寫在前面:這幾個概念也都清楚,但有人問起時,還真不容易完整地列出來,并說得透徹明白。本文正好做個完整的介紹。???????

    網絡安全領域從不缺少縮寫。無論是協議和標準,還是工具和技術,市場都被無窮無盡的大寫字母組合所主導。

    最近,為了對抗越來越多針對組織的攻擊,許多與安全相關的縮寫現在都采用了類似的字母,即“D”表示檢測,“R”表示響應。這給不熟悉這些術語的買家帶來了很多困惑。因此,讓我們區分一下這些檢測和響應產品之間的差異,以找到適合您的產品。

理解檢測和響應

    讓我們從基礎開始:這些產品的共同核心功能是檢測和響應。為了理解這些功能,我們必須深入研究許多傳統安全工具最初采用的方法。

    在網絡安全市場的早期,防病毒軟件占統治地位,方法非常簡單。只要潛在威脅與已知威脅的簽名或特征相匹配,它就會被終止或阻止執行。這種方法在一段時間內運行良好,但一旦威脅情況開始變化,這種方法就過時了。

    首先,惡意軟件設計者很快就學會了創建能夠繞過防病毒工具的多態病毒代碼。其次,針對活躍的人類攻擊者,傳統的防病毒軟件提供的保護很少。由于這些原因,需要一種新的戰術。

    現代技術使用簡單的簽名匹配之外的方法檢測廣泛的威脅,以及一旦發現威脅就能夠快速有效地做出響應的能力。當我們回顧這些產品時,您將看到這種方法仍然是每個解決方案的基礎。

什么是EDR??

    EDR,或端點檢測和響應,可以說是這個名單中使用最廣泛的產品,全球市場預計在未來幾年內每年將超過70億美元,并且有可能上升到更高。

    它受歡迎很大程度上可能源于人們認為它是傳統防病毒產品的繼承者,彌補了防病毒的許多缺點。

    正如它的名字一樣,EDR對端點的關注是它的關鍵亮點。其思想是,每個端點,無論是筆記本電腦、臺式機、服務器、虛擬機,某些情況下是移動設備,都是攻擊者的潛在入口。因此,防御者對這些設備上發生的事情有最高級別的可見性非常重要。

    EDR代理軟件被部署到組織內的端點,并開始記錄該系統上發生的活動。我們可以將這些代理描繪成關心該設備上運行的進程和事件的安全攝像頭。然后,EDR代理使用這些記錄的數據來檢測潛在的威脅。

    EDR有許多方法可以檢測威脅。有些通過機器學習在端點上進行本地檢測,有些將所有記錄的數據轉發到內部控制服務器進行分析,有些將記錄的數據上傳到云進行檢測和檢查,更多的是使用多種方法的混合方式。

    EDR中的檢測可以基于一系列機制,包括人工智能、威脅情報、行為分析、攻陷指標(IOC),以及取決于不同供應商的獨特方法。這些工具還提供不同范圍的響應能力,其中可能包括觸發警報、將機器與網絡隔離、回滾到已知的良好狀態、刪除或終止威脅以及生成取證證據文件等操作。

    使用EDR,將代理軟件部署到盡可能多的系統中至關重要。這可以被視為一個缺點,因為目標應該是將代理完全部署到環境中的所有設備,這是一項耗時且具有潛在挑戰性的任務。然而,覆蓋盡可能多的端點對于從EDR檢測功能中獲得最大價值關系巨大。

什么是NDR?

    一旦我們理解了EDR只關注端點,我們就可以開始理解許多組織在NDR(網絡檢測和響應)中看到的必要性。

    顧名思義,NDR從流經組織的網絡流量中檢測數據。NDR供應商可能有多種方法來觀察和分析這種流量,但通常需要一個網絡探頭。典型的物理網絡設備、虛擬設備或兩者的組合。然后,這些探頭被放置到網絡中,在流量流向目的地時觀察流量,或者以鏡像方式,流量的副本被轉發以供分析。

    NDR檢測通常基于對環境的整體了解。NDR不像EDR那樣基于不尋常的進程或細粒度事件來檢測威脅,而是基于異常或未經授權的協議、端口利用、奇怪的使用時間和傳輸大小等來查找潛在威脅。

    作為一個比喻,我們可以把NDR描繪成一個觀察車輛駕駛的高速公路巡警。如果執法人員觀察到違規行為,他們可以采取必要的行動,以確保交通安全。NDR可能觸發警報、丟掉流量、隔離設備并生成取證證據。

