Обнаружение сети и ответ (NDR) имеет долгую историю, развиваясь из сетевой безопасности и анализ сетевого трафика (NTA). Историческое определение сетевой безопасности - использование брандмауэра по периметру и Система предотвращения вторжений (IPS) для фильтрации входящего в сеть трафика, но как ИТ-технологии и технология безопасности эволюционировали из-за современных атак, использующих более сложные подходы, теперь определение намного шире.
Cегодня в сетевой безопасности все, что делает компания для обеспечения безопасности своих сетей, и все, что с ними связано. Это включает в себя сеть, облако (или облака), конечные точки, серверы, пользователей и приложения. Трафик от всех этих систем должен проходить по сети, поэтому сеть является логическим источником достоверной информации об уязвимостях безопасности.
Анализа данных конечных точек и журналов средств безопасности недостаточно, чтобы предотвратить сегодняшние атаки. Если есть что-то важное, что нужно знать о сети, так это то, что она не лжет. Вот почему Обнаружение сети и ответ завершает путь организации по обнаружению атак и реагированию на XDR / Open XDR рядом EDR для конечной точки данные и SIEM для журналов средств безопасности. Конкретно, NDR видит то, что не видят конечные точки и другие журналы (вся сеть; устройства, приложения SaaS, поведение пользователей), действует как истинный набор данных и позволяет реагировать в режиме реального времени.
Поскольку Zero Trust продолжает внедряться, сеть будет подвергаться различным сегментам, улучшающим основы безопасности. Как и в любой сложной системе, "доверяй, но проверяй" подход должен быть взят. Обнаружение сети и ответ идеально дополняет Zero Trust в качестве проверочного аналога. Обнаружение сети и ответ позволяет организациям с уверенностью принять Zero Trust и проверить его соблюдение.
Как работает отчет о недоставке?
NDR решения используют методы, не основанные на сигнатуре (например, обучение с помощью машины или другие аналитические методы) для неизвестных атак наряду с качественными методами на основе сигнатур (например, информация об угрозах, встроенная в оперативную систему для оповещений) для известных атак для обнаружения подозрительного трафика или действий. Обнаружение сети и ответ может принимать данные от выделенных датчиков, существующих межсетевых экранов, IPS / IDS, метаданные вроде Поток данных, передающихся по сети, или любой другой сетевой источник данных, предполагающий стратегическое размещение датчиков и / или другой сетевой телеметрии. Следует контролировать трафик как север / юг, так и трафик восток / запад, а также трафик в физической и виртуальной средах. Все данные собираются и хранятся в централизованном озере данных с расширенными возможностями Двигатель AI для обнаружения подозрительных моделей трафика и создания предупреждений.
Реагирование является критическим эквивалентом обнаружений для обеспечения эффективного сетевого подхода к операциям безопасности и является основополагающим для NDR. Автоматические ответы, такие как отправка команд на брандмауэр, чтобы отбросить подозрительный трафик, или в инструмент EDR, чтобы изолировать затронутую конечную точку, или ручные ответы, такие как предоставление инструментов поиска угроз или расследования инцидентов, являются общими элементами Обнаружение сети и ответ.
Обнаружение сети и ответ является важным компонентом любой современной инфраструктуры кибербезопасности. Это позволяет вам «видеть всего слона» - всю сеть - вместо того, чтобы просматривать только определенные конечные точки, пользователей или устройства, привязанные к ней.
