網(wǎng)絡(luò)檢測和響應(yīng) (NDR) 解決方案旨在使用人工智能 (AI)、機器學(xué)習(xí) (ML) 和數(shù)據(jù)分析來檢測企業(yè)網(wǎng)絡(luò)上的網(wǎng)絡(luò)威脅。這些工具通過持續(xù)分析跨越企業(yè)邊界的網(wǎng)絡(luò)北/南流量以及東西橫向流量來構(gòu)建正常行為模型,然后使用這些模型來識別異常或可疑的流量模式。
NDR 解決方案還應(yīng)包含發(fā)出警報以外的事件響應(yīng)功能。這可能包括自動更新防火墻規(guī)則以阻止可疑流量或提供有助于事件調(diào)查和 威脅搜尋的功能。
NDR 解決方案的必要性
大多數(shù)網(wǎng)絡(luò)攻擊都發(fā)生在網(wǎng)絡(luò)上,這對防御者來說既好又壞。一方面,可以通過網(wǎng)絡(luò)級防御來檢測和緩解網(wǎng)絡(luò)攻擊。另一方面,普通組織網(wǎng)絡(luò)的復(fù)雜性和規(guī)模以及網(wǎng)絡(luò)威脅行為者的日益復(fù)雜使得難以從合法流量中挑選出攻擊。
深入的網(wǎng)絡(luò)可見性和高級威脅預(yù)防和檢測功能對于保護(hù)企業(yè)免受網(wǎng)絡(luò)威脅至關(guān)重要。傳統(tǒng)的、基于簽名的檢測方法通常無法有效應(yīng)對現(xiàn)代威脅,給組織留下一種錯誤的安全感。NDR 安全解決方案提供組織所需的額外網(wǎng)絡(luò)級安全和威脅防御功能層。
NDR 如何工作?
NDR 解決方案應(yīng)該能夠通過戰(zhàn)略性放置的傳感器監(jiān)控南北和東西向的交通流。這提供了深度網(wǎng)絡(luò)可見性,支持 NDR 解決方案的其他功能,包括:
- 網(wǎng)絡(luò)事件檢測: NDR 解決方案超越基于簽名的檢測,使用人工智能 (AI)、機器學(xué)習(xí) (ML) 和數(shù)據(jù)分析來分析網(wǎng)絡(luò)流量。這使他們能夠檢測模式并識別網(wǎng)絡(luò)流量中的異常情況,從而檢測可疑或惡意流量。
- 調(diào)查: NDR 安全解決方案監(jiān)控網(wǎng)絡(luò)流量并提取可能指向異常或可疑連接的模式。NDR 解決方案使用此信息生成自動響應(yīng),并提供給 安全運營中心 (SOC) 分析師以促進(jìn)他們的事件調(diào)查活動。
- 情報管理:網(wǎng)絡(luò)檢測和響應(yīng)解決方案可能會消耗來自組織內(nèi)部和外部的威脅情報。此情報用于幫助檢測網(wǎng)絡(luò)流量中的潛在威脅,并可作為融合安全架構(gòu)的一部分與其他安全解決方案共享。
- 源創(chuàng)建: NDR 解決方案的主要作用是為 SOC 分析師提供對當(dāng)前安全狀況和網(wǎng)絡(luò)威脅的洞察。NDR 將創(chuàng)建安全警報提要,指示可疑和潛在的惡意網(wǎng)絡(luò)流量。
- 威脅預(yù)防:除了提醒安全分析師注意潛在威脅外,NDR 解決方案還可以自動主動采取行動,防止 網(wǎng)絡(luò)攻擊 得逞。這可能包括使用防火墻和其他安全解決方案來阻止可疑或已知不良流量到達(dá)其目的地,從而中斷攻擊。
NDR 如何增強您的安全性?
傳統(tǒng)的網(wǎng)絡(luò)安全解決方案通常以檢測為重點,并使用基于簽名的檢測功能。在保護(hù)企業(yè)免受現(xiàn)代網(wǎng)絡(luò)威脅時,這兩者都是責(zé)任。
許多遺留安全解決方案中使用的基于簽名的檢測方案,例如傳統(tǒng)的防病毒和入侵檢測系統(tǒng)(IDS),在檢測現(xiàn)代威脅方面不再有效。網(wǎng)絡(luò)犯罪分子通常使用旨在區(qū)分不同活動的惡意軟件,這意味著簽名一旦生成就會過時。NDR 解決方案使用高級 AI 檢測功能來識別和響應(yīng)甚至尚不存在簽名的新型網(wǎng)絡(luò)威脅。
NDR 提供企業(yè)網(wǎng)絡(luò)內(nèi)部的可見性,使分析人員能夠確定受影響的資產(chǎn)并將其異常行為關(guān)聯(lián)起來,從而為攻擊者的策略、技術(shù)和程序提供指標(biāo)。指標(biāo)用于破壞和遏制攻擊,并指導(dǎo)損害評估和恢復(fù)操作。
