網絡檢測和響應 (NDR) 解決方案旨在使用人工智能 (AI)、機器學習 (ML) 和數據分析來檢測企業網絡上的網絡威脅。這些工具通過持續分析跨越企業邊界的網絡北/南流量以及東西橫向流量來構建正常行為模型，然后使用這些模型來識別異常或可疑的流量模式。

NDR 解決方案還應包含發出警報以外的事件響應功能。這可能包括自動更新防火墻規則以阻止可疑流量或提供有助于事件調查和 威脅搜尋的功能。

NDR 解決方案的必要性

大多數網絡攻擊都發生在網絡上，這對防御者來說既好又壞。一方面，可以通過網絡級防御來檢測和緩解網絡攻擊。另一方面，普通組織網絡的復雜性和規模以及網絡威脅行為者的日益復雜使得難以從合法流量中挑選出攻擊。

深入的網絡可見性和高級威脅預防和檢測功能對于保護企業免受網絡威脅至關重要。傳統的、基于簽名的檢測方法通常無法有效應對現代威脅，給組織留下一種錯誤的安全感。NDR 安全解決方案提供組織所需的額外網絡級安全和威脅防御功能層。

NDR 如何工作？

NDR 解決方案應該能夠通過戰略性放置的傳感器監控南北和東西向的交通流。這提供了深度網絡可見性，支持 NDR 解決方案的其他功能，包括：

• 網絡事件檢測： NDR 解決方案超越基于簽名的檢測，使用人工智能 (AI)、機器學習 (ML) 和數據分析來分析網絡流量。這使他們能夠檢測模式并識別網絡流量中的異常情況，從而檢測可疑或惡意流量。
• 調查： NDR 安全解決方案監控網絡流量并提取可能指向異常或可疑連接的模式。NDR 解決方案使用此信息生成自動響應，并提供給 安全運營中心 (SOC) 分析師以促進他們的事件調查活動。
• 情報管理：網絡檢測和響應解決方案可能會消耗來自組織內部和外部的威脅情報。此情報用于幫助檢測網絡流量中的潛在威脅，并可作為融合安全架構的一部分與其他安全解決方案共享。
• 源創建： NDR 解決方案的主要作用是為 SOC 分析師提供對當前安全狀況和網絡威脅的洞察。NDR 將創建安全警報提要，指示可疑和潛在的惡意網絡流量。
• 威脅預防：除了提醒安全分析師注意潛在威脅外，NDR 解決方案還可以自動主動采取行動，防止 網絡攻擊 得逞。這可能包括使用防火墻和其他安全解決方案來阻止可疑或已知不良流量到達其目的地，從而中斷攻擊。

NDR 如何增強您的安全性？

傳統的網絡安全解決方案通常以檢測為重點，并使用基于簽名的檢測功能。在保護企業免受現代網絡威脅時，這兩者都是責任。

許多遺留安全解決方案中使用的基于簽名的檢測方案，例如傳統的防病毒和入侵檢測系統(IDS)，在檢測現代威脅方面不再有效。網絡犯罪分子通常使用旨在區分不同活動的惡意軟件，這意味著簽名一旦生成就會過時。NDR 解決方案使用高級 AI 檢測功能來識別和響應甚至尚不存在簽名的新型網絡威脅。

NDR 提供企業網絡內部的可見性，使分析人員能夠確定受影響的資產并將其異常行為關聯起來，從而為攻擊者的策略、技術和程序提供指標。指標用于破壞和遏制攻擊，并指導損害評估和恢復操作。