網絡檢測和響應(NDR)是一門從網絡流量分析的技術發展而來的。基本上,随着網絡流量變得更加複雜,而且更有可能是惡意的,網絡流量分析不得不采取更加注重安全的軌迹。NDR不依靠人類監控器或更簡單的行為分析,而是依靠機器學習和自動化來改善威脅搜尋和事件響應。
與防火牆等基于規則的安全工具不同,NDR專注于非基于簽名的機器學習和分析技術。這些工具必須能夠根據連續的實時原始流量和流量分析對網絡行為進行模組化,提醒可能代表故障或攻擊者的異常行為和流量模式。它們還必須将其分析功能轉移到傳統的外圍,監測南北和東西方向的流量。
傳統的入侵檢測系統(IDS)專注于監測周邊的入侵者,并在檢測到攻擊時發出警報,與此類似,NDR解決方案也專注于分析網絡通信以檢測和調查威脅。但其中一個主要差別是,NDR包括自動反應,如觸發指令給防火牆以放棄可疑的流量,或手動反應,如提供威脅獵取和事件響應資訊以深入挖掘。
確定完整的NDR可見性
優化NDR工具性能的最好方法是確定它獲得盡可能多的資訊或資料包可見性。
根據Gartner的《網絡檢測和響應市場指南》,”網絡檢測和響應(NDR)仍然是一個擁擠的市場,進入門檻很低,因為許多供應商可以将常見的分析技術應用于從SPAN端口監測的流量”。
TAP與SPAN的差別我們已經分析過。如果你的NDR工具沒有得到适當的資料,它将無法為你的網絡建立一個良好的基線–這意味着它将更難發現潛在的惡意異常。
我們知道,很多供應商考慮從SPAN端口鏡像流量,并對輸出應用分析技術,這可能會捕獲潛在的惡意流量。盡管你可能對結果感到滿意,但在你的可見性方面可能有一個漏洞。
SPAN(代表交換機端口分析器)是網絡交換機上的一個專用端口。SPAN端口将資料包鏡像到一個帶外安全工具,如NDR,以進行分析。
以下是SPAN的存在的一些問題:
- 鏡像可以改變資料包中的資訊,也可以改變資料包的時間戳。
- SPAN的可用性較低。在流量繁忙時,交換機可能會重新配置設定優先級。
- SPAN當端口超額訂閱時,端口可能會丢棄資料包。
- SPAN端口的擴充不會超過千兆位範圍。
- SPAN的雙向通信量會帶來額外的安全漏洞。
SPAN有其用途。在低帶寬應用中,以及在實時智能并不重要的應用中,SPAN将發揮良好的作用。然而,這些應用并不是NDR。為了使NDR最有效地工作,它需要你的所有資訊,盡可能準确地提供。然而,這并不是SPAN端口能做到的。
虹科助您減少NDR部署的阻力
在IT安全團隊設計NDR部署時,設計适當的連接配接和資料包可見性最佳實踐對于成功至關重要。這包括檢測網絡分路器以提供完整的資料包可見性,以確定丢棄的資料包或盲點中沒有隐藏任何威脅或異常。
我們的網絡分路器(網絡TAP)采用單向資料二極管電路,確定了生産網絡和監控工具的安全。将網絡分路器與網絡資料包代理一起使用,可提供聚合和重複資料删除等流量優化功能,進而提高NDR工具的性能。提供此可見性基礎可確定按計劃實作連續的實時原始流量分析功能。
一些公司可能正在面臨着如何選擇網絡分路器,網絡資料包代理(彙聚分流裝置)和NDR解決方案供應商。可能一些彙聚分流裝置廠家也出了一些NDR解決方案,把重點轉移到安全和監控應用程式上,在尋求嵌入式軟體産品的同時,過度銷售網絡彙聚分流裝置和管理系統,最終将客戶捆綁到一個基于許可的平台上,随着時間的推移,這會增加營運成本。