Ano ang NDR?
Ngayon pagtuklas ng network at tugon (NDR) ay may mahabang kasaysayan, umuusbong mula sa seguridad ng network at pagsusuri sa trapiko sa network (NTA). Ang pang-makasaysayang kahulugan ng seguridad sa network ay ang paggamit ng isang perimeter firewall at Intrusion Prevention Systems upang maipakita ang trapiko sa network, ngunit habang ang teknolohiya ng IT at seguridad ay umunlad, ang kahulugan ay mas malawak ngayon dahil sa mga modernong pag-atake na gumagamit ng mas kumplikadong mga diskarte.
Ngayon, ang seguridad sa network ay ang lahat ng ginagawa ng isang kumpanya upang matiyak ang seguridad ng mga network nito, at lahat ng nakakonekta sa kanila. Kasama rito ang network, ang cloud (o mga ulap), mga endpoint, server, IoT, mga gumagamit at application. Seguridad sa network hinahangad ng mga produkto na gumamit ng pisikal at virtual na mga hakbang sa pag-iwas upang maprotektahan ang network at ang mga assets nito mula sa hindi awtorisadong pag-access, pagbabago, pagkasira at maling paggamit.
Bakit mahalaga ang NDR?
NDR mahalaga sapagkat ang network ay ang gulugod ng imprastraktura ng IT, at ang bawat gumagamit at aparato ay nakakonekta dito — ito ang nag-iisang mapagkukunan ng katotohanan kung makikita mo ang trapiko sa isang makabuluhang paraan. Ang trapiko mula sa lahat ng iyong mga system, kabilang ang mga endpoint, server, application at internet, ay dapat na pumasa sa network, kaya ang network ay ang lohikal na mapagkukunan ng totoong impormasyon tungkol sa mga pagsasamantala sa seguridad, at NDR ay ang tool na kumukuha ng impormasyong iyon.
Mayroong maraming mga tool sa seguridad na sumasakop sa mga endpoint, application tulad ng e-mail, at mga server, ngunit ang pagsusuri ng data at mga log mula sa mga tool na ito ay hindi sapat upang hadlangan ang mga pag-atake ngayon. Kung may isang mahalagang bagay na dapat malaman tungkol sa network, hindi ito nagsisinungaling. Iyon ang dahilan kung bakit nakumpleto ng NDR ang paglalakbay ng isang samahan sa Lahat ng Pagtuklas at Tugon (ibig sabihin, XDR) sa tabi ng Endpoint Detection at Response (ibig sabihin, EDR) para sa endpoint data at SIEM para sa mga security tool log. Partikular, NDR nakikita kung ano ang hindi nakikita ng mga endpoint at iba pang mga tala (ang buong network; mga aparato, application ng SaaS, pag-uugali ng gumagamit), kumikilos bilang totoong hanay ng data at nagbibigay-daan sa mga tugon sa real-time.
Paano gumagana ang NDR?
NDR ang mga solusyon ay gumagamit ng mga diskarte na hindi batay sa lagda (halimbawa, machine learning o iba pang mga diskarte sa pag-aaral) para sa mga hindi kilalang pag-atake kasama ang kalidad ng mga diskarte na nakabatay sa lagda (halimbawa ng pagbabanta ng intel fuse in-line para sa mga alerto) para sa mga kilalang pag-atake upang makita ang kahina-hinalang trapiko o mga aktibidad. NDR Maaari bang ingest data mula sa nakatuon sensor, mayroon nang mga firewall, IPS / IDS, metadata mula sa NetFlow, o anumang iba pang mapagkukunan ng data ng network, ipinapalagay na madiskarteng paglalagay ng mga sensor at / o iba pang telemetry ng network. Ang parehong trapiko sa hilaga / timog at trapiko sa silangan / kanluran ay dapat subaybayan pati na rin ang trapiko sa parehong pisikal at virtual na mga kapaligiran. Ang lahat ng data ay nakolekta at pinagsama-sama sa isang gitnang lawa ng data, pinayaman ng mga konteksto tulad ng Banta ng Intelligence, pangalan ng host at / o impormasyon ng gumagamit, pagkatapos ay naproseso ng isang advanced AI engine upang makita ang mga kahina-hinalang pattern ng trapiko at taasan ang mga alerto.
Kapag na-trigger ang mga alerto, ang analista o NDR solusyon ay dapat tumugon. Ang tugon ay ang kritikal na katapat sa mga pagtuklas at mahalaga sa NDR. Mga awtomatikong tugon tulad ng pagpapadala ng mga utos sa a pader laban sa sunog upang i-drop ang kahina-hinalang trapiko o sa isang Si EDR tool upang ma-quarantine ang isang apektadong endpoint, o manu-manong mga tugon tulad ng pagbibigay ng pagbabanta sa pagbabanta o mga tool sa pagsisiyasat ng insidente ay karaniwang mga elemento ng NDR.
Paano mo isasama ang NDR sa iba pang mga tool sa seguridad?
Ang mga tool ng NDR ay isinasama sa iba pang mga tool sa seguridad sa pamamagitan ng mga interface ng application programming (API) na ibinigay ng NDR nagtitinda. Siyempre, kung gumagamit ka ng Stellar Cyber's Open XDR platform, NDR ay isinama na rito, kasama ang susunod na henerasyon SIEM at pananakot na katalinuhan.
