目录

什么是 NDR? 权威指南

如今,安全决策者在构建现代安全堆栈时面临着无数的选择。 一种经常被忽视的安全控制是网络检测和响应(NDR)。 NDR 网络安全解决方案并不新鲜。 然而,由于部署、维护和使用的复杂性,许多安全所有者在其安全堆栈中降低了这项技术的优先级,假设其他与网络相关的安全产品可以防止其网络受到损害。 本指南提供了作为现代网络安全解决方案的全面 NDR 定义及其在打击网络攻击中的重要性。

NDR 如何运作

网络检测和响应技术旨在识别网络基础设施中的威胁,并使安全分析师能够快速采取果断的响应行动,以降低破坏性违规的风险。 与要求用户成为网络半专家的其他网络技术不同,具有各种专业知识的安全分析师可以轻松使用 NDR 产品。 为了更好地理解如何 NDR 功能可确保网络安全,我们必须首先解开它们的部署和工作方式。 

您的网络是整个组织的中枢神经系统。 无论您是仅“在金属上”部署、不在云中部署,还是“全面”部署在云提供商上,该网络都可以实现从一个业务中心到另一个业务中心的重要通信。 从历史上看,部署防火墙被认为可以为网络提供足够的安全性。 然而,供应商引入了新的安全控制措施来保护网络并对抗攻击方法的进步。 入侵检测或入侵防御系统增强了防火墙防止成功网络攻击的能力,考虑到攻击者对已知网络签名的依赖,当攻击者稍微修改其策略时,大多数 IDS/IPS 产品对攻击者来说只不过是一种滋扰,“处理。”

什么是 NDR? 权威指南 - NDR 的演变

NDR 的演变

由于安全提供商在面临不断变化的攻击者挑战时倾向于采取这种做法,因此引入了一种新的产品类型,称为 网络流量分析(NTA)。正如其名称所示,NTA 产品将分析组织资产之间的流量内容和指标以及进出外部源的流量。分析师可以深入研究异常模式的细节,以确定是否需要采取纠正措施。现在,NDR 开始发挥作用。 NDR 将最佳的 IDS/IPS、NTA 和其他网络安全功能整合到单一解决方案中以保护网络。 NDR 产品旨在提供整个网络中安全威胁的整体视图。通过结合已知的恶意网络签名、安全分析和行为分析,NDR 可以快速提供高效的威胁检测。更具体地说,NDR产品不仅可以分析网络流量的内容,还可以通过分析网络流量的元数据(流量的大小/形状)来识别异常活动。此功能在处理加密流量时非常有用,因为 NDR 产品可能无法实时解密。典型的 NDR 产品提供检测功能和响应潜在威胁的能力。

NDR 在网络安全中的作用是什么

现代攻击者寻找组织环境中他们可以利用的任何弱点。 虽然端点是大多数攻击者的流行攻击面,但他们越来越多地寻求方法来掩盖常规网络流量中的网络威胁。 这种方法越来越受欢迎,因为在威胁穿越网络时监控、分析和检测威胁非常复杂。 在不久的过去,识别网络流量中的威胁需要具有丰富的网络流量配置、维护和监控经验的资源。 然而,如今的网络安全形势已大不相同,这使得所有安全专业人员(而不仅仅是网络专家)都更容易获得网络保护。 

正如大多数网络安全专业人士所同意的那样,大多数攻击都会以某种方式接触网络。 最近的研究表明,99% 的成功攻击可以在网络流量中检测到,其中许多攻击可以在攻击者部署有效负载之前识别并缓解。 现代网络保护解决方案通过使其功能易于使用,使任何安全专业人员都可以更轻松地保护网络。 再加上大多数解决方案中自动化功能的增强,现在识别网络威胁比以往任何时候都更加“放手”。 对于大多数安全团队来说,即使是那些缺乏网络专业知识的人也可以 部署 NDR 解决方案 当威胁在网络资产之间移动以及进出网络时,几乎不需要人工干预,就可以开始识别威胁。 通过将 NDR 纳入安全堆栈中,安全团队还可以看到巨大的战略和战术优势,而不仅仅是识别网络上的威胁。

