什么是 NDR?
NDR 如何运作
您的网络是整个组织的中枢神经系统。 无论您是仅“在金属上”部署、不在云中部署,还是“全面”部署在云提供商上,该网络都可以实现从一个业务中心到另一个业务中心的重要通信。 从历史上看,部署防火墙被认为可以为网络提供足够的安全性。 然而,供应商引入了新的安全控制措施来保护网络并对抗攻击方法的进步。 入侵检测或入侵防御系统增强了防火墙防止成功网络攻击的能力,考虑到攻击者对已知网络签名的依赖,当攻击者稍微修改其策略时,大多数 IDS/IPS 产品对攻击者来说只不过是一种滋扰,“处理。”
![|恒星网络 什么是 NDR? 权威指南 - NDR 的演变](https://stellarcyber.ai/wp-content/uploads/2023/10/ndr-evolution.jpg.webp)
NDR 的演变
由于安全提供商在面临不断变化的攻击者挑战时倾向于采取这种做法,因此引入了一种新的产品类型,称为 网络流量分析(NTA)。正如其名称所示,NTA 产品将分析组织资产之间的流量内容和指标以及进出外部源的流量。分析师可以深入研究异常模式的细节,以确定是否需要采取纠正措施。现在,NDR 开始发挥作用。 NDR 将最佳的 IDS/IPS、NTA 和其他网络安全功能整合到单一解决方案中以保护网络。 NDR 产品旨在提供整个网络中安全威胁的整体视图。通过结合已知的恶意网络签名、安全分析和行为分析,NDR 可以快速提供高效的威胁检测。更具体地说,NDR产品不仅可以分析网络流量的内容,还可以通过分析网络流量的元数据(流量的大小/形状)来识别异常活动。此功能在处理加密流量时非常有用,因为 NDR 产品可能无法实时解密。典型的 NDR 产品提供检测功能和响应潜在威胁的能力。
NDR 在网络安全中的作用是什么
正如大多数网络安全专业人士所同意的那样,大多数攻击都会以某种方式接触网络。 最近的研究表明,99% 的成功攻击可以在网络流量中检测到,其中许多攻击可以在攻击者部署有效负载之前识别并缓解。 现代网络保护解决方案通过使其功能易于使用,使任何安全专业人员都可以更轻松地保护网络。 再加上大多数解决方案中自动化功能的增强,现在识别网络威胁比以往任何时候都更加“放手”。 对于大多数安全团队来说,即使是那些缺乏网络专业知识的人也可以 部署 NDR 解决方案 当威胁在网络资产之间移动以及进出网络时,几乎不需要人工干预,就可以开始识别威胁。 通过将 NDR 纳入安全堆栈中,安全团队还可以看到巨大的战略和战术优势,而不仅仅是识别网络上的威胁。
纵深防御
共享信息
一旦检测到威胁,该信息就可以轻松共享到 SIEM 或 XDR 平台,以与其他威胁相关联,其中一些威胁可能被视为微弱信号。 现在,随着与其他安全相关数据一起分析源源不断的网络威胁,安全团队将受益于更全面地了解整个网络环境中的威胁。 例如,攻击者通常会对目标部署多向量攻击,例如针对多名员工发起网络钓鱼电子邮件活动,同时寻求利用在网络中某处发现的已知漏洞。 当单独调查时,它们的优先级可能低于被视为有针对性的攻击的一部分时的优先级。 有了 NDR 并结合 XDR,就不再单独调查这些攻击。 相反,它们可以与相关的上下文信息相关联和增强,从而更容易确定它们的相关性。 这一额外步骤在大多数情况下可以自动发生,意味着安全分析师无需付出更多努力即可提高生产力和效率。 有关 NDR 战略优势的更多信息,请查看 NDR 买家指南.
NDR 与 EDR 和 XDR 相比如何?
