Co to jest NDR?
Dzisiejsze wykrywanie i reagowanie w sieci (NDR) ma długą historię, wyłania się z bezpieczeństwa sieci i analiza ruchu sieciowego (NTA). Historyczna definicja bezpieczeństwa sieci polega na używaniu zapory obwodowej i systemów zapobiegania włamaniom do monitorowania ruchu wchodzącego do sieci, ale wraz z ewolucją technologii informatycznych i bezpieczeństwa definicja ta jest obecnie znacznie szersza ze względu na nowoczesne ataki wykorzystujące bardziej złożone podejścia.
Obecnie bezpieczeństwo sieci to wszystko, co robi firma, aby zapewnić bezpieczeństwo swoich sieci i wszystkiego, co jest z nimi połączone. Obejmuje to sieć, chmurę (lub chmury), punkty końcowe, serwery, IoT, użytkowników i aplikacje. Bezpieczeństwo sieci produkty mają na celu stosowanie fizycznych i wirtualnych środków zapobiegawczych w celu ochrony sieci i jej zasobów przed nieautoryzowanym dostępem, modyfikacją, zniszczeniem i niewłaściwym użyciem.
Dlaczego NDR jest ważny?
NDR jest ważne, ponieważ sieć jest kręgosłupem infrastruktury IT, a każdy użytkownik i urządzenie jest do niej podłączone — jest to jedyne źródło prawdy, jeśli możesz w znaczący sposób zajrzeć do ruchu. Ruch ze wszystkich systemów, w tym punktów końcowych, serwerów, aplikacji i Internetu, musi przechodzić przez sieć, więc sieć jest logicznym źródłem prawdziwych informacji o lukach w zabezpieczeniach oraz NDR jest narzędziem, które przechwytuje te informacje.
Istnieje wiele narzędzi bezpieczeństwa, które obejmują punkty końcowe, aplikacje, takie jak poczta e-mail i serwery, ale analiza danych i dzienników z tych narzędzi nie wystarczy, aby udaremnić dzisiejsze ataki. Jeśli jest jedna ważna rzecz, którą należy wiedzieć o sieci, to to, że nie kłamie. Dlatego NDR kończy podróż organizacji do: Wykrywanie i reagowanie na wszystko (IE XDR) wraz z wykrywaniem i reakcją punktu końcowego (tj. EDR) dla danych punktu końcowego i SIEM dla dzienników narzędzi bezpieczeństwa. Konkretnie, NDR widzi to, czego nie widzą punkty końcowe i inne dzienniki (cała sieć; urządzenia, aplikacje SaaS, zachowanie użytkowników), działa jako prawdziwy zestaw danych i umożliwia odpowiedzi w czasie rzeczywistym.
Jak działa NDR?
NDR rozwiązania wykorzystują techniki nieoparte na sygnaturach (np. uczenie maszynowe lub inne techniki analityczne) w przypadku nieznanych ataków wraz z technikami opartymi na sygnaturach wysokiej jakości (na przykład informacje o zagrożeniach połączone w linii dla alertów) w przypadku znanych ataków w celu wykrycia podejrzanego ruchu lub działań. NDR może pobierać dane z dedykowanego czujniki, istniejące zapory, IPS/IDS, metadane z Przepływy netto, lub jakiekolwiek inne sieciowe źródło danych, przy założeniu strategicznego rozmieszczenia czujników i/lub innej telemetrii sieciowej. Należy monitorować zarówno ruch północ/południe, jak i wschód/zachód, a także ruch w środowiskach fizycznych i wirtualnych. Wszystkie dane są gromadzone i agregowane w centralnym jeziorze danych, wzbogaconym o konteksty, takie jak Analiza zagrożeń, nazwę hosta i/lub informacje o użytkowniku, a następnie przetwarzane przez zaawansowane Silnik AI wykrywanie podejrzanych wzorców ruchu i podnoszenie alertów.
Po wyzwoleniu alertów analityk lub NDR rozwiązanie musi odpowiedzieć. Reakcja jest krytycznym odpowiednikiem wykrycia i ma zasadnicze znaczenie dla: NDR. Automatyczne odpowiedzi, takie jak wysyłanie poleceń do zapora odrzucić podejrzany ruch lub EDR narzędzie do kwarantanny dotkniętego punktu końcowego lub ręczne reakcje, takie jak zapewnienie narzędzi do wykrywania zagrożeń lub badania incydentów, są powszechnymi elementami NDR.
Jak zintegrować NDR z innymi narzędziami bezpieczeństwa?
Narzędzia NDR integrują się z innymi narzędziami bezpieczeństwa poprzez interfejsy programowania aplikacji (API) dostarczane przez NDR sprzedawca. Oczywiście, jeśli używasz Stellar Cyber Open XDR Platforma, NDR jest już z nim zintegrowany, wraz z następną generacją SIEM i analizy zagrożeń.
