網(wǎng)絡(luò)檢測(cè)和響應(yīng) (NDR) 解決方案旨在使用人工智能 (AI)、機(jī)器學(xué)習(xí) (ML) 和數(shù)據(jù)分析來(lái)檢測(cè)企業(yè)網(wǎng)絡(luò)上的網(wǎng)絡(luò)威脅。這些工具通過(guò)持續(xù)分析跨越企業(yè)邊界的網(wǎng)絡(luò)北/南流量以及東西橫向流量來(lái)構(gòu)建正常行為模型，然后使用這些模型來(lái)識(shí)別異常或可疑的流量模式。

NDR 解決方案還應(yīng)包含發(fā)出警報(bào)以外的事件響應(yīng)功能。這可能包括自動(dòng)更新防火墻規(guī)則以阻止可疑流量或提供有助于事件調(diào)查和 威脅搜尋的功能。

NDR 解決方案的必要性

大多數(shù)網(wǎng)絡(luò)攻擊都發(fā)生在網(wǎng)絡(luò)上，這對(duì)防御者來(lái)說(shuō)既好又壞。一方面，可以通過(guò)網(wǎng)絡(luò)級(jí)防御來(lái)檢測(cè)和緩解網(wǎng)絡(luò)攻擊。另一方面，普通組織網(wǎng)絡(luò)的復(fù)雜性和規(guī)模以及網(wǎng)絡(luò)威脅行為者的日益復(fù)雜使得難以從合法流量中挑選出攻擊。

深入的網(wǎng)絡(luò)可見性和高級(jí)威脅預(yù)防和檢測(cè)功能對(duì)于保護(hù)企業(yè)免受網(wǎng)絡(luò)威脅至關(guān)重要。傳統(tǒng)的、基于簽名的檢測(cè)方法通常無(wú)法有效應(yīng)對(duì)現(xiàn)代威脅，給組織留下一種錯(cuò)誤的安全感。NDR 安全解決方案提供組織所需的額外網(wǎng)絡(luò)級(jí)安全和威脅防御功能層。

NDR 如何工作？

NDR 解決方案應(yīng)該能夠通過(guò)戰(zhàn)略性放置的傳感器監(jiān)控南北和東西向的交通流。這提供了深度網(wǎng)絡(luò)可見性，支持 NDR 解決方案的其他功能，包括：

• 網(wǎng)絡(luò)事件檢測(cè)： NDR 解決方案超越基于簽名的檢測(cè)，使用人工智能 (AI)、機(jī)器學(xué)習(xí) (ML) 和數(shù)據(jù)分析來(lái)分析網(wǎng)絡(luò)流量。這使他們能夠檢測(cè)模式并識(shí)別網(wǎng)絡(luò)流量中的異常情況，從而檢測(cè)可疑或惡意流量。
• 調(diào)查： NDR 安全解決方案監(jiān)控網(wǎng)絡(luò)流量并提取可能指向異常或可疑連接的模式。NDR 解決方案使用此信息生成自動(dòng)響應(yīng)，并提供給 安全運(yùn)營(yíng)中心 (SOC) 分析師以促進(jìn)他們的事件調(diào)查活動(dòng)。
• 情報(bào)管理：網(wǎng)絡(luò)檢測(cè)和響應(yīng)解決方案可能會(huì)消耗來(lái)自組織內(nèi)部和外部的威脅情報(bào)。此情報(bào)用于幫助檢測(cè)網(wǎng)絡(luò)流量中的潛在威脅，并可作為融合安全架構(gòu)的一部分與其他安全解決方案共享。
• 源創(chuàng)建： NDR 解決方案的主要作用是為 SOC 分析師提供對(duì)當(dāng)前安全狀況和網(wǎng)絡(luò)威脅的洞察。NDR 將創(chuàng)建安全警報(bào)提要，指示可疑和潛在的惡意網(wǎng)絡(luò)流量。
• 威脅預(yù)防：除了提醒安全分析師注意潛在威脅外，NDR 解決方案還可以自動(dòng)主動(dòng)采取行動(dòng)，防止 網(wǎng)絡(luò)攻擊 得逞。這可能包括使用防火墻和其他安全解決方案來(lái)阻止可疑或已知不良流量到達(dá)其目的地，從而中斷攻擊。

NDR 如何增強(qiáng)您的安全性？

傳統(tǒng)的網(wǎng)絡(luò)安全解決方案通常以檢測(cè)為重點(diǎn)，并使用基于簽名的檢測(cè)功能。在保護(hù)企業(yè)免受現(xiàn)代網(wǎng)絡(luò)威脅時(shí)，這兩者都是責(zé)任。

許多遺留安全解決方案中使用的基于簽名的檢測(cè)方案，例如傳統(tǒng)的防病毒和入侵檢測(cè)系統(tǒng)(IDS)，在檢測(cè)現(xiàn)代威脅方面不再有效。網(wǎng)絡(luò)犯罪分子通常使用旨在區(qū)分不同活動(dòng)的惡意軟件，這意味著簽名一旦生成就會(huì)過(guò)時(shí)。NDR 解決方案使用高級(jí) AI 檢測(cè)功能來(lái)識(shí)別和響應(yīng)甚至尚不存在簽名的新型網(wǎng)絡(luò)威脅。

NDR 提供企業(yè)網(wǎng)絡(luò)內(nèi)部的可見性，使分析人員能夠確定受影響的資產(chǎn)并將其異常行為關(guān)聯(lián)起來(lái)，從而為攻擊者的策略、技術(shù)和程序提供指標(biāo)。指標(biāo)用于破壞和遏制攻擊，并指導(dǎo)損害評(píng)估和恢復(fù)操作。