NDR: βλέπει την κακόβουλη κίνηση ή υπάρχουν τυφλά σημεία;

Το παρακάτω σενάριο είναι ανώνυμο και βασίζεται σε ελεγχόμενη, εξουσιοδοτημένη αξιολόγηση ασφαλείας. Δεν περιλαμβάνει πραγματικά στοιχεία πελάτη, πραγματικές διευθύνσεις, domains, credentials ή ευαίσθητες τεχνικές λεπτομέρειες — μόνο μοτίβα έκθεσης που συναντά συχνά η Audax σε έργα υπό NDA.

Οι περισσότεροι έλεγχοι ανίχνευσης εστιάζουν στο endpoint (EDR) και στα logs (SIEM). Όμως ένα μεγάλο μέρος της δραστηριότητας ενός αντιπάλου συμβαίνει στο δίκτυο: αναγνώριση, lateral movement, command-and-control, εξαγωγή δεδομένων. Εδώ μπαίνει το NDR (Network Detection & Response), που παρακολουθεί τη δικτυακή κίνηση — ιδίως την east-west (μεταξύ εσωτερικών συστημάτων) — για να εντοπίσει ό,τι δεν φαίνεται στο endpoint.

Το πρόβλημα είναι ότι το NDR αξίζει όσο η ορατότητά του. Αν υπάρχουν τμήματα δικτύου, VLANs, cloud segments ή κρυπτογραφημένη κίνηση που δεν παρακολουθούνται, ένας αντίπαλος μπορεί να κινείται μέσα από τυφλά σημεία εντελώς απαρατήρητος. Η ύπαρξη ενός NDR εργαλείου δεν εγγυάται ότι βλέπει την κίνηση που έχει σημασία.

Η επικύρωση ανίχνευσης δικτύου δεν αποδεικνύεται από το dashboard του NDR. Αποδεικνύεται όταν εισαχθεί ελεγχόμενα ρεαλιστική, κακόβουλου τύπου κίνηση σε διαφορετικά σημεία του δικτύου και μετρηθεί αν, πού και πόσο γρήγορα ανιχνεύεται. Η Audax, με υποστήριξη του Erevos AI, χαρτογραφεί την πραγματική ορατότητα δικτύου.

Το επιχειρησιακό πρόβλημα

Η αδυναμία ανίχνευσης στο δίκτυο είναι κρίσιμη γιατί καλύπτει τη φάση όπου ο αντίπαλος επεκτείνεται.

Τυφλά σημεία: τμήματα δικτύου, VLANs ή cloud segments χωρίς παρακολούθηση.
East-west κενά: ορατότητα στην είσοδο/έξοδο αλλά όχι στην εσωτερική πλευρική κίνηση.
Κρυπτογραφημένη κίνηση: δραστηριότητα που το NDR δεν αναλύει ή δεν συσχετίζει.
Θόρυβος vs σήμα: ανιχνεύσεις που δεν δρομολογούνται σε απόκριση.

Η ουσία: χωρίς επικύρωση, δεν γνωρίζετε αν το NDR σας θα δει έναν αντίπαλο που κινείται πλευρικά — ή αν αυτός θα περάσει αόρατος μέσα από ένα τυφλό σημείο.

Το σενάριο που πρέπει να ελεγχθεί

Το ερώτημα δεν είναι «έχουμε NDR;» αλλά: «αν ένας αντίπαλος κινηθεί μέσα στο δίκτυό μας — αναγνώριση, lateral movement, C2 — θα τον δούμε σε κάθε τμήμα, και πόσο γρήγορα;»

Σε υψηλό επίπεδο, η ελεγχόμενη και εξουσιοδοτημένη αξιολόγηση εισάγει ρεαλιστική, κακόβουλου τύπου δικτυακή δραστηριότητα σε διαφορετικά σημεία και τμήματα του δικτύου. Στη συνέχεια μετράει αν το NDR την ανιχνεύει, σε ποια σημεία υπάρχει ορατότητα και πού όχι, και πόσο γρήγορα η ανίχνευση οδηγεί σε απόκριση. Δεν εκτελούνται καταστροφικές ενέργειες· η εστίαση είναι στη μέτρηση της ορατότητας και της ανίχνευσης.

Ανωνυμοποιημένο attack path με κίνηση μέσα στο δίκτυο σε σημεία με ή χωρίς ορατότητα NDR — Ανωνυμοποιημένο attack path του σεναρίου, όπως αποτυπώνεται από το Erevos AI.

Τακτική (Tactic)	ATT&CK ID	Τεχνική	Τι σημαίνει στο σενάριο
Discovery	T1046	Network Service Discovery	Ελεγχόμενη αναγνώριση για έλεγχο ορατότητας (synthetic).
Lateral Movement	T1021	Remote Services	Πλευρική κίνηση προς έλεγχο east-west ανίχνευσης.
Command and Control	T1071	Application Layer Protocol	Ελεγχόμενη C2-like κίνηση (synthetic).
Command and Control	T1573	Encrypted Channel	Έλεγχος ορατότητας σε κρυπτογραφημένη κίνηση.
Exfiltration	T1041	Exfiltration Over C2 Channel	Έλεγχος ανίχνευσης εξαγωγής (synthetic).

