Jump to content

Обнаружение сети и реагирование

Edit links

Сетевое обнаружение и реагирование (NDR) относится к категории продуктов сетевой безопасности системы , которые обнаруживают аномальное поведение путем постоянного анализа сетевого трафика . Решения NDR применяют поведенческий анализ для проверки необработанных сетевых пакетов и метаданных как для внутренней (восток-запад), так и для внешней (север-юг) сетевой связи. [1]

Описание

[ редактировать ]

NDR предоставляется с помощью комбинации аппаратных и программных датчиков, а также программного обеспечения или консоли управления SaaS . Организации используют NDR для обнаружения и сдерживания вредоносных действий после взлома, таких как программы-вымогатели или инсайдерские вредоносные действия. NDR фокусируется на выявлении аномальных моделей поведения и аномалий, а не полагается исключительно на обнаружение угроз на основе сигнатур . Это позволяет NDR выявлять слабые сигналы и неизвестные угрозы в сетевом трафике, такие как горизонтальное перемещение или утечка данных . [1]

NDR обеспечивает видимость сетевой активности для выявления аномалий с помощью алгоритмов машинного обучения . [2] Возможности автоматического реагирования могут помочь снизить нагрузку на группы безопасности. NDR также помогает специалистам по реагированию на инциденты в поиске угроз, предоставляя контекст и анализ. [1]

Варианты развертывания включают физические или виртуальные датчики. Датчики обычно являются внеполосными и предназначены для мониторинга сетевых потоков без ущерба для производительности. Облачные варианты NDR интегрируются с поставщиками IaaS для обеспечения прозрачности в гибридных средах. Постоянная настройка помогает уменьшить количество ложных срабатываний. NDR конкурирует с более широкими платформами, такими как SIEM и XDR, за бюджеты на безопасность. [1] NDR можно использовать в качестве дополнения к «слепой зоне» EDR. [2] [3]

Ключевые возможности, предлагаемые решениями NDR, включают обнаружение угроз в режиме реального времени посредством непрерывного мониторинга, быстрые рабочие процессы реагирования на инциденты для минимизации ущерба, снижение сложности по сравнению с управлением многоточечными решениями, улучшенную видимость для обеспечения соответствия и управления рисками, автоматическое обнаружение и реагирование, анализ конечных точек и поведения пользователей. и интеграция с SIEM для централизованного мониторинга. [4]

История

[ редактировать ]

Истоки NDR восходят к решениям для анализа сетевого трафика (NTA), которые появились примерно в 2019 году. NTA обеспечил большую прозрачность сетевой активности для быстрого выявления потенциальных угроз и реагирования на них. [4]

К 2020 году применение NTA для обнаружения угроз в режиме реального времени росло. В том же году исследование показало, что 87% организаций использовали NTA, причем 43% считали его «первой линией защиты». Рынок NTA оценивался в 2,9 миллиарда долларов США в 2022 году, и ожидается, что к 2032 году он достигнет 8,5 миллиарда долларов США. NTA превратился в NDR как отдельную категорию продуктов. NDR сочетает возможности обнаружения с рабочими процессами реагирования на инциденты. Это позволило обнаруживать угрозы в сетях и реагировать на них в режиме реального времени. [4]

Крупные атаки, такие как WannaCry в 2017 году и взлом SolarWinds в 2020 году, подчеркнули необходимость таких решений, как NDR. Традиционная защита по периметру и инструменты на основе сигнатур оказались недостаточными для борьбы с современными угрозами. [4]

ИИ-приложения

[ редактировать ]

Использование искусственного интеллекта в инструментах NDR растет, поскольку команды безопасности изучают потенциал ИИ для расширения возможностей NDR. Ключевые варианты использования ИИ для NDR включают в себя: [5]

  • Улучшенное обнаружение угроз: ИИ может анализировать большие объемы данных об уязвимостях, угрозах и тактиках атак для выявления аномальной сетевой активности. Это позволяет NDR обнаруживать новые модели атак с большей точностью и меньшим количеством ложных срабатываний . [5]
  • Приоритизация оповещений: модели ИИ могут оценивать критичность оповещений NDR на основе таких факторов, как затронутые активы, возможность использования и потенциальное воздействие. Это позволяет службам безопасности эффективно сортировать оповещения, несмотря на нехватку персонала. [5]
  • Оптимизация рабочего процесса аналитиков: ИИ-помощники могут направлять аналитиков во время реагирования на инциденты, предлагая соответствующие шаги по расследованию на основе деталей угрозы. Это повышает эффективность аналитиков, особенно для младших сотрудников, не имеющих специальных знаний. [5]
  • Автоматизированное реагирование. Хотя искусственный интеллект еще не получил широкого распространения, он может позволить платформам NDR автономно выполнять меры сдерживания, такие как помещение конечных точек на карантин. ИИ будет определять и рекомендовать ответные действия для одобрения аналитиков. [5]
  • Взаимодействие с командой безопасности: поставщики NDR изучают возможность интеграции с искусственным интеллектом на естественном языке для создания отчетов об инцидентах и ​​показателей, понятных руководителям бизнеса, а не только техническим сотрудникам службы безопасности. [5]

Поставщики отчетов о недоставке

[ редактировать ]

По данным Gartner , в число поставщиков NDR входят Cisco , Corelight, Darktrace , LinkShadow ExtraHop , Fortinet , IronNet, MixMode, Plixer, Trend Micro , Trellix, Vectra AI . [1]

Ссылки

[ редактировать ]
  1. ^ Jump up to: а б с д и Джонатан Нуньес, Эндрю Дэвис (20 июля 2023 г.). «Цикл ажиотажа в сфере обеспечения безопасности, 2023 г.» . www.gartner.com . Проверено 8 августа 2023 г.
  2. ^ Jump up to: а б Маор, Этай. «Сообщение Совета: EDR, XDR, MDR: понимание сокращений обнаружения угроз и реагирования» . Форбс . Проверено 21 мая 2024 г.
  3. ^ «На рынке сетевого обнаружения и реагирования (NDR) грядут перемены» . www.darkreading.com . Проверено 21 мая 2024 г.
  4. ^ Jump up to: а б с д Винс, Кристиан (2 февраля 2023 г.). «Комплексное руководство по сетевому обнаружению и реагированию (NDR) — что должны знать ИТ-директора и аналитики безопасности» . Бульвар Безопасности . Проверено 15 августа 2023 г.
  5. ^ Jump up to: а б с д и ж Грейди, Джон. «Как ИИ помогает обнаруживать сети и реагировать на них» . ТехТаржет . Проверено 15 августа 2023 г.

См. также

[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=Network_detection_and_response&oldid=1228714494"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 66b89eb461eab5d5d6dc6f1a7434f6eb__1718209860
URL1:https://arc.ask3.ru/arc/aa/66/eb/66b89eb461eab5d5d6dc6f1a7434f6eb.html
Заголовок, (Title) документа по адресу, URL1:
Network detection and response - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)