Network Detection and Response (NDR) دسته ای از محصولات امنیتی شبکه است که برای تشخیص رفتار ترافیک غیرعادی (Abnormal) برای کمک به شناسایی حملات فعال در شبکه طراحی شده است.
مهاجمان با مهارت های بالا از تکنیک های پیچیده ای برای جلوگیری از شناسایی در شبکه استفاده میکنند، اما در نهایت برای انجام یک حمله نیاز به حرکت در سراسر شبکه یا ارتباط با خارج از شبکه دارند NDR .معمولاً در داخل شبکه قرار میگیرد و از حسگر (Sensor) هایی استفاده میکند که ترافیک شبکه را برای شناسایی این نوع فعالیتهای مشکوک بررسی و تحلیل میکنند. محصولات NDR سالهاست که وجود داشتهاند و Sophos NDR از اوایل سال 2023 بخشی از مجموعه محصولات MDR/XDR سوفوس بوده است. با این حال، شرکت سوفوس در نسخه 21.5 از محصولات سخت افزاری فایروال سوفوس قابلیت NDR را بدون هزینه اضافی و از طریق لایسنس Xstream Protection در اختیار کاربران قرار داده است.
ادغام NDR با فایروال نسل بعدی (NGFW) ممکن است یک انتخاب جدی به نظر برسد، اما چالش اینجاست که تنظیمات را به گونه ای انجام دهیم که بر عملکرد فایروال سوفوس تأثیری نداشته باشد، زیرا تجزیه و تحلیل ترافیک NDR به قدرت پردازش قابل توجهی نیاز دارد. از این رو، سوفوس رویکرد جدیدی را برای استقرار راه حل NDR در Sophos Cloud اتخاذ کرده است تا بار تجزیه و تحلیل ترافیک NDR از فایروال سوفوس برداشته شود.
در نسخه 21.5 فایروال سوفوس، پلتفرم تشخیص و پاسخ شبکه ابری جدید بنام NDR Essentials معرفی شده است تا از جدیدترین تشخیصهای هوش مصنوعی برای کمک به شناسایی دشمنان فعال استفاده کند و این اطلاعات را با استفاده از اطلاعات تهدید فایروال سوفوس به عنوان بخشی از پاسخ تهدید فعال به اشتراک میگذارد تا شما را از هرگونه شناسایی و خطرات نسبی آنها مطلع کند.
فایروال سوفوس همه اطلاعات از ترافیک های رمزگذاری شده و جستجوهای DNS، استخراج و آن اطلاعات را به NDR Essential در کلود سوفوس ارسال میکند.
در آنجا، داده ها با استفاده از چندین موتور هوش مصنوعی تجزیه و تحلیل می شوند و میتوانند پیلود های رمزگذاری شده مخرب را بدون انجام رمزگشایی TLS و همچنین دامنههای جدید و غیرمعمول ایجاد شده از طریق الگوریتمهایی که اغلب یک شاخص کلیدی برای سازش (IOC) هستند، شناسایی کند. استخراج متا داده ها توسط یک موتور سبک وزن جدید اجرا شده در Xstream FastPath انجام می شود .
در نظر داشته باشید این قابلیت جدید فقط در سخت افزاری سری XGS فایروال سوفوس در دسترس است. فایروال های مجازی، نرم افزاری و ابری ممکن است این قابلیت یکپارچه سازی NDR را در آینده دریافت کنند.
فید تهدید جدید NDR Essentials فایروال سوفوس در کنار سایر فیدهای تهدید موجود (Sophos X-Ops ، MDR) و فیدهای شخص ثالث (در ناحیه Active Threat Response فایروال، همانطور که در تصویر صفحه بالا نشان داده شده است، مدیریت می شود. راه اندازی ساده است و فقط کافی است toggle را روشن کنید، می توانید انتخاب کنید که کدام رابط های داخلی نظارت شود و حداقل آستانه برای تشخیص خطر را مشخص کنید.
در قسمت NDR Essentials در فایروال سوفوس Minimum threat score در محدوده ای از 1 (کم خطر) تا 10 (بالاترین خطر) امتیازدهی می شود، که امتیاز ریسک، آستانه هشدار را بر اساس محیط خاص شما تعیین می کند. پیش فرض توصیه شده عدد 9 تا 10( پرخطر است) می باشد.
Sophos NDR برای قرار گرفتن در اعماق شبکه طراحی شده است تا بتواند فعالیتهای مشکوک و جریانهای ترافیکی را که هم از شمال به جنوب (یا داخل به خارج) و هم جریانهای شرقی _ غربی که در داخل شبکه LAN عبور میکنند، نظارت و شناسایی کند. همانطور که می دانید یک فایروال برای قرار گرفتن در دروازه شبکه و بررسی ترافیک شمال به جنوب طراحی شده است. بنابراین، NDR Essential فایروال سوفوس در دروازه شبکه به اندازه یک راه حل کامل NDR که در داخل شبکه قرار دارد، دید کامل و کافی ندارد. راه حل کامل Sophos NDR سوفوس دارای پنج موتور تشخیص هوش مصنوعی مختلف است. در این نسخه اولیه NDR Essentials موجود در فایروال سوفوس، دو موتوری را که بیشترین ارتباط و تأثیر را در بازرسی ترافیک دروازه دارند، پیادهسازی شده است. موتور تحلیل بار رمزگذاری شده (Encrypted Payload Analysis engine) و موتور الگوریتم تولید دامنه (Domain Generation Algorithm engine).
در این مرحله، Sophos NDR با موتورهای اضافه شده خود، پوشش عمیق تر و قابلیتهای تشخیص بیشتری نسبت به NDR Essentials فایروال سوفوس ارائه میکند.
به طور خلاصه، NDR Essentials یک لایه اضافی عالی از تشخیص تهدید فعال را برای فایروال سوفوس فراهم می کند و این کار را بدون هزینه اضافی و بدون تاثیر بر عملکرد و Performance دستگاه فایروال و شبکه انجام می دهد. با این حال، این راهکار جایگزینی برای اجرای راهکار کامل و جامع Sophos NDR و برای مشتریانی که از پلتفرم XDR یا خدمات MDR سوفوس استفاده می کنند، نخواهد بود.
شرکت برنا رهپو موفق به انجام پروژه های متعددی در حوزه راه اندازی و نگهداری از فایروال ها و UTM ها گریده است. همچنین این شرکت جهت ارائه خدمات در بالاترین سطح اقدام به اخذ نمایندگی رسمی برندهای معتبری نظیر کسپرسکی، ولیکس، سیفتیکا و … نموده است.
