Ngày nay, hầu hết các giải pháp Phát hiện và phản hồi mạng (NDR) đều dựa vào phản chiếu lưu lượng và Kiểm tra gói sâu (DPI). Phản chiếu lưu lượng thường được triển khai trên một bộ chuyển mạch lõi đơn để cung cấp một bản sao của lưu lượng mạng tới một cảm biến sử dụng DPI để phân tích kỹ lưỡng tải trọng. Mặc dù cách tiếp cận này cung cấp phân tích chi tiết, nhưng nó đòi hỏi một lượng lớn sức mạnh xử lý và mù quáng khi nói đến lưu lượng mạng được mã hóa. Phân tích siêu dữ liệu đã được phát triển đặc biệt để khắc phục những hạn chế này. Bằng cách sử dụng siêu dữ liệu để phân tích, thông tin liên lạc mạng có thể được quan sát tại bất kỳ điểm thu thập nào và được làm phong phú thêm bằng thông tin cung cấp thông tin chuyên sâu về thông tin liên lạc được mã hóa.
Các giải pháp Phát hiện và Phản hồi Mạng (NDR) đã trở nên quan trọng để giám sát và bảo vệ các hoạt động mạng một cách đáng tin cậy. Tuy nhiên, khi lưu lượng mạng được mã hóa và khối lượng dữ liệu tiếp tục tăng, hầu hết các giải pháp NDR truyền thống đang đạt đến giới hạn của chúng. Điều này đặt ra câu hỏi: Các tổ chức nên sử dụng công nghệ phát hiện nào để đảm bảo tính bảo mật tối đa cho hệ thống của họ?
Bài viết này sẽ làm sáng tỏ khái niệm Kiểm tra gói sâu (DPI) và Phân tích siêu dữ liệu. Chúng tôi sẽ so sánh cả hai công nghệ phát hiện và kiểm tra xem các giải pháp Phát hiện và Phản hồi Mạng (NDR) hiện đại có thể bảo vệ hiệu quả mạng CNTT/OT khỏi các mối đe dọa mạng nâng cao như thế nào.
Kiểm tra gói sâu (DPI) là gì và nó hoạt động như thế nào?
DPI là một cách giám sát lưu lượng mạng được sử dụng để kiểm tra các gói mạng truyền qua một điểm kết nối hoặc chuyển mạch cụ thể. Trong DPI, toàn bộ lưu lượng thường được nhân đôi bởi một công tắc lõi sang cảm biến DPI. Sau đó, cảm biến DPI sẽ kiểm tra cả phần tiêu đề và phần dữ liệu của gói. Nếu phần dữ liệu không được mã hóa, thì dữ liệu DPI rất giàu thông tin và cho phép phân tích mạnh mẽ các điểm kết nối được giám sát. Các giải pháp NDR truyền thống dựa trên các công nghệ dựa trên DPI, khá phổ biến cho đến ngày nay. Tuy nhiên, trước các bề mặt tấn công mở rộng nhanh chóng và môi trường CNTT đang phát triển, những hạn chế của DPI ngày càng trở nên phổ biến.
Tại sao DPI không đủ để phát hiện các Cuộc tấn công mạng nâng cao?
Các tổ chức đang ngày càng sử dụng mã hóa để bảo vệ lưu lượng mạng và các tương tác trực tuyến của họ. Mặc dù mã hóa mang lại những lợi ích to lớn cho quyền riêng tư trực tuyến và an ninh mạng, nhưng nó cũng tạo cơ hội thích hợp cho tội phạm mạng ẩn mình trong bóng tối khi tung ra các cuộc tấn công mạng tàn khốc. Vì DPI không được thiết kế để phân tích lưu lượng được mã hóa, nên nó đã trở nên mù mờ đối với việc kiểm tra tải trọng gói được mã hóa. Đây là một thiếu sót đáng kể đối với DPI vì hầu hết các cuộc tấn công mạng hiện đại, chẳng hạn như APT, ransomware và di chuyển bên, sử dụng nhiều mã hóa trong quy trình tấn công của chúng để nhận các lệnh tấn công từ Máy chủ Chỉ huy và Điều khiển từ xa (C&C) rải rác trên không gian mạng. Ngoài khả năng mã hóa không có, DPI yêu cầu lượng lớn công suất và thời gian xử lý để kiểm tra kỹ lưỡng phần dữ liệu của mỗi gói. Do đó, DPI không thể phân tích tất cả các gói mạng trong các mạng nặng dữ liệu, khiến nó trở thành một giải pháp không khả thi cho các mạng băng thông cao.
