更新时间:2024 年 7 月 8 日
撰稿人:Annie Badman、Matthew Kosinski
网络检测和响应 (NDR) 是由网络流量分析 (NTA) 演变而来,后者最初是为了从原始网络流量数据中提取网络流量模型而开发。随着 NTA 解决方案新增行为分析与威胁响应功能,Gartner 的行业分析师在 2020 年将该类别的名称更改为“网络检测和响应”。
过去,组织依靠防病毒软件、入侵检测系统 (IDS) 和防火墙等威胁检测工具来确保网络安全。
很多此类工具都采用基于签名的检测方法,通过将入侵指标 (IOC) 与网络威胁签名数据库进行匹配来识别威胁。
签名可以是与已知网络攻击关联的任意特征,例如来自特定恶意软件种类的代码行,或特定的网络钓鱼电子邮件主题行。基于签名的工具可监控网络中这些先前发现的签名,并在找到它们时发出警报。
基于签名的工具虽然能有效阻止已知的网络威胁,但在检测新的、未知的或正在出现的威胁方面却显得力不从心。它们还难以检测缺乏唯一签名或类似于合法行为的威胁,例如:
- 网络攻击者利用窃取的凭据访问网络
- 黑客会冒充或劫持高管电子邮件帐户的商业电子邮件泄露 (BEC) 攻击
- 员工无意中执行危险行为,例如将公司数据保存到个人 USB 驱动器或点击恶意电子邮件链接
勒索软件团伙和其他高级持续性威胁可以利用这些可见性漏洞渗透网络、进行监视、提升权限并适时发动攻击。
NDR 可以帮助组织填补基于签名的解决方案留下的空白,并保护日益复杂的现代网络。
使用高级分析、机器学习和行为分析,NDR 甚至可以检测没有已知签名的潜在威胁。通过这种方式,NDR 提供了一层实时安全性,可帮助组织发现其他安全工具可能遗漏的漏洞和攻击。
根据 IBM® Security X-Force Threat Intelligence 指数获取洞察,从而更快且更有效地准备和应对网络攻击。
网络检测和响应解决方案采用主动、动态响应的方法来管理网络威胁。NDR 工具持续实时监控和分析网络活动和流量模式,以识别可能表明存在网络威胁的可疑活动。
使用 NDR 解决方案进行威胁检测通常涉及以下五个步骤:
- 收集数据
- 建立网络行为基线
- 监控恶意活动
- 响应事件
- 逐渐完善
NDR 解决方案通过遥测技术(即使用自动化技术远程源收集和传输数据的实践)获取原始网络流量数据和元数据。
NDR 工具通常从端点、网络基础架构、防火墙和其他来源收集数据,以全面了解网络。收集的数据可包括网络数据包数据、流数据和日志数据。
NDR 工具使用行为分析、AI 和机器学习来评估数据,并建立正常网络行为和活动的基线模型。
建立基线之后,系统会持续实时监控网络流量。NDR 将当前网络活动与该基线进行比较,以检测可能表明数据渗漏和其他潜在威胁的偏差。
此类偏差可能包括未经授权的访问尝试、异常数据传输、异常登录模式(例如在正常时间之外访问数据)或与未知 Web 服务器通信。
检测到可疑活动后,NDR 解决方案会提醒安全团队采取行动。一些 NDR 工具还可以采取自动化操作来缓解威胁。这类自动响应包括阻止恶意 IP 地址、隔离受损设备或限制可疑流量,以防止进一步损害。
NDR 系统通过合并检测到的威胁和响应的反馈来不断调整其网络活动模型。它们还整合了来自安全分析师和威胁情报反馈的信息。这种持续的改进提高了 NDR 工具在检测和响应不断演变的新威胁方面的准确性和有效性。
NDR 解决方案提供了各种各样的功能,与基于签名的传统威胁检测工具相比具有优势。此类功能包括:
NDR 解决方案提供实时监控和分析,能够更快地识别和响应潜在威胁。一些 NDR 工具还可以根据潜在威胁的严重程度确定优先级,并向安全团队或安全运营中心 (SOC) 发出警报。
NDR 利用 AI 和先进的机器学习算法来分析网络数据、识别模式以及发现潜在威胁,包括传统工具经常遗漏的未知威胁。
一些 NDR 解决方案具有自动响应功能,例如终止可疑的网络连接,可以在攻击发生时阻止它。NDR 工具还可以与其他安全工具集成,以执行更复杂的事件响应计划。例如,在检测到威胁后,NDR 可能会提示安全编排、自动化和响应 (SOAR) 平台运行预定义的响应手册。
很多 NDR 工具可以与威胁情报源和数据库集成,例如 MITRE ATT&CK 框架等。这些集成可以增强行为模型,并提高威胁检测的准确性。这样一来,NDR 工具便不太容易出现误报。
NDR 解决方案提供上下文数据和功能,安全团队可以使用这些数据和功能执行威胁搜寻活动,主动搜索以前未被发现的威胁。
尽管 NDR 解决方案有其优势,但也并非没有局限性。当前 NDR 工具的一些常见弱点可能包括:
NDR 工具可能需要在硬件、软件和网络安全人员方面进行大量投资。例如,初始设置可能涉及跨网段部署传感器,并投资于高容量数据存储,以处理大量网络流量数据。
为不断增长的网络扩展 NDR 解决方案是一项挑战。数据流的增加会导致资源紧张,并产生瓶颈,从而降低大型企业中威胁检测和响应解决方案的效率。
NDR 工具可能会产生许多误报,令安全团队陷入警报疲劳。即使是最轻微的正常模式偏差,也可能被标记为可疑,从而导致浪费时间,并有可能错过真正的威胁。
持续监控网络流量,包括加密通信,可能会引发隐私问题。不遵守《通用数据保护条例》(GDPR) 和《支付卡行业数据安全标准 (PCI DSS)》等法规可能会导致巨额罚款和处罚。
当今的企业网络分散而庞大,连接着数据中心、硬件、软件、IoT 设备以及企业内部和云环境中的工作负载。
组织及其安全运营中心 (SOC) 需要一套强大的工具来全面了解这些复杂的网络。他们越来越依赖于将 NDR 与其他安全解决方案相结合。
例如,NDR 是 Gartner SOC 可见性三要素的三大支柱之一,另外两个是端点检测和响应 (EDR) 以及安全信息和事件管理 (SIEM)。
- EDR 是一款旨在自动保护组织的最终用户、端点设备和 IT 资产免受网络威胁的软件。NDR 可提供网络流量的“空中视图”,而 EDR 则可提供单个端点活动的“地面视图”。
- SIEM 组合并关联来自不同安全工具和网络源(例如服务器、应用程序和设备)的安全相关日志和事件数据。NDR 工具可以通过将网络流量数据和分析流式传输到 SIEM 系统来补充这些工作,从而增强 SIEM 的安全性和监管合规有效性。
最近,SOC 还采用了扩展检测和响应 (XDR) 解决方案。XDR 将网络安全工具集成到组织的整个混合 IT 基础架构,包括端点、网络和云工作负载。许多 XDR 提供商都包含 NDR 功能,而开放的 XDR 解决方案可以利用组织现有的 NDR 功能融入现有的安全工作流程。