网络检测和响应(NDR)是一门从网络流量分析的技术发展而来的。基本上,随着网络流量变得更加复杂,而且更有可能是恶意的,网络流量分析不得不采取更加注重安全的轨迹。NDR不依靠人类监控器或更简单的行为分析,而是依靠机器学习和自动化来改善威胁搜索和事件响应。

与防火墙等基于规则的安全工具不同,NDR专注于非基于签名的机器学习和分析技术。这些工具必须能够根据连续的实时原始流量和流量分析对网络行为进行建模,提醒可能代表故障或攻击者的异常行为和流量模式。它们还必须将其分析功能转移到传统的外围,监测南北和东西方向的流量。

传统的入侵检测系统(IDS)专注于监测周边的入侵者,并在检测到攻击时发出警报,与此类似,NDR解决方案也专注于分析网络通信以检测和调查威胁。但其中一个主要区别是,NDR包括自动反应,如触发命令给防火墙以放弃可疑的流量,或手动反应,如提供威胁猎取和事件响应信息以深入挖掘。

确保完整的NDR可见性

优化NDR工具性能的最好方法是确保它获得尽可能多的信息或数据包可见性。

根据Gartner的《网络检测和响应市场指南》,”网络检测和响应(NDR)仍然是一个拥挤的市场,进入门槛很低,因为许多供应商可以将常见的分析技术应用于从SPAN端口监测的流量”。

TAP与SPAN的区别我们已经分析过。如果你的NDR工具没有得到适当的数据,它将无法为你的网络建立一个良好的基线–这意味着它将更难发现潜在的恶意异常。

我们知道,很多供应商考虑从SPAN端口镜像流量,并对输出应用分析技术,这可能会捕获潜在的恶意流量。尽管你可能对结果感到满意,但在你的可见性方面可能有一个漏洞。

SPAN(代表交换机端口分析器)是网络交换机上的一个专用端口。SPAN端口将数据包镜像到一个带外安全工具,如NDR,以进行分析。

以下是SPAN的存在的一些问题:

  • 镜像可以改变数据包中的信息,也可以改变数据包的时间戳。
  • SPAN的可用性较低。在流量繁忙时,交换机可能会重新分配优先级。
  • SPAN当端口超额订阅时,端口可能会丢弃数据包。
  • SPAN端口的扩展不会超过千兆位范围。
  • SPAN的双向通信量会带来额外的安全漏洞。

SPAN有其用途。在低带宽应用中,以及在实时智能并不重要的应用中,SPAN将发挥良好的作用。然而,这些应用并不是NDR。为了使NDR最有效地工作,它需要你的所有信息,尽可能准确地提供。然而,这并不是SPAN端口能做到的。

虹科助您减少NDR部署的阻力

在IT安全团队设计NDR部署时,设计适当的连接和数据包可见性最佳实践对于成功至关重要。这包括检测网络分路器以提供完整的数据包可见性,以确保丢弃的数据包或盲点中没有隐藏任何威胁或异常。

我们的网络分路器(网络TAP)采用单向数据二极管电路,确保了生产网络和监控工具的安全。将网络分路器与网络数据包代理一起使用,可提供聚合和重复数据删除等流量优化功能,从而提高NDR工具的性能。提供此可见性基础可确保按计划实现连续的实时原始流量分析功能。

一些公司可能正在面临着如何选择网络分路器,网络数据包代理(汇聚分流设备)和NDR解决方案供应商。可能一些汇聚分流设备厂家也出了一些NDR解决方案,把重点转移到安全和监控应用程序上,在寻求嵌入式软件产品的同时,过度销售网络汇聚分流设备和管理系统,最终将客户捆绑到一个基于许可的平台上,随着时间的推移,这会增加运营成本。

虹科只专注于我们最擅长的事情——提供简单易用的创新网络分路器和汇聚分流设备,旨在向NDR部署交付数据包。

我们仍然致力于用我们TAP-to-tool理念来支持NDR供应商,通过设计工具架构,而不是与NDR供应商竞争。我们提供了可扩展性和灵活性,在你需要的时候部署你所需要的东西,这样你就可以专注于重要的事情——性能和网络安全。

想在您的NDR部署中增加安全的网络可见性,请联系我们!

类似文章