اگر مدتی را در داخل SOC خدمات مالی گذراندهاید، احتمالاً این را به طور مستقیم مشاهده کردهاید.
سازمان به صورت کاغذی به خوبی محافظت میشود. کنترلهای محیطی قوی. امنیت نقطه پایانی بالغ. یک SIEM که لاگها را از همه جا جمعآوری میکند. ممیزیهای منظم. گزارشهای منظم. و با این حال، نقضها همچنان اتفاق میافتند. نه به این دلیل که تیمها توانایی ندارند، بلکه به این دلیل که مهاجمان در مکانهایی فعالیت میکنند که ابزارهای سنتی به طور کامل نمیبینند.
آن نقطه کور شبکه است. و تشخیص و پاسخ شبکه (NDR) روشی است که موسسات مالی در نهایت آن را میبندند.
امنیت خدمات مالی بالغ به نظر میرسد، تا زمانی که آزمایش شود
بانکها، بیمهگران و شرکتهای سرمایهگذاری برخی از سازمانهای آگاه به امنیت در جهان هستند. مقررات انضباط را تحمیل میکنند. ریسک سرمایهگذاری را تحمیل میکند.
اما بیشتر پشتههای امنیتی به تدریج رشد کردند. ابزارها برای حل مشکلات خاص در زمانهای خاص اضافه شدند:
- دیوارهای آتش برای کنترل ورود و خروج.
- ابزارهای نقطه پایانی برای متوقف کردن بدافزار.
- SIEM برای متمرکز کردن لاگها و برآورده کردن نیازهای انطباق.
هر لایه کار میکند. مشکل این است که حملات مدرن به این لایهها احترام نمیگذارند. آنها به صورت جانبی حرکت میکنند. از اعتبارنامههای معتبر استفاده میکنند. به آرامی از طریق کانالهای رمزگذاری شده ارتباط برقرار میکنند. تا زمانی که چیزی به وضوح اشتباه به نظر میرسد، مهاجم قبلاً جاسازی شده است.
چگونه حملات مالی واقعی در واقع رخ میدهد
در حوادث واقعی، دسترسی اولیه به ندرت رویداد اصلی است. یک ایمیل فیشینگ موفق میشود. یک اعتبارنامه دوباره استفاده میشود. یک اتصال شخص ثالث سوء استفاده میشود. هیچ یک از اینها بلافاصله هشدار را فعال نمیکند.
آنچه بعداً اتفاق میافتد جایی است که ریسک واقعی وجود دارد:
- سیستمهای داخلی شروع به ارتباط به روشهای ناآشنا میکنند.
- دسترسی ممتاز به تدریج گسترش مییابد، نه به صورت انفجاری.
- دادهها به صورت داخلی قبل از استخراج مرحلهبندی میشوند.
- ارتباطات خارجی با ترافیک رمزگذاری شده عادی ترکیب میشود.
از دیدگاه دیوار آتش یا نقطه پایانی، هیچ چیز به وضوح مخرب به نظر نمیرسد. از دیدگاه رفتار شبکه، همه چیز تغییر کرده است.
چرا ابزارهای سنتی این سیگنالها را از دست میدهند
تشخیص نقطه پایانی طراحی شده متمرکز است. پاسخ میدهد چه اتفاقی در یک دستگاه در حال وقوع است. SIEMها لاگ محور هستند. به شما میگویند سیستمها پس از وقوع چیزی گزارش دادند. هیچ یک طراحی نشدهاند تا به یک سوال حیاتی در محیطهای مالی پاسخ دهند:
آیا این رفتار شبکه برای کسبوکار ما عادی است؟
دیوارهای آتش بر اساس قوانین به ترافیک اجازه میدهند. نقاط پایانی فقط فعالیت خود را میبینند. لاگها فاقد تداوم رفتاری هستند. این تیمهای امنیتی را وادار میکند به جای درک الگوها به قطعات واکنش نشان دهند.
آنچه تشخیص و پاسخ شبکه در واقع اضافه میکند
NDR بر آنچه ابزارهای دیگر برای دیدن آن تلاش میکنند تمرکز میکند: رفتار مداوم شبکه. به جای تکیه بر شاخصهای شناخته شده به تنهایی، NDR یک خط پایه از نحوه تعامل سیستمها، کاربران و خدمات به طور معمول ایجاد میکند. سپس انحرافات مهم را برجسته میکند.
این شامل موارد زیر است:
- ارتباط غیرمنتظره شرق-غرب بین سیستمهای داخلی.
- مسیرهای احراز هویت غیرمعمول و توالیهای دسترسی.
- جلسات رمزگذاری شده ناهنجار و مقاصد.
- جابجایی دادههایی که با گردشهای کاری کسبوکار همسو نیست.
برای موسسات مالی، این زمینه رفتاری اغلب اولین سیگنال قابل اعتماد است که چیزی اشتباه است.
