作為網(wǎng)絡(luò)安全的關(guān)鍵組成部分， 網(wǎng)絡(luò)檢測與響應(yīng) (NDR) 包含一組不同的互補(bǔ) 網(wǎng)絡(luò)安全 技術(shù)，它們共同尋求自動監(jiān)控、檢測、分析和響應(yīng)復(fù)雜的網(wǎng)絡(luò)威脅。NDR 解決方案通常包括網(wǎng)絡(luò)流量分析、IDS/IPS 和高級威脅分析，為安全團(tuán)隊(duì)提供對網(wǎng)絡(luò)流量的實(shí)時可見性和感知，并能夠快速響應(yīng)感知到的威脅。

為什么要進(jìn)行網(wǎng)絡(luò)檢測和響應(yīng)？

隨著分布式網(wǎng)絡(luò)的發(fā)展，IDS/IPS等基于簽名的安全工具已經(jīng)不足以保障企業(yè)安全。除了基于簽名的檢測之外，安全團(tuán)隊(duì)已經(jīng)認(rèn)識到需要更廣泛的分析工具來檢測和應(yīng)對專注于網(wǎng)絡(luò)本身且沒有先前簽名的系統(tǒng)范圍的威脅。NDR 解決方案利用高級行為分析、機(jī)器學(xué)習(xí)和 AI 跨本地和云環(huán)境提供額外的保護(hù)層。

網(wǎng)絡(luò)檢測和響應(yīng)的好處

最先進(jìn)的 NDR 解決方案提供了無數(shù)好處：

• 無處不在的威脅可見性： 安全團(tuán)隊(duì)可以看到威脅——從入侵到橫向移動——在整個網(wǎng)絡(luò)中，無論是在本地還是在云中。
• 降低誤報： 組織可以減少誤報的數(shù)量，讓安全團(tuán)隊(duì)專注于阻止實(shí)際入侵。
• 更快地預(yù)防或阻止入侵： NDR 使用人工智能和機(jī)器學(xué)習(xí)來實(shí)時運(yùn)行，并以線速檢測和阻止威脅。
• 完整的攻擊可視化： 借助完整的入侵藍(lán)圖和整個網(wǎng)絡(luò)的詳細(xì)威脅時間表，安全團(tuán)隊(duì)可以快速了解攻擊范圍并確定資源的優(yōu)先級。

在 NDR 的領(lǐng)導(dǎo)者中，VMware NSX 網(wǎng)絡(luò)檢測和響應(yīng)為數(shù)據(jù)中心和多云環(huán)境中的東西向安全提供了一套緊密集成的網(wǎng)絡(luò)檢測和響應(yīng)功能。VMware NDR 解決方案具有最廣泛的檢測功能——涵蓋完全分布式的 IDS/IPS、基于行為的網(wǎng)絡(luò)流量分析和基于全系統(tǒng)仿真的 網(wǎng)絡(luò)沙箱。

網(wǎng)絡(luò)檢測和響應(yīng)如何工作？

NDR 不斷攝取和關(guān)聯(lián)跨多個資產(chǎn)和躍點(diǎn)的大量網(wǎng)絡(luò)流量和安全事件。NDR 解決方案從網(wǎng)絡(luò)周邊（以覆蓋南北流量）和網(wǎng)絡(luò)內(nèi)的傳感器（以覆蓋東西流量）收集數(shù)據(jù)，利用人工智能和機(jī)器學(xué)習(xí)來發(fā)展對正常網(wǎng)絡(luò)流量流的基線理解 - 因此也檢測不遵循正常模式的惡意活動的能力。

人工智能驅(qū)動的 NDR 工具不斷學(xué)習(xí)和適應(yīng)，以自動檢測復(fù)雜、不斷發(fā)展的威脅。如果檢測到攻擊，NDR 解決方案可以對攻擊時間線進(jìn)行端到端的取證分析，從初始滲透到網(wǎng)絡(luò)內(nèi)的橫向移動，并且可以自動觸發(fā)預(yù)防和緩解工作流程。

我們?nèi)绾握暇W(wǎng)絡(luò)檢測和響應(yīng)工作？

組織通常會就他們是否喜歡：

• 托管NDR 解決方案，其中 第三方供應(yīng)商將保護(hù)作為服務(wù)提供，并與您可能已部署的其他供應(yīng)商的產(chǎn)品提供一定程度的集成。
• 一種 內(nèi)部 NDR 解決方案，您可以在其中擁有和管理系統(tǒng)，并將其與您的其他安全技術(shù)集成。這在過去很常見，但隨著威脅形勢的擴(kuò)大，這種負(fù)擔(dān)越來越重。
• 自動化NDR 解決方案（例如 SOAR 產(chǎn)品）是一個 更復(fù)雜的系統(tǒng)，它超越了 NDR，提供了從多種安全技術(shù)和自動化事件響應(yīng)中收集的綜合數(shù)據(jù)。