网络检测与响应
什么是网络检测与响应 (NDR)?

网络检测与响应 (NDR) 是一种帮助组织监控、检测和响应其网络上可疑活动的技术。它通过实时分析流量来识别潜在威胁,例如零日攻击、数据泄露和其他异常设备或网络活动。NDR 会检测可避开其他防御措施的威胁,在强有力的网络安全策略中发挥着至关重要的作用。

正使用多台计算机的 IT 安全专员。
  • 网络检测与响应释义
  • NDR 有哪些优势?
  • NDR 可以检测哪些类型的威胁?
  • NDR 有哪些组件?
  • 评估 NDR 解决方案时,需要考虑什么?
网络检测与响应释义
网络检测与响应 (NDR) 的工作原理。
网络检测与响应 (NDR) 的工作原理。
点击图像以放大

网络检测与响应释义

网络检测与响应 (NDR) 用于监控网络流量以检测和应对威胁。NDR 使用深度包检测、流量分析、签名识别和行为分析等技术来识别威胁模式和异常。当检测到威胁时,NDR 可让整个安全生态系统实现快速响应和警报。AI 和 ML 可以提高威胁检测的准确性和响应的有效性。

 NDR 有哪些优势?

NDR 有哪些优势?

NDR 解决方案不但可以保护网络,而且可以作为整体网络安全战略的一部分提供风险缓解和合规性优势。

  • 降低风险:借助机器学习、人工智能和行为分析,NDR 可以通过识别流量模式或网络行为中的异常(如不寻常的通信模式和数据传输)来检测未知或新出现的威胁,对基于签名的检测起到补充作用。
  • 为复杂环境提供强大保护:随着组织迁移至云,NDR 通过监控云和混合基础设施中的流量来帮助保持可见性和安全性,而仅使用传统工具通常很难保护这些流量。
  • 更强大的 IoT 和 OT 安全保护:NDR 对于保护物联网 (IoT) 和运营技术 (OT) 环境至关重要,因为传统端点安全举措在这些环境中可能没有作用。这些设备通常缺乏内置的安全控制,因此基于网络的监控成为关键的防御屏障。
  • 战略自动化:在调查和决策周期中,手动流程可能会减慢响应速度。理想的 NDR 解决方案可以自动执行检测、数据收集和保护建议,因此相关人员可以做出适当的决策,同时避免运营中断。
  • 加快响应速度:NDR 提供了对网络事件的重要洞见,使安全团队能够更快地调查和应对事件。这有助于防止攻击者深入网络或访问敏感数据。
  • 增强合规性:许多法规(例如 GDPR、HIPAA 和 PCI DSS)要求组织监控和保护其网络流量。NDR 通过提供详细的监控、日志记录和报告功能来帮助满足这些要求。
 NDR 可以检测哪些类型的威胁?

NDR 可以检测哪些类型的威胁?

网络检测与响应 (NDR) 解决方案可以使用针对每种威胁的专门技术来检测各种网络安全威胁。NDR 可以帮助检测和防范以下几种类型的威胁:

  • 恶意软件感染:签名检测和行为分析可以发现已知的恶意代码以及与命令和控制服务器的可疑通信。
  • 勒索软件:可以通过异常检测和行为分析来检测攻击,具体通过识别异常模式,例如异常的出站流量或未经授权的数据传输或异常的文件加密活动。
  • 基于网络钓鱼的入侵:NDR 可以使用策略违规监控来标记遭受攻击后的意外连接或数据流。
  • DDoS 攻击:NDR 可通过流量分析和异常检测,发现会导致资源不堪重负的异常流量高峰。 
 NDR 有哪些组件?

NDR 有哪些组件?

  • 传感器和代理:传感器是一种响应式设备,可在网络中流动时监控和捕获流量,无需与端点直接交互即可分析其中的威胁。代理是安装在单个设备或端点上的活动组件,可以更深入地了解这些特定设备的活动和行为。传感器和代理遍布整个网络,以实时捕获和分析流量数据。通过监控流量模式,传感器可帮助检测可能表明存在威胁的可疑活动。
  • 网络遥测:为监控网络性能、运行状况和行为而收集和分析的数据称为遥测。网络遥测元素包括目标 IP、端口、协议、应用流量、客户端信息、SSID、会话信息、位置、角色和用户 ID。
  • 威胁情报:NDR 系统可以使用外部数据(例如与网络犯罪活动相关的恶意软件签名或 IP 地址)更有效地检测已知威胁。
  • 行为分析:先进的 NDR 系统可以使用行为分析来识别威胁,它不仅寻找已知威胁或攻击特征,还会监控异常行为模式。例如,如果设备突然开始与陌生 IP 地址通信或传输大量数据,则可能会被标记为可疑。
  • AI 和 ML:AI 和机器学习可随时间推移而提高检测与响应能力。该系统通过监控流量和网络环境进行学习,可以更准确地识别可疑活动并推荐适当的应对措施。
 评估 NDR 解决方案时,需要考虑什么?

评估 NDR 解决方案时,需要考虑什么?

市场上的 NDR 解决方案良莠不齐。评估 NDR 解决方案时,应考虑以下问题。

  • NDR 解决方案是否使用 AI 和 ML 来增强检测与响应? 网络安全威胁愈演愈烈,仅依赖已知模式(例如签名检测)的 NDR 技术可能会落后,导致组织面临风险。基于 AI 的方法可帮助 NDR 解决方案从组织环境和其他环境中学习,以帮助检测新出现的威胁。AI 还可以通过提供响应建议和更准确的影响评估来协助安全团队更迅速、更有效地防御攻击。
  • AI 是否有可靠的数据支持? AI 的优劣取决于其背后的数据。确保 NDR 解决方案所使用的 AI 和 ML 技术获得丰富多样、数量庞大且速度飞快的数据支持。
  • NDR 解决方案能否与其他解决方案有效集成? 网络安全最好被视为生态系统,而不是孤岛。NDR 解决方案发出的威胁信息和警报可以轻松传播并被其他系统使用,以便组织采取保护措施,帮助组织建立强大的安全态势和全面的防御机制。

相关产品、解决方案或服务

HPE Aruba Networking AI 驱动型网络检测与响应

了解更多

HPE Aruba Networking Central

了解更多

相关主题

网络安全

了解更多

网络安全

了解更多

网络安全威胁

了解更多

网络 AI

了解更多

零信任

了解更多

网络访问控制

了解更多