Exploring network detection and response technologies : understanding the role of network detection and response and comparing features of available products

Abstract

Nykypäivänä monet tietoturvan uhkakuvat liittyvät tietoverkoissa tapahtuviin hyökkäyksiin. Vastauksena tähän markkinoille on tullut monia verkkoliikenteen valvontaan liittyviä tuotteita, jotka hyödyntävät tekoälyä ja koneoppimista perinteisten sääntöihin ja indikaattorien havainnointiin perustuvan valvonnan lisäksi. Tämän työn tarkoituksena oli selvittää, miten verkkoliikenteen valvontatyökalut (NDR) mahdollistavat paremman tilannekuvan kyberoperaatiokeskukselle ja miten eri tuotteita voi vertailla keskenään. Työ tehtiin Insta Advance Oy:n tilaamana.

Työssä selvitettiin, miten NDR-tuotteet toimivat ja luovat lisää informaatiota muiden tietoturvatyökalujen rinnalla. Lisäksi työssä käsiteltiin erilaisten verkkoympäristöjen tarpeita IT- ja OT-verkkoympäristöjen osalta. Työhön valikoitiin kaksi IT-verkkoihin erikoistunutta ja kaksi OT-verkkoihin erikoistunutta tuotetta. Tuotenimet on sensuroitu ja toimitettu ainoastaan Installe tilaajan toiveesta. Tässä työssä vertailu keskittyi tuotteiden toiminnallisuuksien vertailuun. NDR tuotteiden toiminta pohjautuu verkon tuntemiseen ja normaalista toiminnasta poikkeavan toiminnan havaitsemiseen. Tarpeeksi monipuolisen verkkoliikenteen tuottaminen laboratorioympäristössä olisi ollut haastavaa, joten tuotteiden käytännön vertailu jätettiin tämän työn ulkopuolella tuotantoympäristössä suoritettavalle testijaksolle.

Työn tuloksena todennettiin NDR-tuotteiden asema osana kattavaa kyberturvallisuusvalvontaa. Ratkaisut täydentävät omalta osaltaan tietoturvan tilannekuvaa luoden uusia havainnointi- ja reagoimismahdollisuuksia. Lisäksi työssä esitellään tapoja sopivan tuotteen valintaan.

This work was done for Insta Advance Oy to explore available Network Detection and Response (NDR) solutions. First focus was on how NDR systems can provide broader visibility and new response options for the Security Operation Centers. This was done by evaluating how NDR system can provide additional information to existing security solutions. Considerations were also made on different requirements for IT and OT environments.

This work addresses the question of how to compare different NDR products. Two products focused on IT and two products focused on OT were chosen for comparison. Product names were censored in this work and provided only for Insta. This work concludes results from feature comparisons but unfortunately does not include proof of value evaluations of the products. NDR products working principles rely on learning the network they are monitoring which makes it hard to replicate a complex enough network reliably in lab environment. For this reason, products were not tested in lab environment and proof of value evaluations were left for later when they can be done in actual enterprise network.

As a result, this work shows the need for NDR solutions for providing better visibility over infrastructure for security operations. It also provides things to consider when looking for the right product for the environment.