Що таке NDR?
Сьогоднішнє виявлення мережі та відповідь (NDR) має довгу історію, розвиваючись з мережевої безпеки та аналіз мережевого трафіку (NTA)Історичне визначення мережевої безпеки полягало у використанні периметрального брандмауера та систем запобігання вторгненням для фільтрації трафіку, що надходить у мережу, але з розвитком ІТ та технологій безпеки це визначення стало набагато ширшим через те, що сучасні атаки використовують складніші підходи.
Сьогодні мережева безпека – це все, що робить компанія для забезпечення безпеки своїх мереж та всього, що до них підключено. Це включає мережу, хмару (або хмари), кінцеві точки, сервери, Інтернет речей, користувачів та програми. мережева безпека Продукти прагнуть використовувати фізичні та віртуальні превентивні заходи для захисту мережі та її активів від несанкціонованого доступу, модифікації, знищення та неправильного використання.
Чому важливий NDR (Nutrition Report - Нерозголошення)?
NDR важливо, оскільки мережа є основою ІТ-інфраструктури, і кожен користувач і пристрій підключені до неї — це єдине джерело достовірної інформації, якщо ви можете бачити трафік змістовним чином. Трафік з усіх ваших систем, включаючи кінцеві точки, сервери, програми та Інтернет, має проходити через мережу, тому мережа є логічним джерелом достовірної інформації про експлойти безпеки, і NDR це інструмент, який фіксує цю інформацію.
Існує багато інструментів безпеки, які охоплюють кінцеві точки, програми, такі як електронна пошта, та сервери, але аналізу даних і журналів з цих інструментів недостатньо, щоб запобігти сучасним атакам. Якщо й є щось важливе, що потрібно знати про мережу, то це те, що вона не бреше. Саме тому NDR завершує шлях організації до Виявлення та реагування на все (тобто XDR) разом із виявленням та реагуванням на кінцеві точки (тобто EDR) для даних кінцевих точок та SIEM для журналів інструментів безпеки. Зокрема, NDR бачить те, що не бачать кінцеві точки та інші журнали (вся мережа; пристрої, SaaS-додатки, поведінка користувачів), діє як справжній набір даних та забезпечує реагування в режимі реального часу.
Як працює NDR (Nutrition Report - Нерозголошення)?
NDR рішення використовують методи, що не базуються на сигнатурах (наприклад, навчання за допомогою машини або інші аналітичні методи) для невідомих атак, а також якісні методи на основі сигнатур (наприклад, інформація про загрози, вбудована для сповіщень) для відомих атак з метою виявлення підозрілого трафіку або активності. NDR може отримувати дані з виділеного датчиків, існуючі брандмауери, IPS/IDS, метадані з NetFlow, або будь-яке інше джерело мережевих даних, за умови стратегічного розміщення датчиків та/або іншої мережевої телеметрії. Слід контролювати як північно-південний, так і східно-західний трафік, а також трафік як у фізичному, так і у віртуальному середовищах. Усі дані збираються та агрегуються в центральному озері даних, збагаченому такими контекстами, як Загроза інтелекту, ім'я хоста та/або інформацію про користувача, а потім обробляються розширеним Двигун AI виявляти підозрілі моделі дорожнього руху та піднімати сповіщення.
Після спрацьовування сповіщень аналітик або NDR рішення має реагувати. Реакція є критичним аналогом виявлень і має фундаментальне значення для NDRАвтоматичні відповіді, такі як надсилання команд до брандмауер скинути підозрілий трафік або EDR інструмент для карантину ураженої кінцевої точки або ручні заходи, такі як надання інструментів для пошуку загроз чи розслідування інцидентів, є поширеними елементами NDR.
Як інтегрувати NDR з іншими інструментами безпеки?
Інструменти NDR інтегруються з іншими інструментами безпеки через інтерфейси прикладного програмування (API), що надаються NDR постачальник. Звичайно, якщо ви використовуєте Stellar Cyber Open XDR платформа, NDR вже інтегровано в нього, разом із наступним поколінням SIEM та розвідку загроз.
