主页 topics NDR 什么是网络检测和响应 (NDR)?
深入了解 IBM 的网络检测和响应解决方案 订阅安全主题更新
包含云朵、手机、指纹、对号的拼贴插图
什么是 NDR?

网络检测和响应 (NDR) 是网络安全技术的一个类别,使用非基于签名的方法(例如人工智能机器学习和行为分析)来检测网络上的可疑或恶意活动,并响应网络威胁。

NDR 是由网络流量分析 (NTA) 演变而来,后者最初是为了从原始网络流量数据中提取网络流量模型而开发。随着 NTA 解决方案添加了行为分析和威胁响应功能,行业分析机构 Gartner 在 2020 年将类别重命名为 NDR。

为什么 NDR 很重要

网络是当今互联世界的基础,也是威胁参与者的主要目标。

传统上,组织依靠防病毒软件、入侵检测系统 (IDS) 和防火墙等威胁检测工具来确保网络安全

许多此类工具都采用基于签名的检测方法,通过将入侵指标 (IOC) 与网络威胁签名数据库进行匹配来识别威胁。

签名可以是与已知网络攻击关联的任何特征,例如来自特定恶意软件种类的代码行,或特定的网络钓鱼电子邮件主题行。基于签名的工具可监控网络中这些先前发现的签名,并在找到它们时发出警报。

基于签名的工具虽然能有效阻止已知的网络威胁,但在检测新的、未知的或正在出现的威胁方面却显得力不从心。它们还难以检测缺乏唯一签名或类似于合法行为的威胁,例如:

  • 网络攻击者利用窃取的凭据访问网络

  • 黑客冒充或劫持高管电子邮件账户的商业电子邮件泄露 (BEC) 攻击

  • 员工无意中执行危险行为,例如将公司数据保存到个人 USB 驱动器或点击恶意电子邮件链接

勒索软件团伙和其他高级持续性威胁可以利用这些可见性漏洞渗透网络、进行监视、提升权限并适时发动攻击。

NDR 可以帮助组织填补基于签名的解决方案留下的空白,并保护日益复杂的现代网络。

使用高级分析、机器学习和行为分析,NDR 甚至可以检测没有已知签名的潜在威胁。通过这种方式,NDR 提供了一层实时安全性,可帮助组织发现其他安全工具可能遗漏的漏洞和攻击。

IBM® X-Force Threat Intelligence 指数

根据 IBM® Security X-Force Threat Intelligence 指数获取洞察,从而更快且更有效地准备和应对网络攻击。

NDR 工具如何工作?

网络检测和响应解决方案采用主动、动态响应的方法来管理网络威胁。NDR 工具持续实时监控和分析网络活动和流量模式,以识别可能表明存在网络威胁的可疑活动。

使用 NDR 解决方案进行威胁检测通常涉及以下五个步骤:

  1. 收集数据
  2. 建立网络行为基线
  3. 监控恶意活动
  4. 响应事件
  5. 逐渐完善
1. 收集数据

NDR 解决方案通过遥测技术(即使用自动化技术远程源收集和传输数据的实践)获取原始网络流量数据和元数据。

NDR 工具通常从端点、网络基础架构、防火墙和其他来源收集数据,以全面了解网络。收集的数据可包括网络数据包数据、流数据和日志数据。

2. 建立网络行为基线

NDR 工具使用行为分析、AI 和机器学习来评估数据,并建立正常网络行为和活动的基线模型。

3. 监控恶意活动

建立基线之后,系统会持续实时监控网络流量。NDR 将当前网络活动与该基线进行比较,以检测可能表明数据渗漏和其他潜在威胁的偏差。

此类偏差可能包括未经授权的访问尝试、异常数据传输、异常登录模式(例如在正常时间之外访问数据)或与未知 Web 服务器通信。

4. 响应事件

检测到可疑活动后,NDR 解决方案会提醒安全团队采取行动。一些 NDR 工具还可以采取自动化操作来缓解威胁。这类自动响应包括阻止恶意 IP 地址、隔离受损设备或限制可疑流量,以防止进一步损害。

5.逐步完善

NDR 系统通过合并检测到的威胁和响应的反馈来不断调整其网络活动模型。它们还整合了来自安全分析师和威胁情报反馈的信息。这种持续的改进提高了 NDR 工具在检测和响应不断演变的新威胁方面的准确性和有效性。

NDR 的优势

NDR 解决方案提供了各种各样的功能,与基于签名的传统威胁检测工具相比具有优势。此类功能包括:

实时威胁检测能力

NDR 解决方案提供实时监控和分析,能够更快地识别和响应潜在威胁。一些 NDR 工具还可以根据潜在威胁的严重程度确定优先级,并向安全团队或安全运营中心 (SOC) 发出警报。