MITRE ATT&CK mapping του σεναρίου (ελεγχόμενη προσομοίωση).

Τι επικυρώνει το Erevos AI

Η πλατφόρμα Erevos AI μετράει την ορατότητα και την ανίχνευση δικτύου ως χάρτη κάλυψης, όχι ως αριθμό αισθητήρων. Επικυρώνει:

Κάλυψη NDR ανά τμήμα δικτύου (north-south & east-west, cloud).
Ποσοστό ανίχνευσης ρεαλιστικών τεχνικών δικτύου ανά σημείο.
Τυφλά σημεία όπου η κίνηση περνά απαρατήρητη.
Χρόνο ανίχνευσης & δρομολόγησης προς απόκριση.
Επιχειρησιακή επίπτωση & προτεραιότητα διόρθωσης ανά κενό ορατότητας.

Έτσι ο οργανισμός βλέπει το δίκτυό του όχι ως ενιαίο «προστατευμένο» χώρο, αλλά ως χάρτη ορατότητας με συγκεκριμένα κενά προς κάλυψη.

Συνθετικό dashboard Erevos AI με δείκτες κάλυψης και ανίχνευσης NDR στη δικτυακή κίνηση — Ενδεικτικό, συνθετικό dashboard του Erevos AI με τους δείκτες έκθεσης.

Δείκτης (Erevos AI)	Τιμή	Σοβαρότητα	Τι σημαίνει για τη διοίκηση
NDR Coverage	63%	Υψηλή	Τμήματα δικτύου χωρίς ορατότητα.
East-West Detection	Μερική	Υψηλή	Πλευρική κίνηση μερικώς αόρατη.
Blind Segments	4	Κρίσιμη	Τμήματα χωρίς καμία παρακολούθηση.
Detection MTTD	26′	Μέτρια	Καθυστέρηση ανίχνευσης δικτυακής δραστηριότητας.
Remediation Priority	P1	Υψηλή	Επέκταση κάλυψης & tuning ανίχνευσης.

Ενδεικτικό risk scoring — συνθετικές, ανωνυμοποιημένες τιμές για επεξήγηση.

Πώς εκτελείται η αξιολόγηση από την Audax

Η Audax εκτελεί την αξιολόγηση με δομημένη, εξουσιοδοτημένη μεθοδολογία:

Scoping & authorization: ορισμός τμημάτων δικτύου, σεναρίων και ορίων, με γραπτή εξουσιοδότηση.
Discovery: χαρτογράφηση τοπολογίας, σημείων παρακολούθησης NDR και κενών ορατότητας.
Validation: ρεαλιστική δικτυακή δραστηριότητα ως μέρος SOC, SIEM & EDR effectiveness και purple teaming & detection validation.
Measurement: μέτρηση κάλυψης, ποσοστού ανίχνευσης, τυφλών σημείων και χρόνου ανίχνευσης.
Risk scoring & evidence: βαθμολόγηση και αποδείξεις μέσω Erevos AI.
Executive reporting & roadmap: αναφορά διοίκησης και πλάνο βελτίωσης (επέκταση κάλυψης, νέοι αισθητήρες, tuning, σύνδεση με SOC).
Retesting: επανέλεγχος για επιβεβαίωση κάλυψης των τυφλών σημείων.

Η λογική εντάσσεται στο Continuous Exposure Management: κάθε αλλαγή τοπολογίας ή cloud μπορεί να δημιουργήσει νέα τυφλά σημεία.

Τι αποδείξεις λαμβάνει ο οργανισμός

Ο οργανισμός λαμβάνει μετρήσιμες αποδείξεις για το πού βλέπει και πού δεν βλέπει το NDR την κακόβουλη κίνηση — όχι μια εκτίμηση.

Παραδοτέο	Περιεχόμενο	Παραλήπτης
Επικυρωμένα ευρήματα	Ανιχνεύσεις & τυφλά σημεία ανά τμήμα, με στιγμιότυπα	Network / SOC team
Χάρτης κάλυψης	Ορατότητα NDR ανά τμήμα & διαδρομή	CISO / Network
Risk scoring	Βαθμολόγηση κάλυψης & κενών	Διοίκηση
MITRE ATT&CK mapping	Αντιστοίχιση τεχνικών δικτύου & ανίχνευσης	SOC / Purple Team
Executive summary	Μη-τεχνική σύνοψη ορατότητας δικτύου	CEO / Board
Remediation roadmap	Επέκταση κάλυψης, tuning, SOC σύνδεση, retest	Network / SOC

Γιατί έχει αξία για NIS2, DORA ή executive cyber risk

Η ικανότητα ανίχνευσης κακόβουλης δραστηριότητας στο δίκτυο είναι κεντρική στις υποχρεώσεις ανίχνευσης της NIS2 και ιδιαίτερα κρίσιμη για φορείς κρίσιμων υποδομών. Για τον τομέα όπου εφαρμόζεται το DORA, η ορατότητα δικτύου υποστηρίζει την επιχειρησιακή ανθεκτικότητα και την έγκαιρη απόκριση.