Phương pháp tiếp cận mới: Phân tích siêu dữ liệu
Phân tích siêu dữ liệu đã được phát triển để khắc phục những hạn chế của DPI. Bằng cách sử dụng siêu dữ liệu để phân tích mạng, các nhóm bảo mật có thể giám sát tất cả các liên lạc mạng đi qua bất kỳ mạng vật lý, ảo hóa hoặc mạng đám mây nào mà không cần kiểm tra toàn bộ phần dữ liệu của mỗi gói. Do đó, phân tích siêu dữ liệu không bị ảnh hưởng bởi mã hóa và có thể đối phó với lưu lượng mạng ngày càng tăng. Để cung cấp cho các nhóm bảo mật thông tin về tất cả lưu lượng mạng trong thời gian thực, Phân tích siêu dữ liệu nắm bắt các mảng thuộc tính rộng lớn về truyền thông mạng, ứng dụng và tác nhân (ví dụ: thông tin đăng nhập của người dùng). Ví dụ: đối với mỗi phiên đi qua mạng, địa chỉ IP nguồn / đích, độ dài phiên, giao thức được sử dụng (TCP, UDP) và loại dịch vụ được sử dụng đều được ghi lại. Siêu dữ liệu có thể nắm bắt nhiều thuộc tính chính khác, giúp phát hiện và ngăn chặn hiệu quả các cuộc tấn công mạng nâng cao:
Địa chỉ IP của máy chủ và máy chủ, số cổng, thông tin vị trí địa lý Thiết bị ánh xạ thông tin DNS và DHCP tới địa chỉ IP Truy cập trang web, cùng với URL và thông tin tiêu đề Người dùng ánh xạ hệ thống sử dụng dữ liệu nhật ký DC Các trang web được mã hóa – loại mã hóa, cypher và hash, client / server FQDN Các đối tượng băm khác nhau – chẳng hạn như JavaScript và hình ảnh
Làm cách nào để Nhóm bảo mật có thể hưởng lợi từ NDR dựa trên siêu dữ liệu?
Việc triển khai giải pháp Phát hiện và phản hồi mạng (NDR) dựa trên phân tích Siêu dữ liệu cung cấp cho các nhóm bảo mật thông tin chi tiết đáng tin cậy về những gì xảy ra bên trong mạng của họ – bất kể lưu lượng truy cập có được mã hóa hay không. Phân tích siêu dữ liệu được bổ sung bởi nhật ký hệ thống và ứng dụng cho phép các nhóm bảo mật phát hiện các lỗ hổng và cải thiện khả năng hiển thị nội bộ vào các điểm mù, chẳng hạn như thiết bị CNTT ẩn, được coi là điểm vào phổ biến bị tội phạm mạng khai thác. Khả năng hiển thị toàn diện này là không thể với các giải pháp NDR dựa trên DPI. Ngoài ra, siêu dữ liệu nhẹ cho phép lưu trữ dữ liệu nhật ký hiệu quả của các bản ghi lịch sử, tạo điều kiện thuận lợi cho các cuộc điều tra pháp y. Phân tích DPI nặng về dữ liệu làm cho việc lưu trữ lâu dài dữ liệu lịch sử trên thực tế là không khả thi hoặc rất tốn kém. Cuối cùng, phương pháp siêu dữ liệu cho phép các nhóm bảo mật xác định nguồn gốc của tất cả lưu lượng truy cập đi qua mạng công ty và giám sát hoạt động đáng ngờ trên tất cả các thiết bị được kết nối với mạng, chẳng hạn như thiết bị IoT. Điều này làm cho khả năng hiển thị đầy đủ vào các mạng công ty.
Kết luận: Tương lai của An ninh mạng là phân tích Siêu dữ liệu
Các công cụ NDR dựa trên DPI truyền thống cuối cùng sẽ trở nên lỗi thời đối với an ninh mạng doanh nghiệp khi bối cảnh mối đe dọa mở rộng và nhiều lưu lượng truy cập được mã hóa hơn. Những phát triển này đã được cảm nhận trong toàn ngành an ninh mạng, khi nhiều công ty đang áp dụng các hệ thống bảo mật dựa trên MA để bịt kín các lỗ hổng bảo mật và bảo vệ tài sản kỹ thuật số của họ một cách hiệu quả.
ExeonTrace là một giải pháp NDR hàng đầu dựa trên Phân tích siêu dữ liệu. Không giống như các hệ thống NDR dựa trên DPI truyền thống, ExeonTrace cung cấp khả năng xử lý dữ liệu thông minh, không bị ảnh hưởng bởi mã hóa và không yêu cầu bất kỳ cảm biến phần cứng nào. Hơn nữa, ExeonTrace có thể dễ dàng đối phó với lưu lượng mạng băng thông cao vì nó làm giảm khối lượng mạng và cung cấp khả năng lưu trữ dữ liệu hiệu quả hơn. Do đó, ExeonTrace là giải pháp NDR được lựa chọn cho các mạng công ty phức tạp và băng thông cao.
Nền tảng ExeonTrace: Ảnh chụp màn hình biểu đồ phân tích mạng tùy chỉnh
Đặt bản dùng thử miễn phí để khám phá cách ExeonTrace có thể giúp giải quyết các thách thức bảo mật của bạn và làm cho tổ chức của bạn trở nên linh hoạt hơn trên mạng.
