0
0
Resumo
Nos complexos ambientes de TI de hoje, as soluções de Detecção e Resposta de Rede (NDR) são cruciais para identificar, avaliar e responder às ameaças cibernéticas. Muitas soluções NDR dependem da tecnologia DPI (Deep Packet Inspection, inspeção profunda de pacotes), que utiliza espelhamento de tráfego para analisar a carga útil de cada pacote que passa por um sensor espelhado ou interruptor central.
O DPI tornou-se popular, pois fornece análises de tráfego muito detalhadas. No entanto, essa abordagem requer sensores de hardware designados e grandes quantidades de poder de processamento, ao mesmo tempo em que é cego para o tráfego de rede criptografado e apenas analisando dados fluindo sobre a infraestrutura espelhada.
A análise de metadados (MA) supera essas limitações para fornecer visibilidade detalhada e enriquecida por insights em toda a rede. Além disso, o MA não é completamente afetado pela criptografia e pelo tráfego de rede cada vez maior. Essas vantagens tornam as soluções NDR baseadas em MA uma alternativa superior e à prova de futuro para a solução NDR, contando com uma inspeção profunda de pacotes.
As organizações modernas são caracterizadas por ambientes complexos de TI e expansão de superfícies de ataque. Para se protegerem, eles precisam de uma arquitetura cibernética robusta com uma solução confiável de detecção e resposta de rede (NDR). O NDR é crucial para detectar comportamentos suspeitos e atores maliciosos, e responder rapidamente a ameaças. As ferramentas NDR analisam continuamente o tráfego para construir modelos de comportamento “normal” em redes corporativas, detectar tráfego suspeito e levantar alertas.
As soluções tradicionais de NDR dependem de uma inspeção profunda de pacotes (DPI). Essa abordagem suporta análises detalhadas e, portanto, tornou-se bastante popular. Mas à medida que os volumes de dados aumentam e o tráfego de rede se torna cada vez mais criptografado, essas soluções estão se tornando inadequadas para proteger as redes corporativas que avançam. O que as organizações precisam agora é de uma solução NDR mais à prova de futuro, contando com a análise de metadados.
Neste artigo, exploramos e comparamos duas abordagens ndr: inspeção profunda de pacotes e análise de metadados. Examinaremos por que a análise de metadados é uma tecnologia de detecção superior para proteger as redes de TI/OT contra ameaças cibernéticas avançadas.
O que é inspeção profunda de pacotes e como funciona?
Deep packet inspection is the traditional approach to NDR. DPI monitors enterprise traffic by inspecting the data packets flowing across a specific connection point or core switch. It evaluates the packet’s entire payload, i.e., its header and data part to look for intrusions, viruses, spam, and other issues. If it finds such issues, it blocks the packet from going through the connection point.
DPI relies on traffic mirroring. In effect, the core switch provides a copy (“mirror”) of the network traffic to the sensor that then uses DPI to analyse the packet’s payload. Thus, DPI provides rich information and supports detailed analysis of each packet on the monitored connection points. This is one of its biggest benefits.
No entanto, suas desvantagens superam esse benefício. À medida que o tráfego de rede continua a aumentar e os ambientes de TI se tornam cada vez mais complexos e distribuídos, o DPI está chegando aos seus limites.
Por que o DPI não pode detectar ou prevenir ataques cibernéticos avançados
Uma desvantagem crítica do DPI é que ele requer grandes quantidades de poder de processamento para inspecionar e analisar completamente a seção de dados dos pacotes. Em redes pesadas de dados, ele não pode inspecionar todos os pacotes de rede, tornando-o inadequado para redes de alta largura de banda.
Além disso, fornece apenas uma análise detalhada do tráfego de rede transmitido e fluindo através dos interruptores do núcleo monitorado. À medida que cada vez menos o tráfego de rede está fluindo através dos switches principais, o DPI oferece visibilidade limitada na rede de TI.