چرا NDR به ویژه در خدمات مالی حیاتی است
1. حرکت جانبی بردار ریسک اولیه است
پس از اینکه مهاجمان جایگاهی به دست آوردند، به ندرت در جای خود میمانند. حرکت داخلی نحوه یافتن ارزش آنها است.
شبکههای مالی متراکم و به شدت به هم متصل هستند، که حرکت جانبی را بدون دید شبکهای گسترده سخت میکند. NDR این مسیرها را به وضوح نشان میدهد.
2. رمزگذاری هم دادهها و هم تهدیدها را پنهان میکند
رمزگذاری در خدمات مالی غیرقابل مذاکره است. اما ابزارهای بازرسی سنتی را نیز کور میکند.
NDR به رمزگشایی همه چیز متکی نیست. متادیتای جلسه، زمانبندی، مقاصد و رفتار را تجزیه و تحلیل میکند تا تهدیدات پنهان در داخل ترافیک رمزگذاری شده را شناسایی کند.
3. محیطهای ترکیبی و شخص ثالث پیچیدگی را افزایش میدهند
خدمات ابری، APIها، شرکای فینتک و عملیات برونسپاری شده اکنون استاندارد هستند. هر اتصال ریسک را معرفی میکند.
NDR دید ثابتی را در سراسر محیطهای داخل، ابر و ترکیبی فراهم میکند و به تیمها کمک میکند بفهمند ترافیک واقعاً چگونه جریان دارد، نه فقط اینکه چگونه معماری شده است.
4. فعالیت داخلی یک مشکل شبکه است
افراد داخلی به ندرت بدافزار مستقر میکنند. آنها از دسترسی سوء استفاده میکنند.
اقدامات آنها به عنوان تغییرات ظریف در رفتار شبکه نشان داده میشود: جایی که متصل میشوند، چند بار و چه چیزی را جابجا میکنند. NDR یکی از معدود کنترلهایی است که طراحی شده است تا این الگوها را زودتر به سطح برساند.
NDR در یک SOC مالی بالغ چگونه به نظر میرسد
در عمل، NDR بخشی از عملیات امنیتی روزانه میشود.
تیمها از آن استفاده میکنند تا:
- هشدارها را قبل از تشدید حوادث اعتبارسنجی کنند.
- حرکت مهاجم را در طول تحقیقات بازسازی کنند.
- تأثیر و شعاع انفجار را قبل از مهار ارزیابی کنند.
- از ممیزیها با شواهد رفتاری مشخص پشتیبانی کنند.
به جای تعقیب هشدارهای منزوی، تحلیلگران از یک نمای منسجم از آنچه در سراسر شبکه اتفاق افتاده کار میکنند. این تحقیقات را کوتاه میکند و اعتماد به تصمیمات پاسخ را بهبود میبخشد.
چگونه NDR در پشتههای امنیتی موجود جای میگیرد
NDR جایگزین SIEM، ابزارهای نقطه پایانی یا پلتفرمهای SOAR نمیشود. آنها را تقویت میکند.
- هشدارهای نقطه پایانی زمینه شبکه به دست میآورند.
- همبستگیهای SIEM آگاه از رفتار میشوند.
- گردشهای کاری پاسخ خودکار با اعتماد بیشتر فعال میشوند.
موسسات مالی که بیشترین ارزش را از NDR به دست میآورند، آن را به عنوان یک لایه دید و هوش رفتار میکنند، نه فقط یک ابزار تشخیص دیگر.
ارزش واقعی NDR
در طول یک حادثه، عدم اطمینان دشمن است. رهبران امنیت فقط به هشدار نیاز ندارند. آنها به پاسخ نیاز دارند:
- چه سیستمهایی درگیر بودند؟
- مهاجم چگونه حرکت کرد؟
- چه دادههایی در معرض خطر بودند؟
NDR آن وضوح را زمانی که بیشترین اهمیت را دارد فراهم میکند. و به طور فزایندهای، موسسات مالی متوجه میشوند که بدون دید سطح شبکه، حتی برنامههای امنیتی با بودجه بهتر با اطلاعات ناقص کار میکنند.
نتیجهگیری
تهدیدات سایبری در خدمات مالی دیگر با حملات پرسر و صدا یا بدافزار واضح تعریف نمیشوند. آنها با ظرافت، صبر و سوء استفاده از اعتماد تعریف میشوند.
تشخیص و پاسخ شبکه به این واقعیت مستقیماً رسیدگی میکند. کمال را وعده نمیدهد. دید را ارائه میدهد.
برای سازمانهای مالی که در حال ارزیابی نحوه تقویت تشخیص و پاسخ بدون بازسازی کامل پشته امنیتی خود هستند، NDR ارزش بررسی جدی را دارد، نه به عنوان یک افزونه، بلکه به عنوان یک لایه پایه.
زیرا اگر نمیتوانید ببینید چه اتفاقی در داخل شبکه شما در حال وقوع است، همیشه با تأخیر واکنش نشان میدهید. و در خدمات مالی، تأخیر گران است.
