Интернет с первых дней своего существования в форме Сети агентств перспективных исследовательских проектов (ARPANET) в конце 1960-х годов и до сегодняшнего дня претерпел метаморфозы. История нетворкинга коротка, но чрезвычайно прогрессивна и наполнена множеством прорывов.

Эта быстрая трансформация в сети вывела многие предприятия на более высокие показатели производительности и прибыли, но также и на опасную территорию. Повсеместное использование цифровых технологий сегодня в виде облачных приложений, распределенных и виртуализированных сетей для создания новых бизнес-процессов, продуктов и методов потребления также требует прорыва в области кибербезопасности, особенно по мере увеличения площади поверхности сети.

Чтобы лучше понять проблему, мы должны более подробно рассмотреть, как развивались сети. Одним из основных изменений стал взрывной рост числа конечных точек в организации наряду с исчезновением сетевого периметра. Специалисты по ИТ и безопасности сегодня уже не могут сказать: «Здесь заканчивается моя сеть». Это, без сомнения, усугубилось пандемией Covid-19, но существовало и раньше.

Согласно опросу, примерно 60% организаций с 500 и более сотрудниками в настоящее время управляют более чем 10000 конечными точками. По сути, завеса «корпоративной сети» исчезла навсегда.

Согласно отраслевым исследованиям, 99% кибератак каким-либо образом проходят через сеть. В результате сети становятся кладезем информации о прошлых и будущих потенциальных угрозах. 10 лет назад появился анализ сетевого трафика (NTA), который помог решить проблему обнаружения угроз из сетевых потоков. По мере роста сетевого трафика организации начали использовать NTA в качестве основного инструмента для выявления нарушений. Исследование рынка показало, что 43% организаций по всему миру развернули NTA в качестве первой линии защиты.

По мере роста сетевого трафика растут и шаблоны корреляции и оповещения для групп безопасности. Киберпреступники понимают этот факт лучше, чем кто-либо другой. Киберпреступники используют человеческие слабости чаще, чем уязвимости машины. Согласно исследованиям, 45% предупреждений, генерируемых устройствами безопасности, являются ложными срабатываниями.

Для аналитиков безопасности это большая проблема. По мере увеличения количества ложных срабатываний возрастает и вероятность того, что аналитик, просматривающий эти предупреждения, пропустит реальную угрозу. Аналитики безопасности — люди, и они могут воспринимать только ограниченное количество данных, что выгодно киберпреступникам.

Чтобы свести к минимуму количество ложных срабатываний, технология безопасности должна перейти от простой агрегации журналов к предоставлению контекстной и действенной информации о векторах угроз. Команде безопасности необходим полный контроль и понимание сети, прежде чем они смогут ее защитить. С развитием машинного обучения технология анализа сетевого трафика превратилась в сетевое обнаружение и реагирование (NDR).

Ядром NDR является автоматизированная и адаптивная кибербезопасность. NDR использует метаданные сетевого трафика, машинное обучение и искусственный интеллект для быстрого выявления угроз и автоматизации реагирования. NDR не зависит от предварительно определенных сигнатур для обнаружения угроз, а вместо этого фокусируется на поведенческих характеристиках сетевых данных. Это имеет огромное значение для решения человеческой проблемы в кибербезопасности — не только то, как кибератаки допускаются в сеть, но и то, как кибератаки пропускаются, когда они происходят в сети.

Инструменты NDR предназначены для мониторинга сетевого трафика в режиме реального времени и могут создавать базовые показатели и выдавать предупреждения при обнаружении аномалий. Эти инструменты могут собирать данные из нескольких источников, чаще всего — Netflow, DNS, брандмауэров, IDS/IPS, прокси-серверов и других в сети. Они становятся мощными и полезными для аналитиков безопасности в организации, поскольку они могут отслеживать трафик по всему предприятию через сетевые датчики.

Они могут сопоставить этот огромный объем данных, а затем предоставить как ручные, так и автоматические действия для устранения любых инцидентов безопасности в режиме реального времени. Это не только снижает зависимость от человека, но и сокращает среднее время реагирования (MTTR) на инциденты безопасности. Ожидается, что глобальный рынок NDR вырастет на 17,5% в ближайшее время.

Некоторые из ключевых поставщиков кибербезопасности, внедряющих инновации в этой области — Lumu Technologies, Cisco Secure Network Analytics, Vectra и Extrahop. Поскольку это развивающаяся технология, чтобы завоевать доверие клиентов, некоторые поставщики, такие как Lumu.io, предлагают бесплатный уровень обслуживания для малых, средних и крупных организаций.

Многие из этих поставщиков предлагают широкий спектр вариантов реагирования и координации через обширную экосистему партнеров, с которыми они работают через API. Интегрируясь с существующими решениями SIEM и SOAR, NDR может стать мощным инструментом для получения общей сетевой видимости трафика, возвращая контроль командам безопасности, чтобы они были полностью готовы к обнаружению аномалии.

Вывод

Вероятно, в ближайшем будущем NDR будет играть все более важную роль в обеспечении безопасности организаций. Синергия NDR с Endpoint Detection & Response (EDR), Security Incident & Event Management (SIEM) и появляющимся сегментом расширенного обнаружения и реагирования (XDR) делает его хорошим вариантом для рассмотрения при принятии решений по безопасности в будущем.

Однако крайне важно осознавать, что NDR не является панацеей и имеет такой ​​же потенциал, как и базовые возможности искусственного интеллекта и машинного обучения. Текущие игроки рынка активно работают над тем, чтобы выделиться за счет превосходных возможностей машинного обучения. Это обещает быть захватывающей технологией, за которой стоит следить.

Какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных, DDoS-атаки или вирусы, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка и тестирование программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.