    我們應該始終考慮到NDR的優點和缺點。一個關鍵的好處是它不依賴于每個端點上部署的代理軟件。這使得它非常適合EDR可能無法覆蓋每個系統的環境。NDR的另一個優勢是可以檢測和響應未經授權的設備。如果攻擊者將未經授權的筆記本電腦插入到您的環境中,NDR應該能夠檢測到這一點,并允許您對來自該設備的流量采取行動。

    然而,NDR面臨的一個巨大挑戰來自現代網絡不斷發展。許多組織現在都采用了在家工作的政策,這模糊了傳統網絡邊界的界限。如果一個組織雇用了大量的遠程工作人員,他們可能永遠不會在通常定義的公司網絡中產生流量,那么NDR對發生的事情的可見性將是最低的,可能提供的價值也有限。

    網絡檢測和響應(NDR)解決方案調查您的網絡中已知和未知的威脅和可疑活動,持續分析來自網絡的流量,創建正常行為模式。為了檢測網絡中的異常流量,NDR解決方案主要使用非基于簽名的工具(機器學習或其他分析技術),不像傳統軟件依賴于被歸類為惡意或非惡意的簽名。

    如果檢測到任何可疑行為,NDR會向安全團隊發出警報,并在事件發生時為您提供響應功能,協助IT專家緩解惡意軟件導致的后果。

    更先進的NDR平臺可以幫助您提供可靠的取證功能,提供長期的數據存儲。當檢測到攻陷指標(IOC)時,安全團隊可以使用這些數據來發現被入侵主機通信,評估橫向移動,并確定是否發生了數據泄露。

NDR的好處

    使用NDR解決方案將顯著提高整個組織網絡的可見性,覆蓋任何盲點。基于無簽名的AI學習使NDR能夠正確識別更復雜的、無文件的惡意軟件。它的分析和行為特性將為已知和未知的惡意軟件提供更準確的威脅警報。

    在NDR的幫助下,IT團隊可以獲得更快的響應,NDR在相關威脅發生時盡可能快地發送警報,由于其集中數據,可以在整個網絡上進行快速威脅調查,并幫助緩解威脅。

    NDR專注于分析網絡流量中的數據包數據,是最可靠、準確、全面的信息源。NDR解決方案通過提供網絡上下文和對威脅的自動化響應來提高安全性,允許網絡和安全團隊之間進行更多的協作,并更快地進行修復。

什么是TDR?

    威脅檢測和響應(TDR)是一個難以定義的術語,因為多個供應商提供了使用該名稱的不同工具。為了更好地理解TDR的使用,我們將重點介紹TDR技術的兩種最常見的用法,端點TDR和分析TDR。

    端點TDR本質上是對EDR及其可能生成的大量數據的一種改進方法。正如我們所討論的,傳統的EDR旨在盡可能多地記錄端點上發生的事件數據。這意味著它不僅可以檢測威脅,還可以為安全分析師、事件響應人員和威脅獵人提供有價值的數據池,以便在調查期間進行查詢。不幸的是,這也造成了一種情況,即EDR工具記錄的大量數據被視為不必要的噪音。

    在我們之前的類比中,我們把EDR想象成一個安全攝像頭,記錄房間里發生的事情,每天運行24小時。當我們在尋找發生的事件時回看錄制,我們必須花時間快進無關的內容。一些TDR工具試圖解決這個問題,方法是只記錄它認為正在發生潛在威脅的數據,或者只記錄最有可能揭示威脅的一組策略流程和事件。當檢測到威脅時,這種形式的TDR通常與傳統的EDR非常相似。

    分析型TDR則是與端點型TDR是完全不同的方法。對于分析型TDR,讓我們將其想象為應用于現有數據的檢測和響應功能。許多組織正在轉向大數據模型,在大數據模型中,大量的信息被收集并存儲在一起。分析性TDR方法利用現有的數據湖并進行威脅檢測分析。一旦檢測到威脅,就可以觸發警報,并解決問題。這種類型的TDR的一個缺點是它依賴于那些大數據結構。如果一個組織還沒有實現大數據結構,那么這種形式的TDR將沒有價值。

什么是XDR?

