Обнаружение сети и реагирование
![]() | Тема этой статьи Википедии может не соответствовать общему правилу по известности . ( май 2024 г. ) |
Сетевое обнаружение и реагирование (NDR) относится к категории продуктов сетевой безопасности системы , которые обнаруживают аномальное поведение путем постоянного анализа сетевого трафика . Решения NDR применяют поведенческий анализ для проверки необработанных сетевых пакетов и метаданных как для внутренней (восток-запад), так и для внешней (север-юг) сетевой связи. [1]
Описание
[ редактировать ]NDR предоставляется с помощью комбинации аппаратных и программных датчиков, а также программного обеспечения или консоли управления SaaS . Организации используют NDR для обнаружения и сдерживания вредоносных действий после взлома, таких как программы-вымогатели или инсайдерские вредоносные действия. NDR фокусируется на выявлении аномальных моделей поведения и аномалий, а не полагается исключительно на обнаружение угроз на основе сигнатур . Это позволяет NDR выявлять слабые сигналы и неизвестные угрозы в сетевом трафике, такие как горизонтальное перемещение или утечка данных . [1]
NDR обеспечивает видимость сетевой активности для выявления аномалий с помощью алгоритмов машинного обучения . [2] Возможности автоматического реагирования могут помочь снизить нагрузку на группы безопасности. NDR также помогает специалистам по реагированию на инциденты в поиске угроз, предоставляя контекст и анализ. [1]
Варианты развертывания включают физические или виртуальные датчики. Датчики обычно являются внеполосными и предназначены для мониторинга сетевых потоков без ущерба для производительности. Облачные варианты NDR интегрируются с поставщиками IaaS для обеспечения прозрачности в гибридных средах. Постоянная настройка помогает уменьшить количество ложных срабатываний. NDR конкурирует с более широкими платформами, такими как SIEM и XDR, за бюджеты на безопасность. [1] NDR можно использовать в качестве дополнения к «слепой зоне» EDR. [2] [3]
Ключевые возможности, предлагаемые решениями NDR, включают обнаружение угроз в режиме реального времени посредством непрерывного мониторинга, быстрые рабочие процессы реагирования на инциденты для минимизации ущерба, снижение сложности по сравнению с управлением многоточечными решениями, улучшенную видимость для обеспечения соответствия и управления рисками, автоматическое обнаружение и реагирование, анализ конечных точек и поведения пользователей. и интеграция с SIEM для централизованного мониторинга. [4]
История
[ редактировать ]Истоки NDR восходят к решениям для анализа сетевого трафика (NTA), которые появились примерно в 2019 году. NTA обеспечил большую прозрачность сетевой активности для быстрого выявления потенциальных угроз и реагирования на них. [4]
К 2020 году применение NTA для обнаружения угроз в режиме реального времени росло. В том же году исследование показало, что 87% организаций использовали NTA, причем 43% считали его «первой линией защиты». Рынок NTA оценивался в 2,9 миллиарда долларов США в 2022 году, и ожидается, что к 2032 году он достигнет 8,5 миллиарда долларов США. NTA превратился в NDR как отдельную категорию продуктов. NDR сочетает возможности обнаружения с рабочими процессами реагирования на инциденты. Это позволило обнаруживать угрозы в сетях и реагировать на них в режиме реального времени. [4]
Крупные атаки, такие как WannaCry в 2017 году и взлом SolarWinds в 2020 году, подчеркнули необходимость таких решений, как NDR. Традиционная защита по периметру и инструменты на основе сигнатур оказались недостаточными для борьбы с современными угрозами. [4]
ИИ-приложения
[ редактировать ]Использование искусственного интеллекта в инструментах NDR растет, поскольку команды безопасности изучают потенциал ИИ для расширения возможностей NDR. Ключевые варианты использования ИИ для NDR включают в себя: [5]
- Улучшенное обнаружение угроз: ИИ может анализировать большие объемы данных об уязвимостях, угрозах и тактиках атак для выявления аномальной сетевой активности. Это позволяет NDR обнаруживать новые модели атак с большей точностью и меньшим количеством ложных срабатываний . [5]
- Приоритизация оповещений: модели ИИ могут оценивать критичность оповещений NDR на основе таких факторов, как затронутые активы, возможность использования и потенциальное воздействие. Это позволяет службам безопасности эффективно сортировать оповещения, несмотря на нехватку персонала. [5]
- Оптимизация рабочего процесса аналитиков: ИИ-помощники могут направлять аналитиков во время реагирования на инциденты, предлагая соответствующие шаги по расследованию на основе деталей угрозы. Это повышает эффективность аналитиков, особенно для младших сотрудников, не имеющих специальных знаний. [5]
- Автоматизированное реагирование. Хотя искусственный интеллект еще не получил широкого распространения, он может позволить платформам NDR автономно выполнять меры сдерживания, такие как помещение конечных точек на карантин. ИИ будет определять и рекомендовать ответные действия для одобрения аналитиков. [5]
- Взаимодействие с командой безопасности: поставщики NDR изучают возможность интеграции с искусственным интеллектом на естественном языке для создания отчетов об инцидентах и показателей, понятных руководителям бизнеса, а не только техническим сотрудникам службы безопасности. [5]
Поставщики отчетов о недоставке
[ редактировать ]По данным Gartner , в число поставщиков NDR входят Cisco , Corelight, Darktrace , LinkShadow ExtraHop , Fortinet , IronNet, MixMode, Plixer, Trend Micro , Trellix, Vectra AI . [1]
Ссылки
[ редактировать ]- ^ Jump up to: а б с д и Джонатан Нуньес, Эндрю Дэвис (20 июля 2023 г.). «Цикл ажиотажа в сфере обеспечения безопасности, 2023 г.» . www.gartner.com . Проверено 8 августа 2023 г.
- ^ Jump up to: а б Маор, Этай. «Сообщение Совета: EDR, XDR, MDR: понимание сокращений обнаружения угроз и реагирования» . Форбс . Проверено 21 мая 2024 г.
- ^ «На рынке сетевого обнаружения и реагирования (NDR) грядут перемены» . www.darkreading.com . Проверено 21 мая 2024 г.
- ^ Jump up to: а б с д Винс, Кристиан (2 февраля 2023 г.). «Комплексное руководство по сетевому обнаружению и реагированию (NDR) — что должны знать ИТ-директора и аналитики безопасности» . Бульвар Безопасности . Проверено 15 августа 2023 г.
- ^ Jump up to: а б с д и ж Грейди, Джон. «Как ИИ помогает обнаруживать сети и реагировать на них» . ТехТаржет . Проверено 15 августа 2023 г.