Netwerkdetectie en reactie (NDR) heeft een lange geschiedenis, evoluerend uit netwerkbeveiliging en netwerkverkeersanalyse (NTA). De historische definitie van netwerkbeveiliging is het gebruik van een perimeterfirewall en Inbraakpreventiesysteem (IPS) om het verkeer dat het netwerk binnenkomt te screenen, maar als IT-technologie en beveiligingstechnologie zijn geëvolueerd als gevolg van moderne aanvallen die gebruikmaken van complexere benaderingen, is de definitie nu veel breder.
Vandaag de dag, netwerk veiligheid is alles wat een bedrijf doet om de veiligheid van zijn netwerken te waarborgen, en alles wat daarmee verbonden is. Dit omvat het netwerk, de cloud (of clouds), endpoints, servers, gebruikers en applicaties. Verkeer van al deze systemen moet over het netwerk gaan, dus het netwerk is de logische bron van echte informatie over beveiligingslekken.
Het analyseren van eindpuntgegevens en logboeken van beveiligingstools is niet voldoende om de aanvallen van vandaag de dag te dwarsbomen. Als er iets belangrijks is om te weten over het netwerk, dan is het dat het niet liegt. Dat is waarom Netwerkdetectie en reactie voltooit het aanvalsdetectie- en reactietraject van een organisatie om XDR / Open XDR naast EDR voor eindpunt gegevens en SIEM voor logboeken van beveiligingstools. specifiek, NDR ziet wat de endpoints en andere logs niet zien (het hele netwerk; apparaten, SaaS-applicaties, gebruikersgedrag), fungeert als de echte dataset en maakt realtime respons mogelijk.
Naarmate Zero Trust wordt geadopteerd, zal het netwerk verschillende segmentaties ondergaan die de basisprincipes van beveiliging verbeteren. Zoals bij elk complex systeem, is a "vertrouwen maar verifiëren" aanpak moet worden gevolgd. Netwerkdetectie en reactie vormt een perfecte aanvulling op Zero Trust als zijn verificatie-tegenhanger. Netwerkdetectie en reactie stelt organisaties in staat om met vertrouwen Zero Trust te adopteren en de handhaving ervan te verifiëren.
Hoe werkt NDR?
NDR oplossingen maken gebruik van niet op handtekeningen gebaseerde technieken (bijvoorbeeld machine learning of andere analytische technieken) voor onbekende aanvallen, naast hoogwaardige, op handtekeningen gebaseerde technieken (bijvoorbeeld bedreigingsinformatie die in-line is gefuseerd voor waarschuwingen) voor bekende aanvallen om verdacht verkeer of verdachte activiteiten te detecteren. Netwerkdetectie en reactie kan gegevens opnemen van speciale sensoren, bestaande firewalls, IPS / IDS, metagegevens zoals NetFlow, of een andere netwerkgegevensbron, uitgaande van strategische plaatsing van sensoren en/of andere netwerktelemetrie. Zowel het noord/zuid-verkeer als het oost/west-verkeer moet worden gecontroleerd en het verkeer in zowel fysieke als virtuele omgevingen moet worden gecontroleerd. Alle gegevens worden verzameld en opgeslagen in een gecentraliseerd datameer met een geavanceerd AI-motor om verdachte verkeerspatronen te detecteren en waarschuwingen te genereren.
Reactie is de kritieke tegenhanger van detecties om een performante netwerkgebaseerde benadering van beveiligingsoperaties mogelijk te maken, en is van fundamenteel belang voor: NDR. Automatische reacties, zoals het verzenden van opdrachten naar een firewall om verdacht verkeer te laten vallen of naar een EDR-tool om een getroffen eindpunt in quarantaine te plaatsen, of handmatige reacties zoals het bieden van dreigingsjacht- of incidentonderzoekstools zijn veelvoorkomende elementen van Netwerkdetectie en reactie.
Netwerkdetectie en reactie is een essentieel onderdeel van elke moderne cyberbeveiligingsinfrastructuur. Hiermee kunt u "de hele olifant zien" - het hele netwerk - in plaats van alleen bepaalde eindpunten, gebruikers of apparaten te bekijken die eraan zijn gekoppeld.