纵深防御

首先,通过将 NDR 纳入您的安全堆栈中,您可以遵循“深度防御”安全方法的最佳实践。 例如,虽然端点保护平台以及端点检测和响应解决方案旨在识别端点上的威胁,但当威胁在网络上移动时,它们通常对威胁视而不见。 同样,数据丢失防护产品非常擅长识别重要数据何时从给定位置移动。 然而,它们并不擅长捕捉网络中传输的关键信息,尤其是在常规网络流量中被混淆的信息。 在这种情况下,NDR 安全产品有可能提高安全团队的能力,降低网络攻击成功的风险。 就像提到的其他产品致力于检测特定资产或数据类型中的威胁一样,NDR 只专注于以其他安全产品无法做到的方式了解网络流量。 通过对实时网络流量进行快速分析,NDR 安全产品可以发现网络流量中可能被忽视的潜在威胁。

共享信息

一旦检测到威胁,该信息就可以轻松共享到 SIEM 或 XDR 平台,以与其他威胁相关联,其中一些威胁可能被视为微弱信号。 现在,随着与其他安全相关数据一起分析源源不断的网络威胁,安全团队将受益于更全面地了解整个网络环境中的威胁。 例如,攻击者通常会对目标部署多向量攻击,例如针对多名员工发起网络钓鱼电子邮件活动,同时寻求利用在网络中某处发现的已知漏洞。 当单独调查时,它们的优先级可能低于被视为有针对性的攻击的一部分时的优先级。 有了 NDR 并结合 XDR,就不再单独调查这些攻击。 相反,它们可以与相关的上下文信息相关联和增强,从而更容易确定它们的相关性。 这一额外步骤在大多数情况下可以自动发生,意味着安全分析师无需付出更多努力即可提高生产力和效率。 有关 NDR 战略优势的更多信息,请查看 NDR 买家指南.

NDR 与 EDR 和 XDR 相比如何?

由于有如此多的网络安全产品和服务声称可以提供类似的好处,一些安全决策者可能很难辨别部署哪些产品来获得增量好处。 NDR 也无法避免这种混乱,因此为了帮助决策者了解标准安全控制之间的异同,下面概述了 NDR、EDR 和 XDR 之间的差异。

NDR 要求

首先,为了对本指南的重点 NDR 建立基本了解,以下是 NDR 解决方案的标准赌注功能:
  • NDR产品 必须实时收集网络流量信息并存储收集到的数据以使自动化分析成为可能。
  • NDR产品 必须能够使用上下文相关信息对收集的数据进行标准化和丰富,以促进全面分析
  • NDR产品 还必须建立常规网络流量的基线,通常使用机器学习算法。 建立基线后,当发现的网络流量超出典型流量模式时,NDR 产品应快速显示实例,实时向安全分析人员发出异常警报。 
  • NDR产品 应涵盖本地和云资产。
  • NDR产品 应努力将相关警报聚合到可操作的调查桶中,使安全分析师能够轻松 1) 了解攻击的范围和 2) 采取响应措施
  • NDR产品 必须提供一种自动化方法,以便在由于攻击的性质和范围而认为有必要时采取适当的响应措施

EDR 要求

端点检测和响应 (EDR) 产品必须提供以下功能,以便为其重点领域、端点设备提供必要的保护:
  • EDR产品 必须为安全团队提供实时收集和分析端点数据的方法。 通常,这是通过可部署的端点代理来交付的,该代理可以通过组织选择的工具轻松分发。 这些端点代理应该集中管理,并且可以轻松更新,而无需重新启动设备。 
  • EDR产品 应能够实时分析应用程序和服务,以根除潜在的恶意文件和服务。 一旦发现,应该可以自动隔离可疑文件和服务。 
  • EDR产品 应包括一个可定制的关联规则引擎,安全团队可以在其中上传一组公开可用的关联规则或从头开始创建自己的规则。 这些规则应包括检测威胁的能力以及在需要时采取自动响应的方法。 
  • EDR产品 必须从数据角度轻松集成到另一个安全产品中,例如 SIEM 或 XDR 平台,以便可以在其他安全相关信息的背景下分析收集的丰富数据。 
  • EDR产品 应该支持在 Microsoft Windows 设备和不同版本的 Linux 设备上的部署。 
  • 现代EDR 产品还可以部署在某些基于云的平台和其他云交付的应用程序(例如 Microsoft Office 365)上。 

