什么是NDR

網(wǎng)絡(luò)檢測(cè)和響應(yīng) (NDR) 是一門(mén)從曾經(jīng)被稱為網(wǎng)絡(luò)流量分析的學(xué)科發(fā)展而來(lái)的學(xué)科?；旧希S著網(wǎng)絡(luò)流量變得更加復(fù)雜——并且更有可能是惡意的——網(wǎng)絡(luò)流量分析必須采取更加以安全為中心的軌跡。NDR 不依賴人工監(jiān)控器或更簡(jiǎn)單的行為分析，而是依賴機(jī)器學(xué)習(xí)和自動(dòng)化來(lái)改進(jìn)威脅搜尋和事件響應(yīng)。

與防火墻等基于規(guī)則的安全工具不同，NDR 專注于非基于簽名的機(jī)器學(xué)習(xí)和分析技術(shù)。這些工具必須能夠基于連續(xù)的實(shí)時(shí)原始流量和流量分析對(duì)網(wǎng)絡(luò)行為進(jìn)行建模，警告可能代表故障或攻擊者的異常行為和流量模式。他們還必須將分析超出傳統(tǒng)范圍，同時(shí)監(jiān)控南北和東西流量。

與專注于監(jiān)控入侵者周邊并在檢測(cè)到攻擊時(shí)發(fā)出警報(bào)的傳統(tǒng)入侵檢測(cè)系統(tǒng) (IDS) 類似，NDR 解決方案也專注于分析網(wǎng)絡(luò)通信以檢測(cè)和調(diào)查威脅。但主要區(qū)別之一是 NDR 包括自動(dòng)響應(yīng)，例如觸發(fā)防火墻命令以丟棄可疑流量或手動(dòng)響應(yīng)，例如提供威脅搜尋和事件響應(yīng)信息以進(jìn)行更深入的挖掘。

確保完整的NDR可見(jiàn)性

優(yōu)化 NDR 工具性能的最佳方法是確保它獲得盡可能多的信息或數(shù)據(jù)包可見(jiàn)性。

根據(jù)Gartner 的網(wǎng)絡(luò)檢測(cè)和響應(yīng)市場(chǎng)指南，“網(wǎng)絡(luò)檢測(cè)和響應(yīng) (NDR) 仍然是一個(gè)“擁擠”的市場(chǎng)，進(jìn)入門(mén)檻很低，因?yàn)樵S多供應(yīng)商可以將常見(jiàn)的分析技術(shù)應(yīng)用于從 SPAN 端口監(jiān)控的流量。

SPAN（代表交換機(jī)端口分析器）是網(wǎng)絡(luò)交換機(jī)上的專用端口。SPAN 端口將數(shù)據(jù)包鏡像到帶外安全工具（如 NDR）以進(jìn)行分析。

如果您的 NDR 工具沒(méi)有獲得正確的數(shù)據(jù)，它將無(wú)法為您的網(wǎng)絡(luò)建立一個(gè)良好的基線——這意味著將更難檢測(cè)潛在的網(wǎng)絡(luò)異常。我們知道，許多供應(yīng)商考慮從 SPAN 端口鏡像流量并將分析技術(shù)應(yīng)用于輸出，這可能會(huì)捕獲潛在的惡意流量。盡管您可能對(duì)結(jié)果感到滿意，但您的可見(jiàn)性可能存在漏洞。

以下是 SPAN 的問(wèn)題：

• 鏡像可以改變數(shù)據(jù)包內(nèi)的信息以及數(shù)據(jù)包時(shí)間。

• SPAN 的可用性較低、交換機(jī)可以在流量大的時(shí)候重新分配優(yōu)先級(jí)。

• 當(dāng)端口超額訂閱時(shí)，SPAN 端口可能會(huì)丟棄數(shù)據(jù)包。

• SPAN 端口不會(huì)超過(guò)千兆范圍。

• SPAN 的雙向流量存在額外的安全漏洞。

SPAN 有它的用途。在低帶寬應(yīng)用程序以及不重要的應(yīng)用程序中，SPAN 將很好地發(fā)揮作用。但是，它并不適用于NDR。為了使 NDR 最有效地工作，它需要您提供的所有信息，盡可能準(zhǔn)確。然而SPAN 端口無(wú)法做到這一點(diǎn)。

卓越的網(wǎng)絡(luò)可見(jiàn)性技術(shù)

當(dāng) IT 安全團(tuán)隊(duì)設(shè)計(jì) NDR 部署時(shí)，構(gòu)建適當(dāng)?shù)倪B接和數(shù)據(jù)包可見(jiàn)性最佳實(shí)踐對(duì)于成功至關(guān)重要。這包括檢測(cè)網(wǎng)絡(luò) TAP 以提供完整的數(shù)據(jù)包可見(jiàn)性，以確保沒(méi)有威脅或異常隱藏在丟棄的數(shù)據(jù)包或盲點(diǎn)中。

虹科的網(wǎng)絡(luò) TAP 具有單向數(shù)據(jù)二極管電路，可確保生產(chǎn)網(wǎng)絡(luò)和監(jiān)控工具的安全。將網(wǎng)絡(luò) TAP 與網(wǎng)絡(luò)數(shù)據(jù)包代理配對(duì)可提供流量減少功能，例如聚合和重復(fù)數(shù)據(jù)刪除，可提高 NDR 工具的性能。提供這種可見(jiàn)性基礎(chǔ)可確保按計(jì)劃進(jìn)行持續(xù)的實(shí)時(shí)原始流量分析功能。

虹科專注于做我們最擅長(zhǎng)的事情——提供簡(jiǎn)單易用的創(chuàng)新網(wǎng)絡(luò) TAP 和數(shù)據(jù)包代理，旨在將數(shù)據(jù)包傳送到 NDR 部署。希望為您的 NDR 部署添加安全的 TAP 可見(jiàn)性？

虹科提供完整的網(wǎng)絡(luò)可見(jiàn)性解決方案，包括網(wǎng)絡(luò)TAP，ByPass交換機(jī)和匯聚分流設(shè)備。網(wǎng)絡(luò)可見(jiàn)性對(duì)保證NTA/NDR工具準(zhǔn)確性至關(guān)重要。網(wǎng)絡(luò)可見(jiàn)性方案可以復(fù)制來(lái)自網(wǎng)絡(luò)任何部分的相關(guān)數(shù)據(jù)，包括內(nèi)部、云和虛擬環(huán)境中的數(shù)據(jù)。通過(guò)網(wǎng)絡(luò)匯聚分流設(shè)備，數(shù)據(jù)可被有效地傳遞到網(wǎng)絡(luò)監(jiān)控，安全和分析解決方案，以確保沒(méi)有“盲點(diǎn)”。

往期推薦

【虹科】進(jìn)階-端到端的網(wǎng)絡(luò)流量監(jiān)控

【虹科】-網(wǎng)絡(luò)監(jiān)控協(xié)議總結(jié)

【虹科】使用nprobe+ntopng監(jiān)控上百個(gè)路由器流量

【虹科】-使用Allegro快速分析網(wǎng)絡(luò)負(fù)載問(wèn)題