وإدارة الأحداث (SIEM) بدمج وربط بيانات السجل والأحداث المتعلقة بالأمن من أدوات أمنية ومصادر شبكة متباينة، مثل الخوادم والتطبيقات والأجهزة. تقوم أدوات NDR بإكمال هذه الجهود من خلال تدفق بيانات وتحليلات حركة مرور الشبكة إلى أنظمة المعلومات الأمنية وإدارة الأحداث (SIEM)، وهو ما يعزز أمن المعلومات الأمنية وإدارة الأحداث ويحسّن فاعلية الامتثال التنظيمي.

في الآونة الأخيرة، نجحت مراكز العمليات الأمنية أيضًا في اعتماد حلول الكشف والاستجابة الموسَّعة (XDR). في حلول الكشف والاستجابة الموسَّعة (XDR)، يتم دمج أدوات الأمن الإلكتروني في كل البنية التحتية لتقنية المعلومات الهجينة بالكامل للمؤسسة، بما في ذلك نقاط النهاية والشبكات وأحمال التشغيل السحابية. ونجد أن العديد من مقدمي حلول الكشف والاستجابة الموسَّعة (XDR) يُضمّنون في حلولهم قدرات أدوات NDR، بينما تستطيع حلول XDR المفتوحة الارتقاء بقدرات NDR الموجودة بالفعل في المؤسسة، بما يتناسب مع سير عمل الأمن الحالي.