什么是网络检测和响应? 

网络检测和响应(NDR)是将规则或签名应用于网络流量的实践,以便自动触发可能指示恶意行为的活动警报.

NDR解决方案类别是从以前所知的 网络流量分析(NTA)该系统也旨在监控网络流量. 范围的扩大是对该类别在标准解决方案中包含自动响应操作的需求的回应.

这意味着大多数现代解决方案都具有监视功能, 检测, 并对潜在的威胁做出反应. 这意味着, 在检测到威胁之后, 安全人员可以立即采取措施控制或应对, 快速杀死恶意进程或隔离受感染进程 端点.

根据Gartner®的研究,组织依靠NDR来检测和控制泄露后的活动,例如 ransomware内部威胁或横向移动. 核心功能包括:

  • 能够从原始流量收集活动 
  • 在收集时或在事件分析期间丰富元数据 
  • 从与本地和云网络兼容的因素进行部署 
  • 机器学习(ML)技术,以基线正常活动和检测异常行为 
  • 基于多个因素的警报聚合成逻辑安全事件, 不仅仅是警报ID和重复警报
  • 自动响应,例如主机遏制(通过集成)或通信阻塞

网络检测和响应是如何工作的? 

NDR的工作方式是将一组安全专业人员聚集在一起,输入要监控的流程, 检测, 并响应可能对网络和业务的完整性产生负面影响的警报. 让我们更仔细地看看这些过程: 

检测可疑和潜在的恶意活动 

这个过程最重要的方面之一是能够访问有关用户活动的实时信息, 应用程序活动, 网络活动. 另外, 网络数据应该易于搜索,以便分析人员能够根据可疑活动加快对警报的调查. 能够构建自定义警报以及访问一个库也很重要 攻击者行为分析 所以这个过程是从大量关于过去可疑活动的信息开始的.

基线网络行为建模 

建立一个通常网络行为和动作的基线是非常重要的,这样自动化系统才能知道什么是正常的,什么是可疑的. 例如, 用户行为分析 是否有助于您的团队快速确定潜在威胁是外部攻击者冒充员工还是呈现某种风险的员工, 无论是由于疏忽还是恶意. UBAs将网络上的活动连接到特定的用户,而不是IP地址或资产. 然后将该活动与该用户的正常事件活动基线进行比较.

侦测网络事件

NDR解决方案应该能够在检测到事件时采取自动操作. 来自检疫, 连接终止, 执行一系列由安全运营中心(SOC)分析师开发的预定义操作, 如今,如果网络边界被攻破,应该有可能迅速拿下攻击者, 无论是在本地还是在云中. 在此过程中采取的行动将包括对事件进行深入分析, 像恶意软件这样的逆向工程攻击方法, 创建入侵报告.

创建威胁源 

A 威胁情报 (TI)馈送应该是一个连续的数据流,可以通知自动威胁优先级和修复工作. TI提要应该帮助安全组织弥补其可能缺乏某些威胁的上下文. 威胁提要有多种形式,从开源社区驱动的列表到付费的私人提要. 这些饲料的有效性很大程度上取决于以下几个因素:

  • 英特尔类型(哈希、IP、域、上下文、战略)
  • 实现 
  • 指标的年龄
  • 情报源

上下文情报馈送不仅为分析人员提供了 妥协指标(ioc) 而且还详细解释了攻击者使用的基础设施和工具. 包含上下文信息的提要对于成功检测威胁要有效得多. 

网络检测和响应的好处是什么? 

NDR的好处是巨大的. 保护的数量是没有限制的, 检测, 密切监视网络中的恶意活动并制定快速响应可以带来总体好处——以下是其中的一些好处:

  • 高保真警报提醒应该包含大量的背景信息,这样你才能做出更好的决定, 纠正问题, 降低风险, 并迅速控制警报. 
  • 基于行为的检测启用高保真网络数据的攻击检测,帮助识别新的攻击者技术的新变化. 
  • 不断变化的检测质量警报通常应该详细说明, 最近的敌对组织在证实的攻击中使用了类似的技术. 这种方式, 一切都是最新的,团队可以确信他们的检测技术是不断发展的.  
  • 上下文:攻击指标应该在a的视觉时间轴上出现 检测和响应(D&R)解决方案以及不寻常的行为. 这种组合使您的团队更容易进行调查,并对调查结果充满信心.

网络检测和响应的局限性是什么? 

NDR是必备的, 但是现代攻击者的方法已经超越了网络——你的安全范围也应该如此. NDR非常擅长检查网络日志, 但它不包括端点警报和事件,也不扩展到云.

因此,NDR产品通常不用作独立解决方案. 相反,它们是一套解决方案的一部分,为真实提供全面的覆盖 扩展检测和响应(XDR). 这包括:

User-endpoint遥测

用户遥测提供了对文件和网络访问的洞察, 注册表访问或操作, 内存管理, 开始和停止活动. 检测到的异常行为可能包括生成命令shell的进程, 内存注入次数, 或者访问不寻常的文件位置.

服务器端点遥测

服务器遥测技术提供了有关差异极大的数据的信息. 因为服务器处理这么多重要的组织功能, XDR遥测技术可以在更宏观的层面上帮助确定事件调查和补救的优先级.

网络遥测技术 

网络遥测提供了对流量的洞察, 尤指体积的突然增加, 新的网络协议, 或者异常的特权升级. 高级加密方法通常会阻碍更深入的网络分析,否则可能会挫败 威胁的演员. 结合端点遥测, 网络流量分析可能是XDR攻击的基础.

云遥测

云遥测提供了对基础设施的洞察. 这可以包括检测任何云工作负载或部署组件的安全异常. 专门针对组织云的攻击者可以通过适当的凭据轻松获得访问权限, 因此,利用XDR的先进检测技术来更快地寻找威胁并加强云环境是非常重要的.

加速深度防护

通过将攻击者行为分析作为 军事 方法, 团队可以快速开发针对新出现的攻击者行为的新规则,并在发现新技术或新趋势的几分钟内推出检测. uba擅长识别攻击链“横向移动”阶段的漏洞. aba支持在攻击生命周期的所有其他阶段检测攻击者活动.

Gartner, 网络检测与响应市场指南, 杰里米·D 'Hoinne, Nat史密斯, 托马斯Lintemuth, 12月14日.