تم التحديث: 8 يوليو 2024
المساهمون: آني بادمان، ماثيو كوسينسكي
تُعَدّ تقنية الكشف عن الشبكة والاستجابة لها (NDR) فئة من تقنيات الأمن الإلكتروني التي تستخدم أساليب غير مستندة إلى التوقيع، مثل الذكاء الاصطناعي والتعلم الآلي والتحليلات السلوكية، للكشف عن الأنشطة المريبة أو الضارة على الشبكة والاستجابة للتهديدات الإلكترونية.
تطورت تقنية NDR من تقنية تحليل حركة مرور الشبكة (NTA)، وهي تقنية تم تطويرها في الأصل لاستخراج نماذج حركة مرور الشبكة من بيانات حركة مرور الشبكة غير المنسقة. ومع إضافة حلول NTA لتحليل السلوك وقدرات الاستجابة للتهديدات، قام محللو الصناعة في Gartner بتغيير اسم الفئة في عام 2020 إلى "الكشف عن الشبكة والاستجابة لها".
الشبكات هي الأساس لعالمنا المتصل اليوم، وهي الأهداف الرئيسية للجهات سيئة النية التي تنشئ التهديدات.
وقد اعتمدت المؤسسات بشكل تقليدي على أدوات الكشف عن التهديدات، كبرامج مكافحة الفيروسات، وأنظمة كشف التسلل، وجدران الحماية لضمان أمن الشبكة.
يستخدم العديد من هذه الأدوات نهجًا قائمًا على التوقيع للكشف عن التهديدات، وتحديد التهديدات من خلال مطابقة مؤشرات الاختراق (IOC) بقاعدة بيانات تحتوي على توقيعات التهديدات الإلكترونية.
قد يكون التوقيع أي سمة مرتبطة بهجوم إلكتروني معروف، مثل سطر من رموز تعليمات برمجية من نوع معين من البرامج الضارة أو سطر موضوع بريد إلكتروني محدد لتصيد المعلومات. تقوم الأدوات المستندة إلى التوقيع بمراقبة الشبكات بحثًا عن هذه التوقيعات المكتشفة مسبقًا وتُصدِر تنبيهات عند العثور عليها.
رغم فاعليتها في منع التهديدات الإلكترونية المعروفة، إلا إن الأدوات القائمة على التوقيع تواجه صعوبة في اكتشاف التهديدات الجديدة أو غير المعروفة أو الناشئة. وليس من السهل عليها اكتشاف التهديدات التي تفتقر إلى التوقيعات الفريدة أو التي تشبه السلوك الحقيقي، مثل:
- مهاجمين إلكترونيين يستخدمون بيانات اعتماد مسروقة للوصول إلى الشبكة
- هجمات اختراق بريد إلكتروني خاص بنشاط تجاري (BEC)، حيث ينتحل المتسللون أو يسرقون حساب بريد إلكتروني خاصًّا بمسؤول تنفيذي.
- ينخرط الموظفون عن غير قصد في سلوك محفوف بالمخاطر، مثل حفظ بيانات الشركة على محرك أقراص USB شخصي أو النقر فوق روابط بريد إلكتروني ضارة وهم لا يعلمون
يمكن لعصابات برامج الفدية وغيرها من التهديدات المستمرة المتقدمة استغلال هذه الثغرات الملحوظة لاختراق الشبكات، وإجراء المراقبة، وتصعيد الامتيازات، وشن هجمات في اللحظات المناسبة.
ويمكن لأدوات NDR مساعدة المؤسسات على سد مثل هذه الفجوات التي خلَّفتها الحلول القائمة على التوقيع وتأمين الشبكات الحديثة ذات التعقيد المتزايد.
باستخدام التحليلات المتقدمة والتعلم الآلي والتحليل السلوكي، يمكن لأدوات NDR اكتشاف التهديدات المحتملة دون وجود توقيعات معروفة. وبهذه الطريقة، توفر أدوات NDR طبقة من الأمن في الوقت الفعلي، وهو ما يساعد المؤسسات على اكتشاف الثغرات الأمنية والهجمات التي قد تفشل أدوات الأمن الأخرى في اكتشافها.
