23. júla 2025 Prečo XDR potrebuje NDR?

Jeho hlavné posolstvo bolo jednoznačné: ak organizácie chcú efektívne chrániť svoju infraštruktúru, nemôžu sa spoliehať len na detekciu hrozieb na koncových zariadeniach. Kľúčom je vidieť a rozumieť tomu, čo sa deje v sieti. 

XDR NESTAČÍ, AK NEVIDÍ DO CELEJ SIETE 

Väčšina organizácií, ktoré nasadzujú XDR (Extended Detection and Response), sa spolieha na údaje z EDR (Endpoint Detection and Response) agentov, teda softvéru bežiaceho priamo na zariadeniach. Ako však Ondovčík zdôraznil, v každej bežnej infraštruktúre sa nachádza 3 až 5-krát viac zariadení, ktoré agenta podporovať nedokážu. Sú to napríklad tlačiarne, IP telefóny, IoT senzory, sieťové zariadenia, ale aj legacy systémy, ktoré sú často podceňované a zraniteľné. 

„Bez sieťovej viditeľnosti riešime len zlomok bezpečnostnej reality,“ uviedol Ondovčík. Práve preto je nevyhnutné doplniť XDR riešenie o komponent NDR (Network Detection and Response). 

SIEŤ AKO ZDROJ PRAVDY 

NDR je postavené na princípe bezagentovej detekcie – využíva sieťovú telemetriu, najmä v podobe NetFlow alebo jeho rozšírených verzií, ktoré poskytujú informácie o tom, kto s kým komunikuje, cez aký protokol, v akom čase a s akým objemom dát. 

Ak sú zariadenia v sieti dostatočne inteligentné, môžu poskytovať ešte hlbší kontext, napríklad typ aplikácie či informácie o používateľoch z RADIUS servera, firewallov alebo cloudových služieb. V prípade, že takáto sieťová infraštruktúra chýba, je možné použiť tzv. flow senzory – softvérové komponenty, ktoré vytvárajú telemetriu na základe zrkadlenia premávky v sieti. 

Sieť má výhodu – vidí všetko. Od centrálneho dátového centra až po posledný access point v malej pobočke. A ak útočník zaútočí na málo chránené zariadenie, ako je čítačka dverí či IP kamera, práve NDR je tým, kto si útok ako jediný všimne. 

Od pasívneho monitoringu k aktívnej reakcii 

NDR neslúži len na spätne vyhľadávanie incidentov. V rukách správcu bezpečnosti sa stáva aj výkonným nástrojom reakcie.

Kvalitné NDR riešenie dnes ponúka: 

• automatickú detekciu anomálií na základe strojového učenia a analýzy správania (behavioral analytics),
• možnosť izolovať kompromitované zariadenia bez potreby zásahu do koncových bodov, 
• plnohodnotnú vizualizáciu sieťovej komunikácie a analytické dashboardy, 
• schopnosť prepájať sieťové dáta s inými systémami (SIEM, XDR, proxy, WAF) pre lepší kontext. 

Ak sa napríklad v sieti objaví zariadenie, ktoré začne komunikovať so známym Command & Control serverom, NDR na základe rozpoznaného vzoru správania vie okamžite zareagovať. Môže buď upozorniť správcu, alebo pri správnej integrácii priamo odoslať pokyn na zablokovanie pripojenia či karanténu zariadenia. 

Kontext a analytika ako základ rozhodovania 

Ďalším dôležitým aspektom je schopnosť NDR spájať informácie z rôznych zdrojov a vytvárať z nich prehľadný celok. Systém by mal dokázať automaticky zjednotiť dáta, vyčistiť ich od duplicít, vyhodnotiť ich závažnosť a vizualizovať ich v prehľadnej forme. 

Zákazníci dnes využívajú NDR nielen na detekciu útokov, ale aj ako „účtovnú knihu“ siete s možnosťou vrátiť sa k histórii komunikácie, napríklad pri riešení incidentov alebo spätnej analýze výpadkov. Ak sa v sieti objaví odchýlka od štandardného správania, napríklad netypicky vysoký objem dát medzi dvoma internými segmentmi, systém na ňu upozorní aj bez prednastaveného pravidla. 

Dá sa NDR nasadiť aj v menšej firme? 

Po prednáške sme sa s Tomášom Ondovčíkom rozprávali aj o praktických otázkach nasadenia NDR. Hovorili sme napríklad o jeho využití v menších firmách, o integrácii s kontajnerovými platformami ako OpenShift, aj o tom, do akej miery musí byť NDR doplnené o ďalšie logy či kontextové vstupy.