W obliczu częstych ataków ukierunkowanych z użyciem złośliwego oprogramowania poprzez ruchy boczne w sieci LAN, poleganie wyłącznie na rozwiązaniu zapory sieciowej na obrzeżach sieci lokalnej nie zapewnia już wystarczającego bezpieczeństwa. Jeśli niemożliwe będzie odpowiednio wczesne wykrycie zagrożenia i obrona przed nim, firma będzie zagrożona, a czas i koszty związane z przywróceniem infrastruktury IT i reputacji będą znaczne.
Firma QNAP, dostawca rozwiązań sieciowych i pamięci masowej do ochrony danych dla organizacji różnej wielkości, wprowadziła zarządzany przełącznik PoE QGD 1602P z funkcjami NDR (wykrywanie i reagowanie na zagrożenia w ruchu sieciowym) na potrzeby szybkiego wykrywania zagrożeń ze strony ukierunkowanego oprogramowania typu ransomware i innych zagrożeń, a także wczesnego ostrzegania przed nimi.
Czym jest technologia Network Detection and Response?
Obok rozpowszechnionej już technologii monitorowania hostów i reagowania na wykryte zagrożenia (EDR) rozwinęły się również technologie skupione na analizie ruchu sieciowego w czasie rzeczywistym i do takich zalicza się monitorowanie ruchu sieciowego i wykrywanie zagrożeń (NDR).
Jej głównym celem jest wykrywanie i reagowanie na nietypowe zachowania w sieci, które mogą wskazywać na zagrożenia, takie jak ataki malware, ataki ukierunkowane, nadużycia wewnętrzne czy ryzykowne zachowania użytkowników. NDR wykorzystuje zaawansowane techniki analizy behawioralnej i uczenia maszynowego, aby tworzyć modele normalnego zachowania sieci i identyfikować anomalie. Dzięki temu możliwe jest wykrywanie zarówno znanych, jak i nieznanych zagrożeń, które mogą być trudne do zidentyfikowania za pomocą tradycyjnych metod opartych na sygnaturach.
Na rynku obecnie jest wiele rozwiązań klasy NDR z zaawansowanymi funkcjami, w tym AI, które wymagają operatorów z wysokimi kompetencjami i są stosunkowo drogie patrząc z perspektywy małych i średnich firm do zastosowania w ich infrastrukturze sieciowej. Przykładowo wiele firm produkcyjnych, które podlegają wymogom dyrektywy NIS2, poszukuje narzędzi do monitorowania sieci IT i OT oraz wykrywania niepożądanych aktywności w nich, by mieć możliwość wychwycenia incydentów, które będą musiały raportować.
Co proponuje firma QNAP dla sektora SMB?
Część dostawców rozwiązań cyberbezpieczeństwa zaczęła dostarczać również mniej zaawansowane narzędzia klasy NDR, które szczególnie mniejsze firmy mogą wdrożyć w ramach możliwości swojego personelu IT, pozwalające na ochronę wybranych zasobów sieciowych. Takie podejście zastosowała firma QNAP, by chronić prywatne i poufne dane na serwerach NAS i serwerach w sieci lokalnej przed złośliwymi atakami.
Aplikację ADRA NDR zaprojektowano do zastosowania na dostosowanym do tego celu przełączniku QNAP z myślą o szybkim testowaniu i badaniu sieci, integrując wiele funkcji wykrywania, analizy i reagowania. Może wykrywać aktywność ze strony oprogramowania ransomware w sieciach lokalnych lub blokować podejrzane działania, aby pomóc średnim przedsiębiorstwom i małym firmom w zapobieganiu wyciekom poufnych danych i ograniczaniu rozprzestrzeniania się oprogramowania ransomware w sieci lokalnej.
Przełącznik QGD 1602P posiada fabrycznie wbudowany system operacyjny QTS do uruchamiania wszechstronnego oprogramowania QNAP i aplikacji VM, takich jak:
- QuWAN – rozwiązanie QNAP SD-WAN – która zapewnia topologię VPN IPsec z pełną siatką połączeń pomiędzy urządzeniami QNAP zlokalizowanymi w wielu lokalizacjach, aby spełnić potrzeby w zakresie połączeń wideo, VoIP, systemów ERP i archiwizacji,
- zapory MikroTik RouterOS, OpenWrt lub pfSense – przełącznik ten może zapewniać elastyczne funkcje routingu, chronić sieci lokalne i stosować wiele zasad bezpieczeństwa,
- obsługuje także platformę zarządzania siecią Zabbix, która pomaga personelowi IT automatycznie wykrywać podłączone serwery/urządzenia zgodne ze standardem SNMP i monitorować stan sieci.
Na przełączniku QGD 1602P istnieje możliwość zainstalowania oprogramowania ADRA Network Detection and Response (NDR) w celu ochrony podłączonych urządzeń, co wymaga zakupu dedykowanej subskrypcji ADRA NDR.
Uwaga: Po aktualizacji do ADRA NDR, przełącznik QGD nie obsługuje QTS i maszyn wirtualnych (następuje zmiana systemu z QTS na QNE).
ADRA NDR proaktywnie wskazuje i automatycznie blokuje podejrzany ruch w sieci lokalnej, korzystając z szybkiego skanowania i pułapek na zagrożenia, chroniąc prywatne i poufne dane przed złośliwymi atakami.
Oprogramowanie ADRA NDR sprawdza pod kątem podejrzanych działań określone pakiety sieciowe przechodzące przez przełączanie w warstwach 1-7. Jako że sprawdza tylko część ruchu sieciowego, nie ma to wpływu na przepustowość wysokowydajnych pamięci masowych i usług. Zapewnia ochronę wszystkich podłączonych urządzeń końcowych, takich jak komputery, serwery, NAS, drukarki i kamery IP.
Pułapka na zagrożenia (trap) to dedykowany kontener symulujący kilka popularnych usług jako przynęt dla złośliwego oprogramowania w celu zainicjowania ataku. Po zainicjowaniu ataku, rozwiązanie ADRA NDR będzie mogło wykryć podejrzaną aktywność i powiadomić administratora o obecności intruza wewnątrz sieci IT.
W przypadku wykrycia podejrzanej aktywności, pakiety ruchu sieciowego są analizowane za pomocą Dogłębnej analizy zagrożenia i Analizy korelacji zagrożenia. Celem jest określenie typu ataku złośliwego oprogramowania i ocena związanego z nim poziomu ryzyka.
Pulpit administratora w ADRA NDR jest dostępny w wielu językach, w tym języku polskim. To kolejny czynniki pozwalający polskim, mniejszym firmom z podstawową obsługą IT na sprawne reagowanie na wykryte zagrożenia.
Po zdefiniowanu zagrożenia jako średnie lub wysokie, ADRA NDR automatycznie powiadamia lub blokuje zainfekowane urządzenia, zapewniając jednocześnie połączenia innych urządzeń. Wychwycenie podejrzanych działań przez funkcję Wykrywania zagrożeń powoduje, że rozwiązanie ADRA NDR bezpośrednio powiadamia lub blokuje zainfekowane urządzenia bez konieczności analizowania procesu.
Dla przedsiębiorstw o średniej i dużej infrastrukturze LAN, QGD-1602P może być wdrożony jako przełącznik dostępowy na potrzeby podłączenia wszystkich urządzeń końcowych. Zapewni to kompleksową ochronę w sieci LAN.
