Wykrywanie i reagowanie w sieci (NDR) ma długą historię, wyłania się z bezpieczeństwa sieci i analiza ruchu sieciowego (NTA). Historyczna definicja bezpieczeństwa sieci polega na korzystaniu z zapory obwodowej i System zapobiegania włamaniom (IPS) monitorować ruch przychodzący do sieci, ale jako Technologia informatyczna oraz technologia bezpieczeństwa ewoluowały z powodu nowoczesnych ataków wykorzystujących bardziej złożone podejścia, definicja jest teraz znacznie szersza.
Dziś bezpieczeństwo sieci to wszystko, co robi firma, aby zapewnić bezpieczeństwo swoich sieci, i wszystko, co z nimi związane. Obejmuje to sieć, chmurę (lub chmury), punkty końcowe, serwery, użytkowników i aplikacje. Ruch ze wszystkich tych systemów musi przechodzić przez sieć, więc sieć jest logicznym źródłem prawdziwych informacji o lukach w zabezpieczeniach.
Analiza danych punktów końcowych i dzienników narzędzi bezpieczeństwa nie wystarczy, aby udaremnić dzisiejsze ataki. Jeśli jest jedna ważna rzecz, którą należy wiedzieć o sieci, to to, że nie kłamie. Dlatego Wykrywanie i reagowanie w sieci kończy proces wykrywania ataków i reakcji organizacji, aby XDR / Open XDR wzdłuż EDR dla punktu końcowego dane i SIEM dla dzienników narzędzi bezpieczeństwa. Konkretnie, NDR widzi to, czego nie widzą punkty końcowe i inne logi (cała sieć; urządzenia, aplikacje SaaS, zachowanie użytkowników), działa jako prawdziwy zestaw danych i umożliwia odpowiedź w czasie rzeczywistym.
W miarę przyjmowania Zero Trust sieć będzie przechodzić różne segmentacje, poprawiając podstawy bezpieczeństwa. Jak w przypadku każdego złożonego systemu, a "ufaj ale sprawdzaj" należy przyjąć podejście. Wykrywanie i reagowanie w sieci doskonale uzupełnia Zero Trust jako jego weryfikacyjny odpowiednik. Wykrywanie i reagowanie w sieci umożliwia organizacjom ufne przyjęcie Zero Trust i weryfikację jego egzekwowania.
Jak działa NDR?
NDR rozwiązania wykorzystują techniki nieoparte na sygnaturach (np. uczenie maszynowe lub inne techniki analityczne) w przypadku nieznanych ataków wraz z technikami opartymi na sygnaturach wysokiej jakości (na przykład informacje o zagrożeniach połączone w linii dla alertów) w przypadku znanych ataków w celu wykrycia podejrzanego ruchu lub działań. Wykrywanie i reagowanie w sieci potrafi pobierać dane z dedykowanych czujników, istniejących zapór sieciowych, IPS / IDS, metadane takie jak Przepływy netto, lub jakiekolwiek inne sieciowe źródło danych, przy założeniu strategicznego rozmieszczenia czujników i/lub innej telemetrii sieciowej. Należy monitorować zarówno ruch północ/południe, jak i wschód/zachód, a ruch w środowiskach fizycznych i wirtualnych powinien być monitorowany. Wszystkie dane są gromadzone i przechowywane w scentralizowanym jeziorze danych z zaawansowanym Silnik AI wykrywanie podejrzanych wzorców ruchu i podnoszenie alertów.
Reakcja jest krytycznym odpowiednikiem wykryć, umożliwiając wydajne, sieciowe podejście do operacji związanych z bezpieczeństwem, i ma zasadnicze znaczenie dla: NDR. Odpowiedzi automatyczne, takie jak wysyłanie poleceń do zapory sieciowej w celu odrzucenia podejrzanego ruchu lub do narzędzia EDR w celu poddania kwarantannie punktu końcowego, lub odpowiedzi ręczne, takie jak udostępnianie narzędzi do wykrywania zagrożeń lub badania incydentów, są powszechnymi elementami Wykrywanie i reagowanie w sieci.
Wykrywanie i reagowanie w sieci jest kluczowym elementem każdej nowoczesnej infrastruktury cyberbezpieczeństwa. Pozwala „zobaczyć całego słonia” – całą sieć – zamiast wyświetlać tylko określone punkty końcowe, użytkowników lub urządzenia z nią powiązane.