تتخذ حلول الكشف عن الشبكة والاستجابة لها نهجًا استباقيًّا وسريع الاستجابة لإدارة تهديدات الشبكة. تقوم أدوات NDR بمراقبة وتحليل نشاط الشبكة وأنماط حركة المرور بشكل مستمر في الوقت الفعلي لتحديد الأنشطة المريبة التي قد تشير إلى وجود تهديد عبر الإنترنت.
يتضمن اكتشاف التهديدات باستخدام حلول NDR الخطوات الخمس التالية في الغالب:
- جمع البيانات
- إنشاء خط أساس يمثل سلوك الشبكة الطبيعي
- مراقبة النشاط الضار
- الاستجابة للحوادث
- التحسين مع مرور الوقت
تستوعب حلول NDR بيانات حركة مرور الشبكة الأولية وبيانات التعريف من خلال القياس عن بُعد، وهي ممارسة استخدام الأتمتة لجمع البيانات ونقلها من مصادر بعيدة.
وغالبًا ما تقوم أدوات NDR بجمع البيانات من نقاط النهاية والبنية التحتية للشبكة وجدران الحماية ومصادر أخرى للحصول على رؤية شاملة لكل الأنشطة التي تجري على الشبكة. قد تتضمن البيانات المجمَّعة بيانات حزم الشبكة، وبيانات التدفق، وبيانات السجل.
تستخدم أدوات NDR التحليلات السلوكية، والذكاء الاصطناعي، والتعلم الآلي لتقييم البيانات وإنشاء نموذج خط أساس يمثل سلوك ونشاط الشبكة العادي.
ثم بعد إنشاء خط الأساس، يقوم النظام بمراقبة حركة مرور الشبكة بشكل مستمر في الوقت الفعلي. وتعمل أدوات NDR على مقارنة نشاط الشبكة الحالي بخط الأساس هذا لاكتشاف الانحرافات التي قد تشير إلى تسرب بيانات أو تهديدات أخرى محتملة.
قد تتضمن هذه الانحرافات محاولات وصول غير مصرَّح بها، أو عمليات نقل بيانات غير عادية، أو أنماط تسجيل دخول غير طبيعية (كمحاولة الوصول مثلًا إلى البيانات خارج ساعات العمل العادية)، أو إجراء اتصالات مع خوادم ويب غير معروفة.
عند اكتشاف نشاط مريب، تقوم حلول NDR بتنبيه فِرق الأمن لاتخاذ الإجراء المناسب. يمكن لبعض أدوات NDR أيضًا اتخاذ إجراءات مؤتمتة للتخفيف من التهديد. قد تتضمن هذه الاستجابات المؤتمتة حظر عناوين IP الضارة، أو عزل الأجهزة المخترَقة، أو تقييد حركة المرور المريبة لمنع وقوع ضرر أكبر.
تعمل أنظمة NDR باستمرار على تكييف نماذجها الخاصة بأنشطة الشبكة من خلال دمج كل المعلومات الجديدة التي يتم التوصل إليها بعد التصدي للتهديدات والاستجابات المكتشفة. كما أنها تدمج المدخلات التي يقدمها محللو الأمن وخلاصات معلومات التهديدات. يعمل هذا التحسين المستمر على تحسين دقة وفاعلية أدوات NDR في اكتشاف أحدث التهديدات الجديدة والمتطورة والاستجابة لها.
توفر حلول NDR مجموعة من القدرات يمكن أن توفر مزايا رائعة تفوق أدوات الكشف عن التهديدات التقليدية القائمة على التوقيع. وتشمل هذه القدرات:
توفر حلول NDR المراقبة والتحليل في الوقت الفعلي، وهو ما يتيح التعرف على التهديدات المحتملة والاستجابة لها في أسرع وقت. يمكن لبعض أدوات NDR أيضًا تحديد الأولويات وإرسال التنبيهات إلى فِرَق الأمن أو مراكز العمليات الأمنية (SOC) حسب درجة شدة التهديد المحتمل.
توفر أدوات NDR رؤية لجميع أنشطة الشبكة، سواء التي في الموقع أو المُدارة في بيئات السحابة الهجينة. تساعد هذه الرؤية الشاملة المؤسسات على اعتراض عدد أكبر من الحوادث الأمنية.
