Ang pagtuklas at tugon sa network (NDR) ay may mahabang kasaysayan, umuusbong mula sa seguridad ng network at pagsusuri sa trapiko sa network (NTA). Ang makasaysayang kahulugan ng network security ay ang paggamit ng perimeter firewall at Intrusion Prevent System (IPS) upang i-screen ang trapiko na papasok sa network, ngunit bilang Teknolohiya ng IT at seguridad teknolohiya ay umunlad dahil sa mga modernong pag-atake na gumagamit ng mas kumplikadong mga diskarte, ang kahulugan ay mas malawak na ngayon.
Ngayon, seguridad ng network ay lahat ng ginagawa ng kumpanya para matiyak ang seguridad ng mga network nito, at lahat ng nakakonekta sa kanila. Kasama rito ang network, cloud (o cloud), mga endpoint, server, gumagamit at application. Ang trapiko mula sa lahat ng mga sistemang ito ay dapat na pumasa sa network, kaya ang network ay ang lohikal na mapagkukunan ng totoong impormasyon tungkol sa mga pagsasamantala sa seguridad.
Ang pagsusuri sa data ng endpoint at mga log ng tool sa seguridad ay hindi sapat upang hadlangan ang mga pag-atake ngayon. Kung mayroong isang mahalagang bagay na dapat malaman tungkol sa network, ito ay hindi nagsisinungaling. kaya lang Ang pagtuklas at tugon sa network kinukumpleto ang pag-detect ng pag-atake at paglalakbay sa pagtugon ng isang organisasyon XDR / Open XDR sa tabi Si EDR para sa endpoint data at SIEM para sa mga security tool log. Partikular, NDR nakikita kung ano ang hindi nakikita ng mga endpoint at iba pang mga log (ang buong network; mga device, SaaS application, gawi ng user), ay gumaganap bilang ang tunay na set ng data at nagbibigay-daan sa real-time na pagtugon.
Habang ang Zero Trust ay patuloy na pinagtibay, ang network ay sasailalim sa iba't ibang mga segmentation na nagpapabuti ng mga pangunahing kaalaman sa seguridad. Tulad ng anumang kumplikadong sistema, a "Tiwala ngunit i-verify" dapat gawin ang diskarte. Ang pagtuklas at tugon sa network perpektong pinupunan ang Zero Trust bilang katapat nito sa pag-verify. Ang pagtuklas at tugon sa network nagbibigay-daan sa mga organisasyon na gamitin ang Zero Trust nang may kumpiyansa at i-verify ang pagpapatupad nito.
Paano Gumagana ang NDR?
NDR ang mga solusyon ay gumagamit ng mga diskarte na hindi batay sa lagda (halimbawa, machine learning o iba pang mga diskarte sa pag-aaral) para sa mga hindi kilalang pag-atake kasama ang kalidad ng mga diskarte na nakabatay sa lagda (halimbawa ng pagbabanta ng intel fuse in-line para sa mga alerto) para sa mga kilalang pag-atake upang makita ang kahina-hinalang trapiko o mga aktibidad. Ang pagtuklas at tugon sa network Maaari bang ingest data mula sa nakatuon sensor, umiiral na mga firewall, IPS / IDS, metadata tulad ng NetFlow, o anumang iba pang pinagmumulan ng data ng network, na ipinapalagay ang madiskarteng paglalagay ng mga sensor at/o iba pang telemetry ng network. Ang trapiko sa hilaga/timog at silangan/kanlurang trapiko ay dapat na subaybayan at ang trapiko sa parehong pisikal at virtual na kapaligiran ay dapat subaybayan. Ang lahat ng data ay kinokolekta at iniimbak sa isang sentralisadong data lake na may advanced AI Engine upang makita ang mga kahina-hinalang pattern ng trapiko at taasan ang mga alerto.
Ang tugon ay ang kritikal na katapat sa mga pagtuklas upang paganahin ang isang gumaganap na diskarte na nakabatay sa network sa mga pagpapatakbo ng seguridad, at ito ay mahalaga sa NDR. Ang mga awtomatikong tugon tulad ng pagpapadala ng mga utos sa isang firewall upang ihinto ang kahina-hinalang trapiko o sa isang tool ng EDR upang i-quarantine ang isang apektadong endpoint, o mga manu-manong tugon tulad ng pagbibigay ng mga tool sa pangangaso ng pagbabanta o pagsisiyasat ng insidente ay mga karaniwang elemento ng Ang pagtuklas at tugon sa network.
Ang pagtuklas at tugon sa network ay isang kritikal na bahagi ng bawat modernong imprastraktura ng cybersecurity. Binibigyang-daan ka nitong "makita ang buong elepante" - ang buong network - sa halip na tingnan lamang ang ilang mga endpoint, user o device na nakatali dito.