XDR 要求

扩展检测和响应 (XDR) 产品是市场上最新的技术之一,其诞生是为了让精益安全团队更轻松地在整个企业中提供持续的安全成果。 XDR 产品必须包含以下功能才能提供大多数安全团队期望的优势。 

  • XDR 产品 必须从任何可用的数据源获取数据。 此数据可以包括 1) 来自任何已部署安全控制的警报,2) 来自组织使用的任何服务的日志数据,例如组织的身份管理系统创建的日志,以及 3) 来自任何云的日志和活动相关信息环境和应用程序,例如从云访问安全代理 (CASB) 解决方案收集的活动信息。
  • XDR 产品 理想情况下,应该对所有收集的数据进行标准化,以实现大规模的综合分析。
  • XDR 产品 应使用机器学习和人工智能 (AI) 将看似不同的不相关警报和活动数据关联到易于调查的安全事件/案例。 
  • XDR 产品 应自动将所有收集的数据与重要信息关联起来,使安全分析师能够轻松快速地完成调查。
  • XDR 产品 应根据可疑安全事件对组织的潜在影响确定其优先级,从而指导安全分析师的工作。
  • XDR 产品 应提供自动响应能力,无需人工干预即可根据潜在威胁的严重性/影响启动。 

总之,NDR 和 EDR 产品最终都会输入 XDR 平台,使安全分析师能够比以往更快、更有效地完成网络安全调查。 

常见 NDR 用例

显然,NDR 产品专注于识别穿越组织网络基础设施的安全威胁。 也就是说,通过在讨论中应用用例镜头,安全决策者可能更容易理解 NDR 产品所带来的好处。 以下讨论概述了 NDR 产品可以帮助安全团队满足的几个常见安全用例。

横向运动

安全团队面临的一个常见挑战是了解攻击者何时在其环境中横向移动。 例如,当攻击者在未被检测到的情况下成功破坏用户帐户或端点时,下一个逻辑步骤是攻击者尝试进一步进入环境。 假设他们可以以隐身模式从一台设备移动到另一台设备。 在这种情况下,他们可能会发现环境中存在敏感信息的位置,从而使他们的攻击在勒索软件的情况下更具影响力。

通过在网络上移动,他们还可以识别易受攻击的应用程序或服务,使他们能够稍后打开“后门”以随意重新进入环境。 此外,为了保持环境中的持久性,许多攻击者会尝试将受感染用户帐户的权限升级为管理员权限,让他们全权更改环境,可能会关闭某些安全功能,删除日志可以留下痕迹供安全团队用来完成调查。 通过实时监控网络活动的 NDR,安全团队可以快速识别网络资产之间的可疑活动以及从网络到外部世界的异常流量模式。 NDR 产品将这种异常活动与用户操作相关联,这可以突出显示攻击者何时在其网络资产上自由移动。

受损的证书

NDR 产品可以满足的另一个日常安全用例与泄露的凭据相关。 不幸的是,如今,攻击者可以通过多种方式获取有效的用户凭据,从从暗网购买到让不知情的员工自愿提供其凭据以响应欺诈电子邮件或通过恶意网站。 一旦攻击者获得了凭据,攻击者就可以轻松访问环境。 一旦进入组织内部,攻击者就可以执行任意数量的恶意活动,例如部署破坏性勒索软件、删除关键任务数据或向外界暴露公司机密信息以造成严重破坏。 由于 NDR 的工作原理,NDR 产品使检测受损凭据变得更加容易。 例如,如果检测到一名北美员工从中国登录。 在这种情况下,NDR 产品将检测到此异常并生成警报,安全分析师可以快速调查。 由于NDR产品会自动将警告置于上下文中,因此安全分析师可以快速确定此异常是否是威胁,并在几秒钟内启动自动响应,例如限制用户对所有网络环境的访问并强制重置密码。 他们还可以确保通过与 CASB 产品集成来禁用用户对任何基于云的应用程序和网络资产的访问。
滚动到顶部