网络周边和内部的全面可见性

NDR 可提供对本地和混合云环境中所有网络活动的可见性。这种全面的可见性可以帮助组织拦截更多安全事件。

由于 NDR 解决方案可监控南北向(出口和入口)和东西向(内部)网络流量,因此它们可以检测到网络边界的入侵和网络内的横向移动。发现网络内部异常的能力可帮助 NDR 捕获伺机而动的高级威胁。一些 NDR 工具还可以检测隐藏在加密流量中的威胁。

AI 驱动的威胁分析

NDR 利用 AI 和先进的机器学习算法来分析网络数据、识别模式以及发现潜在威胁,包括传统工具经常遗漏的未知威胁。

自动事件响应

一些 NDR 解决方案具有自动响应功能,例如终止可疑的网络连接,可以在攻击发生时阻止它。NDR 工具还可以与其他安全工具集成,以执行更复杂的事件响应计划。例如,在检测到威胁后,NDR 可能会提示安全编排、自动化和响应 (SOAR) 平台运行预定义的响应手册。

与威胁情报整合

很多 NDR 工具可以与威胁情报源和数据库集成,例如 MITRE ATT&CK 框架等。这些集成可以增强行为模型,并提高威胁检测的准确性。这样一来,NDR 工具便不太容易出现误报。

威胁搜寻

NDR 解决方案提供上下文数据和功能,安全团队可以使用这些数据和功能执行威胁搜寻活动,主动搜索以前未被发现的威胁。

NDR 的潜在缺点

尽管 NDR 解决方案有其优势,但也并非没有局限性。当前 NDR 工具的一些常见弱点可能包括:

复杂性和成本

NDR 工具可能需要在硬件、软件和网络安全人员方面进行大量投资。例如,初始设置可能涉及跨网段部署传感器,并投资于高容量数据存储,以处理大量网络流量数据。

可扩展性问题

为不断增长的网络扩展 NDR 解决方案是一项挑战。数据流的增加会导致资源紧张,并产生瓶颈,从而降低大型企业中威胁检测和响应解决方案的效率。

误报

NDR 工具可能会产生许多误报,令安全团队陷入警报疲劳。即使是最轻微的正常模式偏差,也可能被标记为可疑,从而导致浪费时间,并有可能错过真正的威胁。

隐私和监管问题

持续监控网络流量,包括加密通信,可能会引发隐私问题。不遵守《通用数据保护条例》(GDPR)《支付卡行业数据安全标准 (PCI DSS)》等法规可能会导致巨额罚款和处罚。

NDR 和其他安全解决方案

当今的企业网络分散而庞大,连接着数据中心、硬件、软件、IoT 设备以及企业内部和云环境中的工作负载。

组织及其安全运营中心 (SOC) 需要一套强大的工具来全面了解这些复杂的网络。他们越来越依赖于将 NDR 与其他安全解决方案相结合。

例如,NDR 是 Gartner SOC 可见性三要素的三大支柱之一,另外两个是端点检测和响应 (EDR) 以及安全信息和事件管理 (SIEM)。

  • EDR 是一款旨在自动保护组织的最终用户、端点设备和 IT 资产免受网络威胁的软件。NDR 可提供网络流量的“空中视图”,而 EDR 则可提供单个端点活动的“地面视图”。

  • SIEM 组合并关联来自不同安全工具和网络源(例如服务器、应用程序和设备)的安全相关日志和事件数据。NDR 工具可以通过将网络流量数据和分析流式传输到 SIEM 系统来补充这些工作,从而增强 SIEM 的安全性和监管合规有效性。

最近,SOC 还采用了扩展检测和响应 (XDR) 解决方案。XDR 将网络安全工具集成到组织的整个混合 IT 基础架构,包括端点、网络和云工作负载。许多 XDR 提供商都包含 NDR 功能,而开放的 XDR 解决方案可以利用组织现有的 NDR 功能融入现有的安全工作流程。

相关解决方案
威胁检测和响应解决方案

利用 IBM 威胁检测和响应解决方案来加强您的安全性并加速威胁检测。

深入了解威胁检测和响应解决方案
云安全解决方案

从容自信地迁移至混合多云环境,将安全功能融入云之旅的每一个阶段。

探索云安全解决方案
托管基础架构和网络安全服务

利用久经考验的安全技能、专业知识和现代解决方案,保护您的基础架构和网络免遭复杂的网络安全威胁。

探索托管基础架构和网络安全服务
资源 2023 年数据泄露成本报告

了解数据泄露原因以及增加或减少成本的因素,以便做好更充分的准备。

生成式 AI 时代的网络安全

了解当今的安全环境如何变化,以及如何应对挑战并利用生成式 AI 的弹性。

什么是人工智能?

人工智能 (AI) 利用计算机和机器来模仿人类大脑解决问题和决策的能力。

采取后续步骤

IBM 网络安全服务提供咨询、集成和托管安全服务以及进攻和防御功能。我们将全球专家团队、专有技术及合作伙伴技术相结合,共创量身定制的安全计划来管理风险。

深入了解网络安全服务