Phát hiện và phản hồi mạng (NDR) có lịch sử lâu đời, phát triển nhờ an ninh mạng và phân tích lưu lượng mạng (NTA). Định nghĩa lịch sử của an ninh mạng là sử dụng tường lửa ngoại vi và Hệ thống ngăn chặn xâm nhập (IPS) để sàng lọc lưu lượng truy cập vào mạng, nhưng Công nghệ thông tin và công nghệ bảo mật đã phát triển do các cuộc tấn công hiện đại tận dụng các cách tiếp cận phức tạp hơn, định nghĩa bây giờ rộng hơn nhiều.
Hôm nay, an ninh mạng là mọi thứ mà một công ty làm để đảm bảo an ninh cho mạng của mình, và mọi thứ được kết nối với chúng. Điều này bao gồm mạng, đám mây (hoặc đám mây), điểm cuối, máy chủ, người dùng và ứng dụng. Lưu lượng truy cập từ tất cả các hệ thống này phải đi qua mạng, vì vậy mạng là nguồn cung cấp thông tin thực sự hợp lý về việc khai thác bảo mật.
Phân tích dữ liệu điểm cuối và nhật ký công cụ bảo mật là không đủ để ngăn chặn các cuộc tấn công ngày nay. Nếu có một điều quan trọng cần biết về mạng, đó là nó không nói dối. Đó là lý do tại sao Phát hiện và phản hồi mạng hoàn thành hành trình phát hiện và phản ứng tấn công của tổ chức để XDR / Open XDR bên cạnh BDU cho điểm cuối dữ liệu và SIEM cho nhật ký công cụ bảo mật. Đặc biệt, NDR xem những gì điểm cuối và các bản ghi khác không nhìn thấy (toàn bộ mạng; thiết bị, ứng dụng SaaS, hành vi của người dùng), hoạt động như tập dữ liệu thực và cho phép phản hồi theo thời gian thực.
Khi Zero Trust tiếp tục được chấp nhận, mạng sẽ trải qua các phân đoạn khác nhau để cải thiện các nguyên tắc cơ bản về bảo mật. Như với bất kỳ hệ thống phức tạp nào, "Tin tưởng nhưng xác minh" cách tiếp cận phải được thực hiện. Phát hiện và phản hồi mạng bổ sung hoàn hảo cho Zero Trust như một đối tác xác minh của nó. Phát hiện và phản hồi mạng cho phép các tổ chức tự tin áp dụng Zero Trust và xác minh việc thực thi của nó.
NDR hoạt động như thế nào?
NDR các giải pháp sử dụng các kỹ thuật không dựa trên chữ ký (ví dụ: học máy hoặc các kỹ thuật phân tích khác) đối với các cuộc tấn công không xác định cùng với các kỹ thuật dựa trên chữ ký chất lượng (ví dụ như thông tin về mối đe dọa được kết hợp trong dòng để cảnh báo) cho các cuộc tấn công đã biết để phát hiện lưu lượng hoặc hoạt động đáng ngờ. Phát hiện và phản hồi mạng có thể nhập dữ liệu từ các cảm biến chuyên dụng, tường lửa hiện có, IPS / IDS, siêu dữ liệu như NetFlow, hoặc bất kỳ nguồn dữ liệu mạng nào khác, giả định vị trí chiến lược của các cảm biến và / hoặc phép đo từ xa mạng khác. Cả giao thông bắc / nam và giao thông đông / tây cần được giám sát và phải giám sát giao thông trong cả môi trường thực và ảo. Tất cả dữ liệu được thu thập và lưu trữ trong một hồ dữ liệu tập trung với một AI Engine để phát hiện các dạng lưu lượng truy cập đáng ngờ và đưa ra cảnh báo.
Phản hồi là đối trọng quan trọng đối với các phát hiện để cho phép một cách tiếp cận dựa trên mạng hiệu quả đối với các hoạt động bảo mật và là yếu tố cơ bản để NDR. Phản hồi tự động như gửi lệnh tới tường lửa để loại bỏ lưu lượng truy cập đáng ngờ hoặc tới công cụ EDR để cách ly một điểm cuối bị ảnh hưởng hoặc các phản hồi thủ công như cung cấp công cụ tìm kiếm mối đe dọa hoặc điều tra sự cố là các yếu tố phổ biến của Phát hiện và phản hồi mạng.
Phát hiện và phản hồi mạng là một thành phần quan trọng của mọi cơ sở hạ tầng an ninh mạng hiện đại. Nó cho phép bạn “xem toàn bộ con voi” - toàn bộ mạng - thay vì chỉ xem một số điểm cuối, người dùng hoặc thiết bị gắn liền với nó.
