Wykrywanie i reagowanie na zagrożenia w sieci (NDR)

NDR – Network detection and response

W planowaniu rozwiązań bezpieczeństwa kluczowe są systemy zarzadzania, które dzielimy na kilka rodzajów, m.in. NDR (Network detection and response). Powstał on z potrzeby nakreślonej przez liderów rynku bezpieczeństwa i zarządzania ryzykiem oraz dostawców usług do wykrywania i reagowania na niestandardowy ruch w sieci. NDR wcześniej był określany jako analiza ruchu sieciowego, ale nowy termin dokładniej oddaje funkcjonalność tych rozwiązań. Po zmianie nazwy, rozwiązania NDR zostały rozbudowane o więcej funkcji automatycznego i ręcznego reagowania. W tych platformach zastosowano również system uczenia maszynowego i innych technik analitycznych do monitorowania ruchu sieciowego – pomaga to przedsiębiorstwom wykrywać podejrzany ruch sieciowy.

Platformy Network detection and response

Platformy NDR (Network detection and response) są bardzo elastyczne i mają możliwość integracji z innymi rozwiązaniami bezpieczeństwa i cyberbezpieczeństwa IT. Często klienci są zadowoleni ze swoich głównych narzędzi do działania z zagrożeniami, a potrzebują jedynie rozszerzyć je o funkcjonalności NDR, osiągamy wtedy możliwość zastosowania wspólnych technik analitycznych do ruchu monitorowanego z portu SPAN. Są one ważne przy używaniu systemów zarządzania informacjami o zabezpieczeniach i zdarzeniach (SIEM), bezpieczeństwa kont uprzywilejowanych (PAM) lub (PAS), gdzie są wykorzystywane przede wszystkim techniki nieoparte na sygnaturach (na przykład uczenie maszynowe lub inne techniki analityczne) do wykrywania podejrzanego ruchu w sieciach korporacyjnych.

Narzędzia NDR

Narzędzia NDR stale analizują nieprzetworzone zapisy ruchu i/lub przepływu (na przykład NetFlow), aby budować modele, które stale odzwierciedlają normalne zachowanie sieci. Gdy nasze narzędzia NDR wykryją podejrzane wzorce ruchu, podnoszą alarm informując nas o zagrożeniu. Oprócz monitorowania ruchu we wszystkich kierunkach, który przekracza granice naszej sieci firmowej, rozwiązania NDR mogą również monitorować komunikację wewnętrzną, analizując ruch ze strategicznie rozmieszczonych czujników sieciowych. Ważną funkcją rozwiązań NDR jest również funkcjonalność tzw. odpowiedzi automatyczne (na przykład wysyłanie poleceń do zapory lub bramy sieciowej w celu odrzucenia podejrzanego ruchu) lub odpowiedzi ręczne (na przykład udostępnianie narzędzi do wykrywania zagrożeń i reagowania na wykryte incydenty) to typowe elementy narzędzi Network detection and response – NDR.

Ta grupa produktów opiera się na rozwiązaniach firm:

Cryptomage | ExtraHop | LiveAction