    從以上的描述中,我們了解到EDR專注于端點,但很少監控網絡流量。然而,NDR在檢測網絡級別的威脅方面表現出色,但不能為終端設備提供細粒度檢測和響應能力。最好的方法是同時使用這些工具,這是目前許多組織所做的。不幸的是,許多安全分析師發現這種方法很不方便,因為使用多個產品和控制臺的本質上是脫節的。

    這就是XDR(擴展檢測和響應)最近被認可的原因。XDR推崇單一平臺的思想,該平臺可以吸收端點代理軟件數據、網絡級信息,在許多情況下還包括設備日志。這些數據是相互關聯的,可以從一個或多個遙測源進行檢測。

    XDR的一個好處包括簡化分析人員角色的功能,允許他們從單個控制臺查看檢測并采取響應操作。單儀表盤方法提供了更快的實現價值的時間、更低的學習曲線和更快的響應時間,因為分析師不再需要在窗口之間切換。XDR的另一個優勢是它能夠將多個遙測源組合在一起,以實現檢測的整體視圖。這些工具不僅可以看到端點上發生的情況,還可以看到端點之間發生的情況。

    由于XDR是這個列表中最新的技術之一,所以我提出一個警告。在評估XDR解決方案時,請盡職調查并熟悉它們的特性。有些工具可能提供尖端的、跨功能的檢測和響應功能,其他工具可能只是重新命名的老工具,以利用技術趨勢進行營銷。了解XDR的好處是什么,并確保您評估的工具符合這些準則。

    擴展檢測和響應(XDR)解決方案是為事件檢測和響應而構建的統一平臺。XDR自動收集和分析來自多層安全的數據,如電子郵件、端點、服務器、云工作負載和網絡。

    這意味著XDR可以幫助您的IT團隊跨多層安全識別、調查和減輕威脅,而不僅僅關注端點檢測。XDR通過執行內部和外部流量的AI分析來幫助檢測惡意威脅,以發現可能的攻擊。

    它還可以在集成威脅情報的幫助下避免攻擊并檢測零日漏洞,其中包括關于多種方式的已知攻擊策略、來源和工具的信息。

    XDR收集和提供的各種數據可以為攻擊后的調查提供有價值的見解。比如感染的入口點、受影響的系統、攻擊的來源,等等。

什么是MDR?

    托管檢測和響應(MDR)是我們目前為止所回顧的產品的異類,因為它不一定是一種技術,而是一種服務解決方案,它包含了技術、人員和流程。

    MDR是基于這樣一個事實制定的:有許多很棒的檢測和響應工具可用,但許多組織在管理這些工具所需的時間和人才方面都受到嚴重限制。因此,MDR將威脅檢測和相關響應操作作為托管服務提供。

    MDR服務有許多類型,但為了簡單起見,我們將重點介紹兩種:純服務和以產品為中心的服務。

    以產品為中心的MDR通常涉及銷售工具的供應商,然后在這些工具的基礎上提供托管服務來運行這些工具。把它想象成一個汽車經銷商賣給你一輛車,同時配備一個專職司機。這帶來了許多好處和考慮。供應商在他們的工具方面是專家,因此,可以為這些工具提供專家級的指導、支持和管理。然而,他們的關注點通常僅限于他們所銷售的工具。

    如果您的組織擁有各種各樣的安全工具,那么以產品為中心的MDR方法將只與它們提供的工具一起工作,要求您的團隊要么管理其余的工具,要么將您的技術整合到該供應商的產品中。

    一個純服務的MDR供應商是與您現有的安全產品一起工作來檢測和響應威脅。在這個例子中,我們可以想象一個雇來的司機會駕駛你目前擁有的任何汽車。這些MDR供應商通過提供專家來利用現有的工具集,成為組織所需的資源,使組織避免將其技術整合到單個供應商。這有利于客戶,他們可以實現一系列最適合自己需求的工具,然后利用MDR供應商進行檢測和響應操作。

    一個純服務的MDR供應商可以與客戶一起成長和發展,并建立持久的、信任的關系,而不是專注于銷售產品。

哪種檢測和響應解決方案最適合您?

    每個組織都有不同的安全和業務需求,但它們都有一個共同點—需要監視系統并檢測威脅。您需要選擇適合自己的工具

https://arcticwolf.com/resources/blog/understanding-between-edr-ndr-tdr-xdr-mdr/

網絡檢測與響應(NDR)如何工作

2023年1月23日

    網絡檢測和響應(NDR)是一種網絡安全方法,可以識別和阻止傳統網絡網關工具無法檢測到的網絡威脅。NDR有時也稱為網絡流量分析(NTA,Network Traffic Analysis)。

    在高層次上,NDR工具檢查異常或意外的流量和網絡行為,這些行為可能表明即將發生網絡安全攻擊或數據泄露。NDR為企業提供了分析來自各種數據源的網絡威脅的能力,包括那些沒有先前簽名的網絡威脅,包括出現在云環境中的網絡威脅。

NDR使用什么技術?

