¿Qué es NDR?
Hoy detección y respuesta de red (NDR) tiene una larga historia, evolucionando a partir de la seguridad de la red y análisis de tráfico de red (NTA). La definición histórica de seguridad de red es utilizar un firewall perimetral y sistemas de prevención de intrusiones para filtrar el tráfico que ingresa a la red, pero a medida que la tecnología de seguridad y TI han evolucionado, la definición es mucho más amplia ahora debido a los ataques modernos que aprovechan enfoques más complejos.
Hoy en día, la seguridad de la red es todo lo que hace una empresa para garantizar la seguridad de sus redes y todo lo que está conectado a ellas. Esto incluye la red, la nube (o nubes), puntos finales, servidores, IoT, usuarios y aplicaciones. Seguridad de la red Los productos buscan utilizar medidas preventivas físicas y virtuales para proteger la red y sus activos del acceso no autorizado, la modificación, la destrucción y el uso indebido.
¿Por qué es importante NDR?
NDR es importante porque la red es la columna vertebral de la infraestructura de TI y todos los usuarios y dispositivos están conectados a ella; es la única fuente de la verdad si puede ver el tráfico de manera significativa. El tráfico de todos sus sistemas, incluidos los puntos finales, los servidores, las aplicaciones e Internet, debe pasar a través de la red, por lo que la red es la fuente lógica de información verdadera sobre las vulnerabilidades de seguridad. NDR es la herramienta que captura esa información.
Hay muchas herramientas de seguridad que cubren terminales, aplicaciones como correo electrónico y servidores, pero el análisis de datos y registros de estas herramientas no es suficiente para frustrar los ataques actuales. Si hay algo importante que debe saber sobre la red, es que no miente. Es por eso que NDR completa el viaje de una organización hacia Detección y respuesta de todo (Es decir, XDR) junto con la detección y respuesta de endpoints (es decir, EDR) para datos de endpoints y SIEM para registros de herramientas de seguridad. Específicamente, NDR ve lo que los puntos finales y otros registros no ven (toda la red; dispositivos, aplicaciones SaaS, comportamiento del usuario), actúa como el verdadero conjunto de datos y permite respuestas en tiempo real.
¿Cómo funciona NDR?
NDR Las soluciones utilizan técnicas no basadas en firmas (por ejemplo, aprendizaje automático u otras técnicas analíticas) para ataques desconocidos junto con técnicas de calidad basadas en firmas (por ejemplo, inteligencia de amenazas fusionada en línea para alertas) para ataques conocidos para detectar tráfico o actividades sospechosas. NDR puede ingerir datos de sensor, firewalls existentes, IPS / IDS, metadatos de NetFlow, o cualquier otra fuente de datos de red, asumiendo la ubicación estratégica de sensores y / u otra telemetría de red. Se debe monitorear tanto el tráfico norte / sur como el tráfico este / oeste, así como el tráfico tanto en entornos físicos como virtuales. Todos los datos se recopilan y agregan en un lago de datos central, enriquecido con contextos como Inteligencia de amenaza, nombre de host y / o información del usuario, luego procesados por un avanzado Motor de IA para detectar patrones de tráfico sospechosos y generar alertas.
Una vez que se activan las alertas, el analista o NDR la solución debe responder. La respuesta es la contraparte crítica de las detecciones y es fundamental para NDR. Respuestas automáticas tales como enviar comandos a un cortafuegos para dejar tráfico sospechoso o para un EDR herramienta para poner en cuarentena un endpoint afectado, o respuestas manuales como proporcionar herramientas de búsqueda de amenazas o investigación de incidentes son elementos comunes de NDR.
¿Cómo integra NDR con otras herramientas de seguridad?
Las herramientas NDR se integran con otras herramientas de seguridad a través de interfaces de programación de aplicaciones (API) proporcionadas por el NDR vendedor. Por supuesto, si usa Stellar Cyber's Abrir XDR plataforma, NDR ya está integrado en él, junto con una nueva generación SIEM e inteligencia de amenazas.
