很多传统的威胁检测工具(杀毒软件、早期入侵检测和防御系统 (IDPS) 以及某些类型的防火墙)通过查找独特的入侵指标 (IOC) 或签名来识别和预防威胁。
签名可以是与已知网络攻击相关的任何特征,例如,来自特定恶意软件变体的代码行、文件散列或文件大小、特定数据包报头或来自网络钓鱼或社会工程电子邮件的主题行。基于签名的工具会定期更新已知签名的数据库,并通过扫描网络流量中是否存在这些签名来检测威胁。
因此,这些基于签名的工具可有效防止已知威胁进入或潜伏在网络中。但它们无法检测到新出现的、未知的或新兴的恶意软件或威胁。而且,如果没有签名,它们也不太可能识别威胁,例如
- 黑客使用窃取的凭据访问网络
- 黑客冒充或劫持高管电子邮件帐户的商业电子邮件泄露 (BEC) 攻击
- 员工无意中从事了风险行为,例如将公司数据保存到个人 USB 驱动器,或单击指向恶意网站的电子邮件链接。
勒索软件和其他高级持续性威胁利用这些盲点潜入网络、进行侦察、提升权限并等待合适的时机发动攻击。
虽然基于签名的工具主要是为了预防,但 NDR 采用了动态的响应方法来应对网络威胁。NDR 解决方案无需扫描特定的已知签名,而是实时监控和分析网络流量和活动,以识别网络内外部可能表明存在已知或未知网络威胁的任何可疑活动。
NDR 解决方案通过以下方式达到此目的:
对基线网络行为进行建模。NDR 解决方案从整个网络的专用传感器和应用程序代理,以及防火墙和路由器等网络基础架构中,采集原始网络活动数据和元数据。然后,NDR 工具使用行为分析、AI 和机器学习来处理数据,以生成正常网络行为和活动的基线模型。
检测可疑和潜在的恶意活动。NDR 持续监视网络,并使用相同的分析和 AI 功能来实时识别与基线行为的偏差。示例可能包括用户在工作时间之外访问敏感数据、端点设备与未知外部的服务器通信,或接收异常数据包的端口。
由于 NDR 解决方案可监控南北向(出口和入口)和东西向(内部)网络流量,因此它们可以检测和跟踪威胁的横向移动,这是恶意内部人员和高级威胁的常见行为。一些 NDR 解决方案包含用于检测隐藏在加密流量中的威胁的功能。
NDR 还可以通过关联来自威胁情报源、MITRE ATT&CK 框架的数据,以及有关网络罪犯策略、技术和程序 (TTP) 的其他数据源的数据,来生成威胁行为模型。这些模型有助于 NDR 解决方案从噪声中筛选信号,即区分可能的网络攻击和不寻常但无害的活动,或“误报”。
提供事件响应自动化和工具。当 NDR 解决方案检测到可能表明网络攻击的攻击或行为时,它可以
- 实时确定优先级并向发出警报通知安全团队或安全运营中心 (SOC)。
- 自动化事件响应。NDR 解决方案可以在攻击发生时自动采取措施来中断或切断攻击,例如终止可疑的网络连接。NDR 还可以利用与其他安全工具的集成来触发事件响应。例如,它可以提示组织的 SOAR(安全编排、自动化和响应)系统执行预定义的响应运行手册。
- 优化威胁调查。NDR 解决方案提供上下文数据和功能,可供安全团队和 SOC 用于加速正在进行的威胁调查和主动调查或未知或未检测到的威胁(称为威胁搜寻)。
如今,企业网络高度分散且庞大,并连接了本地部署和云数据中心、硬件、软件、IoT 设备和工作负载。为了全面了解这些分布式网络和互连网络,SOC 通常将 NDR 与其他安全解决方案结合使用,作为其云安全战略的一部分。
例如,NDR 是 Gartner SOC 可见性三要素的三大支柱之一,另外两个是端点检测和响应 (EDR) 以及安全信息和事件管理 (SIEM)。EDR 这款软件旨在自动保护组织的最终用户、端点设备和 IT 资产免受通过杀毒软件和其他传统端点安全工具的网络威胁。此软件可提供各个端点发生的活动的“地面”视图,可充当 NDR 提供的网络流量“鸟瞰图”的补充。SIEM 能够将来自不同安全工具和网络上其他来源(服务器、应用程序、设备)的安全相关日志和事件数据组合并关联起来。NDR 工具可以将其网络流量数据和分析流式传输到 SIEM,进一步丰富 SIEM 在安全性和合规性工作流程方面的价值。
最近,SOC 正在采用经过扩展的检测和响应 (XDR) 解决方案。XDR 将网络安全工具集成到组织的整个混合 IT 基础架构(端点、网络、云工作负载等)中,以便它们可以在网络威胁预防、检测和响应方面实现互操作和协调。许多 XDR 解决方案都包含 NDR 功能;开放式 XDR 解决方案可以利用组织已具备的 NDR 功能。