Além disso, o DPI é cego quando se trata de analisar o tráfego de rede criptografado. A criptografia tornou-se um componente crucial dos controles de privacidade e segurança cibernética online. No entanto, também permite que cibercriminosos lancem ataques cibernéticos devastadores. Na verdade, a maioria dos ataques cibernéticos modernos, incluindo ransomware, movimento lateral e Ameaças Persistentes Avançadas (APT) utiliza fortemente a criptografia em suas rotinas de ataque. Como o DPI não foi construído para analisar o tráfego criptografado, essa limitação pode criar sérias lacunas de segurança para as empresas modernas.
O DPI também é inadequado em ambientes corporativos que usam aplicativos Software as a Service (SaaS) e outros ativos não “de propriedade” da empresa. As ferramentas de DPI não podem fornecer visibilidade adequada a esses ativos, o que deixa a organização vulnerável a ataques lançados através desses aplicativos de terceiros. Este é um dos inúmeros desafios de segurança cibernética da CISO, onde o DPI não fornece a assistência que deveria.
Uma abordagem mais robusta para o NDR: análise de metadados
A abordagem de análise de metadados (MA) utilizada entre outras pela ExeonTrace pode efetivamente abordar as limitações do DPI. Ao contrário do DPI, que só inspeciona o tráfego que flui através de switches centrais espelhados, o MA analisa dados de registro de várias fontes de rede (Switches, logs de nuvem, firewalls etc.) para fornecer visibilidade em toda a rede. Além disso, o MA não requer sensores de hardware designados, não é afetado pela criptografia e pode lidar efetivamente com o tráfego de rede cada vez maior. A solução DE MA registra e analisa vários tipos de dados para cada pacote que passa pela rede e captura atributos sobre comunicações de rede, aplicativos e até atores.
Com base nessas informações, a MA fornece uma análise extensiva sem retardar a rede. A análise de metadados fornece visibilidade para toda a rede, tornando o MA ideal para redes distribuídas e de alta largura de banda. Além disso, uma vez que o MA não é completamente afetado pela criptografia, ele pode detectar, prevenir e abordar ataques cibernéticos de forma mais eficaz escondidos atrás do tráfego criptografado. Consequentemente, a MA não sofre das limitações impostas ao NDR pelo DPI.
Como as equipes e organizações de segurança podem se beneficiar da análise de metadados
Ao contrário do DPI, as soluções NDR baseadas em MA oferecem recursos robustos e à prova de futuro para proteger as organizações contra ameaças cibernéticas conhecidas e desconhecidas. Como vimos, o MA pode lidar com o tráfego de rede cada vez maior e não são afetados pela criptografia, permitindo que as organizações detectem e evitem até mesmo os ataques cibernéticos mais avançados.
Quando o MA é complementado por logs de sistema e aplicativos, ele permite insights mais ricos, profundos e mais acionáveis do que o DPI. As equipes de segurança podem detectar vulnerabilidades de forma eficaz e consistente e obter melhor visibilidade nos pontos cegos de segurança corporativa (por exemplo, shadow IT), que é um ponto de entrada comum que é explorado por cibercriminosos. Eles podem monitorar continuamente atividades suspeitas em todos os dispositivos e pontos finais conectados a ele. Essa visibilidade holística, abrangente e confiável simplesmente não é possível com o DPI.
Finalmente, a análise do DPI é pesada em dados, tornando difícil e caro armazenar registros históricos para investigações futuras. Ma, no entanto, é tipicamente “leve”, o que torna fácil e barato armazenar e revisar mais tarde para investigações forenses.
À medida que o cenário de ameaças se expande, as organizações não podem mais se dar ao luxo de continuar a depender do NDR baseado em DPI. Para se preparar para o futuro e ficar à frente dos bandidos, eles precisam adotar uma solução NDR baseada em MA como a ExeonTrace.
FONTE: HELPNET SECURITY