ولأن حلول NDR تراقب حركة المرور في الشبكة من الشمال إلى الجنوب (الخروج والدخول) ومن الشرق إلى الغرب (داخليًّا)، فإنها تستطيع اكتشاف كِلَا النوعَين من الاختراق؛ سواء في محيط الشبكة أو الحركة الجانبية داخل الشبكة. وهذه القدرة على اكتشاف الحالات غير الطبيعية داخل الشبكة تساعد أدوات NDR في اكتشاف التهديدات المتقدمة الكامنة في انتظار الفرصة للهجوم. وتمتلك بعض أدوات NDR القدرة أيضًا على اكتشاف التهديدات المختبئة في حركة المرور المشفرة.
تستفيد أدوات NDR من الذكاء الاصطناعي وخوارزميات التعلم الآلي المتقدمة لتحليل بيانات الشبكة وتحديد الأنماط واكتشاف التهديدات المحتملة، بما في ذلك التهديدات غير المعروفة سابقًا والتي غالبًا لا تكتشفها الأدوات التقليدية.
تتميز بعض حلول NDR بقدرات استجابة مؤتمتة يمكن أن توقف الهجوم في أثناء حدوثه، مثل إنهاء اتصال شبكة مريب على الفور. يمكن لأدوات NDR أيضًا التكامل مع أدوات أمنية أخرى لتنفيذ خطط استجابة للحوادث أكثر تعقيدًا. فمثلاً، بعد اكتشاف تهديد ما، قد تطالب أداة NDR منصة تنسيق الأمن والأتمتة والاستجابة (SOAR) بتشغيل دليل استجابة محدد مسبقًا.
يمكن للعديد من أدوات NDR التكامل مع موجزات وقواعد بيانات استعلامات التهديدات مثل إطار عمل MITRE ATT&CK. تؤدي عمليات التكامل هذه إلى تحسين نماذج سلوك الشبكة ودقة اكتشاف التهديدات. ونتيجةً لذلك، يمكن أن تكون أدوات NDR أقل عرضةً للتنبيهات الخاطئة (الإيجابيات الخاطئة).
توفر حلول NDR بيانات سياقية ووظائف تستفيد فِرق الأمن من استخدامها في أنشطة صيد التهديدات حيث تبحث بشكل استباقي عن تهديدات لم تكتشف من قبلُ.
رغم فوائدها، لا تخلو حلول NDR من بعض القيود. وفيما يلي بعض نقاط الضعف الشائعة في أدوات NDR الحالية:
قد تتطلب أدوات NDR استثمارات كبيرة في الأجهزة، والبرامج، وموظفي الأمن الإلكتروني. فمثلاً، الإعداد الأولي سيحتاج إلى نشر أجهزة استشعار عبر قطاعات الشبكة والاستثمار في تخزين بيانات عالية السعة للتعامل مع كميات كبيرة من بيانات حركة مرور الشبكة.
قد يكون توسيع نطاق حلول NDR ليلائم الشبكات النامية والمتسعة أمرًا صعبًا. وقد تؤدي زيادة تدفق البيانات إلى إجهاد الموارد والتسبب في حالات إعاقة واختناق، وهو ما يجعل حلول الكشف عن التهديدات والاستجابة لها أقل فاعليةً في المؤسسات الكبيرة.
يمكن لأدوات NDR أن تولد العديد من النتائج الإيجابية الخاطئة، وهو ما يربك فرق الأمن ويجهدهم بسبب كثرة التنبيهات. حتى أدنى الانحرافات عن الأنماط العادية قد يتم تصنيفها على أنها سلوك مريب، وهو ما يؤدي إلى إضاعة الوقت، بل واحتمال عدم اكتشاف التهديدات الحقيقية.
قد تؤدي المراقبة المستمرة لحركة مرور الشبكة، ومنها الاتصالات المشفرة، إلى إثارة مشكلات تتعلق بالخصوصية. قد يؤدي عدم الامتثال للوائح القانونية مثل اللائحة العامة لحماية البيانات (GDPR) ومعايير أمن البيانات في صناعة بطاقات الدفع (PCI DSS) إلى فرض عقوبات باهظة وغرامات مالية.
