Netzwerkerkennung und Reaktion (NDR) hat eine lange Geschichte, die sich aus der Netzwerksicherheit entwickelt hat und Analyse des Netzwerkverkehrs (NTA). Die historische Definition von Netzwerksicherheit ist die Verwendung einer Perimeter-Firewall und Intrusion-Prevention-System (IPS) um den in das Netzwerk eingehenden Verkehr zu überwachen, aber als IT-Technik und Sicherheitstechnik sich aufgrund moderner Angriffe mit komplexeren Ansätzen weiterentwickelt haben, ist die Definition jetzt viel breiter.
Heute gilt Netzwerk-Sicherheit ist alles, was ein Unternehmen tut, um die Sicherheit seiner Netzwerke zu gewährleisten, und alles, was mit ihnen verbunden ist. Dazu gehören das Netzwerk, die Cloud (oder Clouds), Endpunkte, Server, Benutzer und Anwendungen. Der Datenverkehr von all diesen Systemen muss über das Netzwerk geleitet werden, sodass das Netzwerk die logische Quelle für echte Informationen über Sicherheitslücken ist.
Die Analyse von Endpunktdaten und Protokollen von Sicherheitstools reicht nicht aus, um die heutigen Angriffe abzuwehren. Wenn es eine wichtige Sache über das Netzwerk zu wissen gibt, dann ist es, dass es nicht lügt. Deshalb Netzwerkerkennung und Reaktion vervollständigt die Angriffserkennung und -reaktion eines Unternehmens zu XDR / Open XDR neben EDR für Endpunkt Daten und SIEM für Sicherheitstool-Protokolle. Speziell, NDR sieht, was die Endpunkte und andere Protokolle nicht sehen (das gesamte Netzwerk; Geräte, SaaS-Anwendungen, Benutzerverhalten), fungiert als echter Datensatz und ermöglicht eine Reaktion in Echtzeit.
Da Zero Trust weiterhin eingeführt wird, wird das Netzwerk verschiedenen Segmentierungen unterzogen, die die Sicherheitsgrundlagen verbessern. Wie bei jedem komplexen System gilt a „Vertrauen, aber überprüfen“ Ansatz genommen werden muss. Netzwerkerkennung und Reaktion ergänzt Zero Trust perfekt als Verifikations-Gegenstück. Netzwerkerkennung und Reaktion ermöglicht es Unternehmen, Zero Trust vertrauensvoll zu übernehmen und seine Durchsetzung zu überprüfen.
Wie funktioniert NDR?
NDR Lösungen verwenden nicht-signaturbasierte Techniken (z. Maschinelles Lernen oder andere Analysetechniken) für unbekannte Angriffe neben hochwertigen signaturbasierten Techniken (z. Netzwerkerkennung und Reaktion kann Daten von dedizierten Sensoren, bestehenden Firewalls, IPS / IDS, Metadaten wie NetFlow, oder jede andere Netzwerkdatenquelle, unter Annahme einer strategischen Platzierung von Sensoren und/oder anderer Netzwerktelemetrie. Sowohl der Nord/Süd-Verkehr als auch der Ost/West-Verkehr sollten überwacht werden, und der Verkehr in physischen und virtuellen Umgebungen sollte überwacht werden. Alle Daten werden gesammelt und in einem zentralen Data Lake mit einem erweiterten KI-Engine um verdächtige Verkehrsmuster zu erkennen und Warnungen auszulösen.
Die Reaktion ist das entscheidende Gegenstück zu Erkennungen, um einen leistungsstarken netzwerkbasierten Ansatz für Sicherheitsvorgänge zu ermöglichen, und ist von grundlegender Bedeutung für NDR. Automatische Reaktionen wie das Senden von Befehlen an eine Firewall, um verdächtigen Datenverkehr zu löschen, oder an ein EDR-Tool, um einen betroffenen Endpunkt unter Quarantäne zu stellen, oder manuelle Reaktionen wie das Bereitstellen von Tools zur Bedrohungssuche oder zur Untersuchung von Vorfällen sind übliche Elemente von Netzwerkerkennung und Reaktion.
Netzwerkerkennung und Reaktion ist eine kritische Komponente jeder modernen Cybersicherheitsinfrastruktur. Es ermöglicht Ihnen, „den gesamten Elefanten“ – das gesamte Netzwerk – zu sehen, anstatt nur bestimmte Endpunkte, Benutzer oder Geräte anzuzeigen, die damit verbunden sind.
