Wat is NDR?
Vandaag netwerkdetectie en respons (NDR) heeft een lange geschiedenis, evoluerend uit netwerkbeveiliging en netwerkverkeersanalyse (NTA). De historische definitie van netwerkbeveiliging is het gebruik van een perimeterfirewall en Intrusion Prevention Systems om het verkeer dat het netwerk binnenkomt te screenen, maar naarmate IT en beveiligingstechnologie zijn geëvolueerd, is de definitie nu veel breder vanwege moderne aanvallen die gebruikmaken van complexere benaderingen.
Tegenwoordig is netwerkbeveiliging alles wat een bedrijf doet om de veiligheid van zijn netwerken en alles wat daarmee verbonden is te waarborgen. Denk hierbij aan het netwerk, de cloud (of clouds), endpoints, servers, IoT, gebruikers en applicaties. Netwerk veiligheid producten proberen fysieke en virtuele preventieve maatregelen te gebruiken om het netwerk en zijn activa te beschermen tegen ongeoorloofde toegang, wijziging, vernietiging en misbruik.
Waarom is NDR belangrijk?
NDR is belangrijk omdat het netwerk de ruggengraat van de IT-infrastructuur is en elke gebruiker en elk apparaat ermee verbonden is - het is de enige bron van waarheid als je op een zinvolle manier in het verkeer kunt kijken. Verkeer van al uw systemen, inclusief eindpunten, servers, applicaties en internet, moet over het netwerk gaan, dus het netwerk is de logische bron van echte informatie over beveiligingslekken, en NDR is de tool die die informatie vastlegt.
Er zijn veel beveiligingstools die endpoints, toepassingen zoals e-mail en servers dekken, maar het analyseren van gegevens en logs van deze tools is niet voldoende om de aanvallen van vandaag de dag te dwarsbomen. Als er iets belangrijks is om te weten over het netwerk, dan is het dat het niet liegt. Daarom voltooit NDR de reis van een organisatie naar Alles Detectie en Reactie (d.w.z, XDR) naast eindpuntdetectie en -respons (dwz EDR) voor eindpuntgegevens en SIEM voor logboeken van beveiligingstools. specifiek, NDR ziet wat de eindpunten en andere logs niet zien (het hele netwerk; apparaten, SaaS-applicaties, gebruikersgedrag), fungeert als de echte dataset en maakt realtime reacties mogelijk.
Hoe werkt NDR?
NDR oplossingen maken gebruik van niet op handtekeningen gebaseerde technieken (bijvoorbeeld machine learning of andere analytische technieken) voor onbekende aanvallen, naast hoogwaardige, op handtekeningen gebaseerde technieken (bijvoorbeeld bedreigingsinformatie die in-line is gefuseerd voor waarschuwingen) voor bekende aanvallen om verdacht verkeer of verdachte activiteiten te detecteren. NDR kan gegevens opnemen van dedicated sensor, bestaande firewalls, IPS/IDS, metadata van NetFlow, of een andere netwerkgegevensbron, uitgaande van strategische plaatsing van sensoren en/of andere netwerktelemetrie. Zowel het noord/zuid-verkeer als het oost/west-verkeer moeten worden gecontroleerd, evenals het verkeer in zowel fysieke als virtuele omgevingen. Alle gegevens worden verzameld en geaggregeerd in een centraal datameer, verrijkt met contexten zoals: Bedreiging Intelligentie, hostnaam en/of gebruikersinformatie, vervolgens verwerkt door een geavanceerde AI-motor om verdachte verkeerspatronen te detecteren en waarschuwingen te genereren.
Zodra waarschuwingen zijn geactiveerd, kan de analist of NDR oplossing moet reageren. Reactie is de kritische tegenhanger van detecties en is van fundamenteel belang voor: NDR. Automatische reacties zoals het verzenden van opdrachten naar een firewall om verdacht verkeer te laten vallen of naar een EDR tool om een getroffen eindpunt in quarantaine te plaatsen, of handmatige reacties zoals het bieden van tools voor het opsporen van bedreigingen of incidentonderzoek zijn veelvoorkomende elementen van: NDR.
Hoe integreer je NDR met andere beveiligingstools?
NDR-tools kunnen worden geïntegreerd met andere beveiligingstools via Application Programming Interfaces (API's) die worden geleverd door de NDR leverancier. Natuurlijk, als je Stellar Cyber's gebruikt Open XDR platform, NDR is er al in geïntegreerd, samen met een volgende generatie SIEM en dreigingsinformatie.
