作为网络安全的关键组成部分, 网络检测与响应 (NDR) 包含一组不同的互补 网络安全 技术,它们共同寻求自动监控、检测、分析和响应复杂的网络威胁。NDR 解决方案通常包括网络流量分析、IDS/IPS 和高级威胁分析,为安全团队提供对网络流量的实时可见性和感知,并能够快速响应感知到的威胁。
为什么要进行网络检测和响应?
随着分布式网络的发展,IDS/IPS等基于签名的安全工具已经不足以保障企业安全。除了基于签名的检测之外,安全团队已经认识到需要更广泛的分析工具来检测和应对专注于网络本身且没有先前签名的系统范围的威胁。NDR 解决方案利用高级行为分析、机器学习和 AI 跨本地和云环境提供额外的保护层。
网络检测和响应的好处
最先进的 NDR 解决方案提供了无数好处:
- 无处不在的威胁可见性: 安全团队可以看到威胁——从入侵到横向移动——在整个网络中,无论是在本地还是在云中。
- 降低误报: 组织可以减少误报的数量,让安全团队专注于阻止实际入侵。
- 更快地预防或阻止入侵: NDR 使用人工智能和机器学习来实时运行,并以线速检测和阻止威胁。
- 完整的攻击可视化: 借助完整的入侵蓝图和整个网络的详细威胁时间表,安全团队可以快速了解攻击范围并确定资源的优先级。
在 NDR 的领导者中,VMware NSX 网络检测和响应为数据中心和多云环境中的东西向安全提供了一套紧密集成的网络检测和响应功能。VMware NDR 解决方案具有最广泛的检测功能——涵盖完全分布式的 IDS/IPS、基于行为的网络流量分析和基于全系统仿真的 网络沙箱。
网络检测和响应如何工作?
NDR 不断摄取和关联跨多个资产和跃点的大量网络流量和安全事件。NDR 解决方案从网络周边(以覆盖南北流量)和网络内的传感器(以覆盖东西流量)收集数据,利用人工智能和机器学习来发展对正常网络流量流的基线理解 - 因此也检测不遵循正常模式的恶意活动的能力。
人工智能驱动的 NDR 工具不断学习和适应,以自动检测复杂、不断发展的威胁。如果检测到攻击,NDR 解决方案可以对攻击时间线进行端到端的取证分析,从初始渗透到网络内的横向移动,并且可以自动触发预防和缓解工作流程。
我们如何整合网络检测和响应工作?
组织通常会就他们是否喜欢:
- 托管NDR 解决方案,其中 第三方供应商将保护作为服务提供,并与您可能已部署的其他供应商的产品提供一定程度的集成。
- 一种 内部 NDR 解决方案,您可以在其中拥有和管理系统,并将其与您的其他安全技术集成。这在过去很常见,但随着威胁形势的扩大,这种负担越来越重。
- 自动化NDR 解决方案(例如 SOAR 产品)是一个 更复杂的系统,它超越了 NDR,提供了从多种安全技术和自动化事件响应中收集的综合数据。