تتميز شبكات المؤسسات اليوم بأنها شبكات واسعة ولامركزية، تربط مراكز البيانات والأجهزة والبرامج وأجهزة إنترنت الأشياء (IoT) وأحمال التشغيل، سواء في موقع العمل أم عبر البيئات السحابية.
تحتاج المؤسسات ومراكز العمليات الأمنية (SOC) إلى مجموعة أدوات قوية للحصول على رؤية كاملة لأنشطة هذه الشبكات المعقدة. وصارت المؤسسات تعتمد بشكل متزايد على مزيج من أدوات NDR، بالإضافة إلى حلول أمنية أخرى.
فمثلاً، تُعَدّ أدوات NDR إحدى الركائز الثلاث لثلاثية رؤية مركز العمليات الأمنية الخاصة بشركة Gartner، إلى جانب اكتشاف نقاط النهاية والاستجابة لها (EDR) والمعلومات الأمنية وإدارة الأحداث (SIEM).
- يُعَدّ اكتشاف نقاط النهاية والاستجابة لها أحد البرامج المصممة لحماية المستخدمين النهائيين وأجهزة نقاط النهاية وأصول تقنية المعلومات الخاصة بالمؤسسة تلقائيًّا من التهديدات الإلكترونية. وفي حين توفر أدوات NDR منظرًا رأسيًّا لحركة المرور على الشبكة، يوفر برنامج EDR منظرًا إضافيًّا، لكن على مستوى أفقي للنشاط عند نقاط النهاية الفردية.
- تقوم المعلومات الأمنية وإدارة الأحداث (SIEM) بدمج وربط بيانات السجل والأحداث المتعلقة بالأمن من أدوات أمنية ومصادر شبكة متباينة، مثل الخوادم والتطبيقات والأجهزة. تقوم أدوات NDR بإكمال هذه الجهود من خلال تدفق بيانات وتحليلات حركة مرور الشبكة إلى أنظمة المعلومات الأمنية وإدارة الأحداث (SIEM)، وهو ما يعزز أمن المعلومات الأمنية وإدارة الأحداث ويحسّن فاعلية الامتثال التنظيمي.
في الآونة الأخيرة، نجحت مراكز العمليات الأمنية أيضًا في اعتماد حلول الكشف والاستجابة الموسَّعة (XDR). في حلول الكشف والاستجابة الموسَّعة (XDR)، يتم دمج أدوات الأمن الإلكتروني في كل البنية التحتية لتقنية المعلومات الهجينة بالكامل للمؤسسة، بما في ذلك نقاط النهاية والشبكات وأحمال التشغيل السحابية. ونجد أن العديد من مقدمي حلول الكشف والاستجابة الموسَّعة (XDR) يُضمّنون في حلولهم قدرات أدوات NDR، بينما تستطيع حلول XDR المفتوحة الارتقاء بقدرات NDR الموجودة بالفعل في المؤسسة، بما يتناسب مع سير عمل الأمن الحالي.
استفد من IBM للكشف عن التهديدات والاستجابة لها لتعزيز الأمن لديك وتسريع الكشف عن التهديدات.
انتقِل بثقة إلى تقنيات السحابة المتعددة الهجينة وتمكّن من دمج الأمن في كل مرحلة من مراحل رحلتك السحابية.
يمكنك حماية بنيتك التحتية وشبكتك من تهديدات الأمن الإلكتروني المعقدة باستخدام مهارات أمنية مجرَّبة وأحدث الخبرات والحلول.
استعد للاختراقات بشكل أفضل من خلال فهم أسبابها والعوامل التي تزيد أو تقلل من التكاليف.
تعرَّف على كيفية تغير الواقع الأمني اليوم وكيفية التغلب على التحديات والاستفادة من مرونة الذكاء الاصطناعي التوليدي في مواجهة الأزمات.
يحاول الذكاء الاصطناعي الارتقاء بأجهزة الكمبيوتر والآلات لتتمكن من تقليد قدرات العقل البشري في حل المشكلات واتخاذ القرارات.