【虹科】增加网络可见性以优化网络检测和响应 (NDR)

什么是NDR

网络检测和响应 (NDR) 是一门从曾经被称为网络流量分析的学科发展而来的学科。基本上，随着网络流量变得更加复杂——并且更有可能是恶意的——网络流量分析必须采取更加以安全为中心的轨迹。NDR 不依赖人工监控器或更简单的行为分析，而是依赖机器学习和自动化来改进威胁搜寻和事件响应。

与防火墙等基于规则的安全工具不同，NDR 专注于非基于签名的机器学习和分析技术。这些工具必须能够基于连续的实时原始流量和流量分析对网络行为进行建模，警告可能代表故障或攻击者的异常行为和流量模式。他们还必须将分析超出传统范围，同时监控南北和东西流量。

与专注于监控入侵者周边并在检测到攻击时发出警报的传统入侵检测系统 (IDS) 类似，NDR 解决方案也专注于分析网络通信以检测和调查威胁。但主要区别之一是 NDR 包括自动响应，例如触发防火墙命令以丢弃可疑流量或手动响应，例如提供威胁搜寻和事件响应信息以进行更深入的挖掘。

确保完整的NDR可见性

优化 NDR 工具性能的最佳方法是确保它获得尽可能多的信息或数据包可见性。

根据Gartner 的网络检测和响应市场指南，“网络检测和响应 (NDR) 仍然是一个“拥挤”的市场，进入门槛很低，因为许多供应商可以将常见的分析技术应用于从 SPAN 端口监控的流量。

SPAN（代表交换机端口分析器）是网络交换机上的专用端口。SPAN 端口将数据包镜像到带外安全工具（如 NDR）以进行分析。

如果您的 NDR 工具没有获得正确的数据，它将无法为您的网络建立一个良好的基线——这意味着将更难检测潜在的网络异常。我们知道，许多供应商考虑从 SPAN 端口镜像流量并将分析技术应用于输出，这可能会捕获潜在的恶意流量。尽管您可能对结果感到满意，但您的可见性可能存在漏洞。

以下是 SPAN 的问题：

• 镜像可以改变数据包内的信息以及数据包时间。

• SPAN 的可用性较低、交换机可以在流量大的时候重新分配优先级。

• 当端口超额订阅时，SPAN 端口可能会丢弃数据包。

• SPAN 端口不会超过千兆范围。

• SPAN 的双向流量存在额外的安全漏洞。

SPAN 有它的用途。在低带宽应用程序以及不重要的应用程序中，SPAN 将很好地发挥作用。但是，它并不适用于NDR。为了使 NDR 最有效地工作，它需要您提供的所有信息，尽可能准确。然而SPAN 端口无法做到这一点。

卓越的网络可见性技术

当 IT 安全团队设计 NDR 部署时，构建适当的连接和数据包可见性最佳实践对于成功至关重要。这包括检测网络 TAP 以提供完整的数据包可见性，以确保没有威胁或异常隐藏在丢弃的数据包或盲点中。

虹科的网络 TAP 具有单向数据二极管电路，可确保生产网络和监控工具的安全。将网络 TAP 与网络数据包代理配对可提供流量减少功能，例如聚合和重复数据删除，可提高 NDR 工具的性能。提供这种可见性基础可确保按计划进行持续的实时原始流量分析功能。

虹科专注于做我们最擅长的事情——提供简单易用的创新网络 TAP 和数据包代理，旨在将数据包传送到 NDR 部署。希望为您的 NDR 部署添加安全的 TAP 可见性？

虹科提供完整的网络可见性解决方案，包括网络TAP，ByPass交换机和汇聚分流设备。网络可见性对保证NTA/NDR工具准确性至关重要。网络可见性方案可以复制来自网络任何部分的相关数据，包括内部、云和虚拟环境中的数据。通过网络汇聚分流设备，数据可被有效地传递到网络监控，安全和分析解决方案，以确保没有“盲点”。

往期推荐

【虹科】进阶-端到端的网络流量监控

【虹科】-网络监控协议总结

【虹科】使用nprobe+ntopng监控上百个路由器流量

【虹科】-使用Allegro快速分析网络负载问题