NDR 要求
- NDR产品 必须实时收集网络流量信息并存储收集到的数据以使自动化分析成为可能。
- NDR产品 必须能够使用上下文相关信息对收集的数据进行标准化和丰富,以促进全面分析
- NDR产品 还必须建立常规网络流量的基线,通常使用机器学习算法。 建立基线后,当发现的网络流量超出典型流量模式时,NDR 产品应快速显示实例,实时向安全分析人员发出异常警报。
- NDR产品 应涵盖本地和云资产。
- NDR产品 应努力将相关警报聚合到可操作的调查桶中,使安全分析师能够轻松 1) 了解攻击的范围和 2) 采取响应措施
- NDR产品 必须提供一种自动化方法,以便在由于攻击的性质和范围而认为有必要时采取适当的响应措施
EDR 要求
- EDR产品 必须为安全团队提供实时收集和分析端点数据的方法。 通常,这是通过可部署的端点代理来交付的,该代理可以通过组织选择的工具轻松分发。 这些端点代理应该集中管理,并且可以轻松更新,而无需重新启动设备。
- EDR产品 应能够实时分析应用程序和服务,以根除潜在的恶意文件和服务。 一旦发现,应该可以自动隔离可疑文件和服务。
- EDR产品 应包括一个可定制的关联规则引擎,安全团队可以在其中上传一组公开可用的关联规则或从头开始创建自己的规则。 这些规则应包括检测威胁的能力以及在需要时采取自动响应的方法。
- EDR产品 必须从数据角度轻松集成到另一个安全产品中,例如 SIEM 或 XDR 平台,以便可以在其他安全相关信息的背景下分析收集的丰富数据。
- EDR产品 应该支持在 Microsoft Windows 设备和不同版本的 Linux 设备上的部署。
- 现代EDR 产品还可以部署在某些基于云的平台和其他云交付的应用程序(例如 Microsoft Office 365)上。
XDR 要求
扩展检测和响应 (XDR) 产品是市场上最新的技术之一,其诞生是为了让精益安全团队更轻松地在整个企业中提供持续的安全成果。 XDR 产品必须包含以下功能才能提供大多数安全团队期望的优势。
- XDR 产品 必须从任何可用的数据源获取数据。 此数据可以包括 1) 来自任何已部署安全控制的警报,2) 来自组织使用的任何服务的日志数据,例如组织的身份管理系统创建的日志,以及 3) 来自任何云的日志和活动相关信息环境和应用程序,例如从云访问安全代理 (CASB) 解决方案收集的活动信息。
- XDR 产品 理想情况下,应该对所有收集的数据进行标准化,以实现大规模的综合分析。
- XDR 产品 应使用机器学习和人工智能 (AI) 将看似不同的不相关警报和活动数据关联到易于调查的安全事件/案例。
- XDR 产品 应自动将所有收集的数据与重要信息关联起来,使安全分析师能够轻松快速地完成调查。
- XDR 产品 应根据可疑安全事件对组织的潜在影响确定其优先级,从而指导安全分析师的工作。
- XDR 产品 应提供自动响应能力,无需人工干预即可根据潜在威胁的严重性/影响启动。
总之,NDR 和 EDR 产品最终都会输入 XDR 平台,使安全分析师能够比以往更快、更有效地完成网络安全调查。
常见 NDR 用例
横向运动
通过在网络上移动,他们还可以识别易受攻击的应用程序或服务,使他们能够稍后打开“后门”以随意重新进入环境。 此外,为了保持环境中的持久性,许多攻击者会尝试将受感染用户帐户的权限升级为管理员权限,让他们全权更改环境,可能会关闭某些安全功能,删除日志可以留下痕迹供安全团队用来完成调查。 通过实时监控网络活动的 NDR,安全团队可以快速识别网络资产之间的可疑活动以及从网络到外部世界的异常流量模式。 NDR 产品将这种异常活动与用户操作相关联,这可以突出显示攻击者何时在其网络资产上自由移动。