    NDR產品可以利用多種技術來分析網絡流量,但最常見的是機器學習和行為分析。這些技術持續分析原始數據包通信和流量記錄,以生成預期網絡行為的模型(或“基線”)。

    當NDR檢測到違反預期基線的異常、意外網絡活動時,這些系統通過向網絡安全團隊傳送一個信號進行響應,以供審查。根據過濾器的設置方式,類似的網絡流量要么被阻止,要么被允許通過,或者在分析人員審查報警信號后被限制或允許通過。

    作為網絡安全工具,區分NDR與更傳統的基于規則的網絡安全方法,如獨立SIEM(安全信息和事件管理))非常重要,后者嚴格依賴于預定的規則。

    現代NDR分析原始網絡流量日志,而不是“回看”已經通過網絡的流量—因此,現代NDR作為一個獨立的產品或與傳統網絡安全工具結合使用可以提供更全面的覆蓋。NDR還可以從現有的網絡基礎設施,包括防火墻,收集網絡流量數據。

一些最著名的NDR技術:

  • Darktrace
  • Vectra AI
  • Cisco Stealthwatch
  • Awake Security Platform
  • ExtraHop Reveal(x)
  • Blue Hexagon
  • RSA NetWitness Network
  • IronNet IronDefense


網絡檢測和響應軟件的運行環境是怎樣的?

    NDR非常適合于企業網絡環境,包括那些為跨多個地點的分布式工作人員提供服務的環境。NDR有助于集中和管理監控以閃電般的速度進出企業網絡的大量網絡流量的繁重任務。

    NDR軟件通常安裝在本地,但托管網絡安全提供商越來越多地提供遠程托管和管理的“即服務”產品。無論是哪種情況,SOC團隊都必須能夠響應警報,并對NDR設置進行頻繁調整或提出建議。

NDR軟件的核心功能和好處

    NDR的核心是進一步保護已經通過其他方式被監控和保護的企業網絡。NDR很少單獨使用,相反,它是統一網絡安全方法的核心組件,將機器學習和其他人工智能驅動的增強技術添加到組合中。

    先進的NDR解決方案使企業能夠從各個方面洞察傳統安全工具無法提供的網絡流量,而不僅僅是入口和出口流量。實際上,NDR還可以檢測網絡內部的異常網絡流量行為,以及進入和流出云環境的流量。

    真正的NDR可以是對NTA工具的改進,NTA工具會觸發過多的誤報。企業可能會發現,與一家有能力和知識獲得先進人工智能技術的公司合作是值得的,這種技術能夠更好地從可能誤報的威脅中篩選出真正的威脅。這對SOC來說是一個顯著的優勢,因為分析師們要花費寶貴的時間來整理成堆的誤報。

    采用NDR解決方案的一個顯著好處是它能夠幫助防范勒索軟件,勒索軟件已成為本世紀最大、最難以克服的網絡威脅之一。由于勒索軟件即服務(RaaS)的出現,今天的勒索軟件攻擊者甚至不需要精通技術就可以部署攻擊。

    勒索軟件攻擊者也可以很容易地利用人工智能來克服各種網絡安全保護。一個系統可以建立預期網絡行為的基線,然后將任何網絡流量與之進行比較,一般來說,有很大的機會克服和預防勒索軟件 (盡管目前市場上沒有任何產品可以聲稱完全消除這種威脅)。

    雖然大多數NDR產品無法提供真正的實時保護,但近實時NDR正在成為常態。

結論

    現代企業網絡安全團隊所面臨的網絡安全形勢是,復雜的攻擊不斷被那些精通市場上最新工具的不良行為者改進。增強型NDR比過去遺留下來的傳統工具健壯得多,對于面向未來的企業,特別是那些有在未來幾年擴大規模目標的企業來說,可能是一項合適的投資。這些工具對網絡犯罪分子來說是相當具有挑戰性的,這使得壞人更有可能轉向更容易的目標。

    依賴于老舊遺留工具的企業可能不需要從頭開始來利用NDR的好處。許多工具可以與舊系統一起使用,包括那些與云環境連接的本地硬件。這種混合設置可能從增加NDR的補充方式中受益最大。

https://www.datamation.com/security/how-ndr-works/

(完)

網絡流量 網絡攻擊 流量攻擊 功能分析 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接