Richard Bejtlich, weteran dziedziny cyberbezpieczeństwa i autor licznych publikacji o operacjach SOC, opisuje współczesną erę jako „Mythos Era” – okres, w którym organizacje gromadzą ogromne ilości danych telemetrycznych z endpointów, chmury i narzędzi SIEM, lecz nadal nie potrafią odpowiedzieć na fundamentalne pytania podczas dochodzenia: skąd przyszedł atakujący, dokąd poszedł i co exfiltryował. Dla polskich firm B2B budujących lub rozwijających centra operacji bezpieczeństwa, jego argumentacja za Network Detection and Response (NDR) jest szczególnie aktualna.
Problem nadmiaru alertów bez kontekstu
Typowy SOC w 2026 roku otrzymuje tysiące alertów dziennie z EDR, firewalli, systemów IAM i platform chmurowych. Analitycy spędzają większość czasu na triażu fałszywych pozytywów i zamykaniu ticketów, zamiast prowadzić głębokie dochodzenia. Bejtlich wskazuje, że EDR widzi to, co dzieje się na hoście – ale nie widzi pełnego obrazu ruchu sieciowego: lateral movement między segmentami, tuneli DNS, protokołów niestandardowych i komunikacji z serwerami C2 maskowanej jako ruch HTTPS.
NDR uzupełnia tę lukę poprzez analizę ruchu sieciowego w czasie rzeczywistym – na poziomie pakietów, przepływów i zachowań. Rozwiązania te wykorzystują machine learning i reguły behawioralne do wykrywania anomalii, których sygnatura na endpoincie może być niewidoczna lub celowo ukryta przez atakującego.
Co NDR odpowiada, czego EDR nie widzi
- Lateral movement – ruch między serwerami w tej samej podsieci bez logowania na endpoincie.
- Data exfiltration – wzorce wysyłania dużych ilości danych na zewnętrzne adresy IP.
- DNS tunneling – ukrywanie kanału C2 w zapytaniach DNS.
- Shadow IT – nieautoryzowane urządzenia i usługi w sieci korporacyjnej.
Architektura SOC oparta na NDR
Bejtlich rekomenduje traktowanie NDR jako warstwy uzupełniającej, nie zastępującej EDR i SIEM. Integracja polega na korelacji alertów sieciowych z zdarzeniami endpointowymi – np. alert NDR o nietypowym ruchu HTTPS z serwera bazodanowego uruchamia automatyczne zbieranie artefaktów z hosta przez EDR. Taki model skraca czas dochodzenia z godzin do minut.
Organizacje bez wewnętrznego SOC mogą korzystać z usług MDR opartych na NDR, gdzie dostawca zapewnia zarówno sensor sieciowy, jak i zespół analityków. W kontekście infrastruktury IT projektujemy architektury monitorowania, które łączą NDR z istniejącymi inwestycjami w SIEM i EDR bez duplikacji kosztów.
Wdrożenie NDR w praktyce
Pierwszym krokiem jest mapowanie ruchu sieciowego w organizacji – baseline normalnego zachowania. NDR wymaga punktów nasłuchu (span porty, TAP-y, wirtualne sensory w chmurze) oraz polityk retencji danych zgodnych z RODO. Zespoły powinny zdefiniować playbooks łączące alerty NDR z procedurami izolacji segmentów sieci i eskalacji do IR.
Dla firm z hybrydową infrastrukturą (on-premise + chmura) NDR musi obejmować ruch east-west w data center oraz ruch do usług SaaS. Rozwiązania chmurowe oferują wirtualne sensory, lecz wymagają świadomej konfiguracji – domyślne ustawienia często nie obejmują pełnej widoczności.
Era Mythos a odpowiedzialność CISO
Bejtlich używa terminu „Mythos” nie bez powodu – odnosi się do mitu, że samo posiadanie narzędzi bezpieczeństwa gwarantuje ochronę. CISO, który raportuje zarządowi liczbę zainstalowanych agentów EDR i liczbę reguł SIEM, ale nie potrafi w ciągu godziny odpowiedzieć „czy dane klientów wyciekły”, operuje w tej właśnie iluzji. NDR daje język i dane do rozmowy z zarządem opartej na faktach, nie na metrykach narzędziowych.
Polskie organizacje objęte NIS2 i KSC2 powinny traktować widoczność sieciową jako element wymagany do wykazania skuteczności środków technicznych. Audytorzy coraz częściej pytają nie tylko „czy macie EDR”, lecz „czy potraficie prześledzić pełną ścieżkę ataku przez sieć”.
NDR a istniejące inwestycje w SIEM
Organizacje, które zainwestowały w SIEM, często pytają, czy NDR nie duplikuje funkcjonalności. Odpowiedź Bejtlicha jest jasna: SIEM agreguje logi z wielu źródeł, ale nie widzi ruchu, który nie generuje logów – np. lateral movement przez protokoły niestandardowe. NDR dostarcza danych, których logi endpointowe nie uchwycą. Integracja NDR → SIEM (alert enrichment) maksymalizuje wartość obu inwestycji bez konieczności wymiany platformy.
Dla średnich firm B2B bez budżetu na pełny SOC, NDR-as-a-Service od dostawców MDR może być punktem wejścia – niższy koszt niż budowa własnego zespołu analityków sieciowych, a znacząca poprawa widoczności w porównaniu z samym EDR.
Wybór rozwiązania NDR powinien uwzględniać skalę organizacji: małe firmy mogą zacząć od cloud-delivered NDR, średnie od hybrid (on-premise sensors + cloud analytics), duże od pełnego deploymentu z dedykowanym zespołem network security. Proof of concept na jednym segmencie sieci przez 30 dni pozwala ocenić false positive rate przed pełnym wdrożeniem – kluczowy parametr wpływający na obciążenie SOC.
Podsumowanie
Argumentacja Bejtlicha za NDR to wezwanie do dojrzałości operacyjnej SOC – od reagowania na alerty do pełnego zrozumienia ruchu sieciowego. Firmy B2B powinny ocenić luki widoczności w swojej architekturze i zaplanować wdrożenie NDR jako uzupełnienia EDR. Oferujemy wsparcie w projektowaniu i wdrożeniu rozwiązań monitorowania w ramach rozwiązań AI i bezpieczeństwa oraz usług IT dla firm.
Źródło: The Hacker News – Surviving the Mythos Era: Richard Bejtlich on the Case for NDR