Σε επίπεδο executive cyber risk, η αξία είναι η μετάφραση: από «έχουμε NDR» σε «το NDR καλύπτει το 63% του δικτύου και τέσσερα τμήματα είναι εντελώς τυφλά — εδώ επενδύουμε». Έτσι η ορατότητα δικτύου γίνεται μετρήσιμο μέγεθος για τη διοίκηση.

Ενδεικτικά ανώνυμα αποτελέσματα

Σε ένα ανώνυμο σενάριο αξιολόγησης, ένας οργανισμός μπορεί να ανακαλύψει ότι το NDR του ανίχνευε αξιόπιστα την κίνηση στην περίμετρο (north-south), αλλά είχε ελάχιστη ορατότητα στην εσωτερική, east-west κίνηση — επιτρέποντας σε μια προσομοιωμένη πλευρική κίνηση να περάσει μέσα από τμήματα του δικτύου χωρίς καμία ανίχνευση.

Μετά την τοποθέτηση αισθητήρων στα τυφλά τμήματα, το tuning των κανόνων ανίχνευσης και τη σύνδεση των ανιχνεύσεων με το SOC, ο επανέλεγχος μπορεί να δείξει σημαντική αύξηση της κάλυψης east-west — μια μετρήσιμη βελτίωση ορατότητας, όχι μια υπόσχεση.

Πότε πρέπει να εφαρμοστεί αυτό το use case

Το συγκεκριμένο use case έχει τη μεγαλύτερη αξία:

Μετά από deployment ή αναβάθμιση NDR.
Μετά από αλλαγές τοπολογίας, segmentation ή cloud migration.
Σε φορείς κρίσιμων υποδομών με απαιτήσεις ορατότητας δικτύου.
Πριν από έλεγχο NIS2/DORA για ανίχνευση.
Περιοδικά, ως συνεχής επικύρωση ορατότητας δικτύου.

Συμπέρασμα

Αν δεν βλέπετε την κίνηση μέσα στο δίκτυό σας, ένας αντίπαλος μπορεί να κινείται αόρατος. Το NDR αξίζει όσο η ορατότητά του — και αυτή η ορατότητα πρέπει να αποδεικνύεται, όχι να τεκμαίρεται. Το Erevos AI — η πλατφόρμα συνεχούς διαχείρισης έκθεσης (Continuous Threat Exposure Management, CTEM) — μετατρέπουν την ανίχνευση δικτύου σε μετρήσιμο χάρτη κάλυψης με συγκεκριμένα κενά. Η Audax Cybersecurity μπορεί να εκτελέσει αυτή την επικύρωση ελεγχόμενα και να σας παραδώσει σαφές roadmap.

Συχνές ερωτήσεις

Σε τι διαφέρει από την επικύρωση EDR/SIEM;

Το EDR βλέπει το endpoint και το SIEM τα logs. Το NDR βλέπει τη δικτυακή κίνηση, ιδίως την εσωτερική (east-west). Εδώ επικυρώνουμε ειδικά αν η κακόβουλη κίνηση γίνεται ορατή στο δίκτυο, όπου συχνά υπάρχουν τυφλά σημεία.

Θα διαταράξετε το δίκτυο παραγωγής;

Όχι. Η δραστηριότητα είναι ελεγχόμενη, μη καταστροφική και εκτελείται σε συμφωνημένα παράθυρα. Στόχος είναι η μέτρηση της ορατότητας και της ανίχνευσης, όχι η πρόκληση βλάβης.

Καλύπτετε και κρυπτογραφημένη ή cloud κίνηση;

Ναι, στον βαθμό που περιλαμβάνονται στο scope. Αξιολογούμε αν το NDR διατηρεί χρήσιμη ορατότητα σε κρυπτογραφημένη κίνηση και σε cloud τμήματα, ή αν αυτά αποτελούν τυφλά σημεία.

Πώς συνδέεται με την τμηματοποίηση δικτύου;

Άμεσα. Η σωστή τμηματοποίηση περιορίζει την πλευρική κίνηση, ενώ το NDR την ανιχνεύει. Μαζί δείχνουν αν ένας αντίπαλος μπορεί να κινηθεί και αν θα γίνει αντιληπτός όταν το κάνει.

Δείτε αν αυτό το σενάριο ισχύει στο δικό σας περιβάλλον

Θέλετε να μάθετε αν το συγκεκριμένο σενάριο μπορεί να συμβεί και στον δικό σας οργανισμό; Η Audax Cybersecurity εκτελεί ελεγχόμενη αξιολόγηση exposure με Erevos AI, Adversary Validation και Attack Path Validation με τεχνικές αποδείξεις, επιχειρησιακή ανάλυση ρίσκου και σαφές remediation roadmap — με υποστήριξη της πλατφόρμας Erevos AI για συνεχή επικύρωση έκθεσης.

Ζητήστε αξιολόγηση exposure με το Erevos AI →

Ανίχνευση δικτύου (NDR): βλέπει την κακόβουλη κίνηση ή έχει τυφλά σημεία;