网络检测和响应(NDR)是一门从网络流量分析发展而来的学科。基本上,随着网络流量变得越来越复杂——潜在的恶意也越来越多——网络流量分析不得不采取更加注重安全的轨道。NDR不是依靠人类监控或简单的行为分析,而是依靠机器学习和自动化来改进威胁捕捉和事件响应。
与防火墙等基于规则的安全工具不同,NDR侧重于非基于签名的机器学习和分析技术。这些工具必须能够基于连续的实时原始流量和流量分析来建模网络行为,并对可能代表故障或攻击者的异常行为和流量模式发出警报。他们还必须将他们的分析超越传统的范围,同时监测南北和东西交通。
与传统的入侵检测系统(IDS)类似,NDR解决方案也关注于分析网络通信,以检测和调查威胁。IDS的重点是监视入侵者并在检测到攻击时发出警报。但是,NDR的一个主要区别在于,它包括自动响应,比如向防火墙触发命令以减少可疑流量,或者手动响应,比如提供威胁搜索和事件响应信息以深入挖掘。
确保完整的NDR可见性
优化NDR工具性能的最佳方法是确保它尽可能多地获得信息或数据包可见度。
根据Gartner的市场指南对于网络检测和响应,“网络检测和响应(NDR)仍然是一个拥挤的市场,进入门槛低,因为许多供应商可以将通用分析技术应用到从SPAN端口监视的流量。”
的点击vs. span.辩论结束了。如果您的NDR工具没有得到适当的数据,则无法为网络建立良好的基准 - 这意味着检测可能性恶意异常会更难。
我们知道,许多供应商考虑从SPAN端口镜像流量,并将分析技术应用到输出,这可能捕获潜在的恶意流量。尽管您可能对结果感到满意,但您的能见度可能存在漏洞。
SPAN(适用于交换机端口分析器)是网络交换机上的专用端口。跨度端口将数据包镜像到带外安全工具,例如NDR以进行分析。
以下是SPAN的问题:
- 镜像可以更改数据包中的信息,以及数据包定时。
- SPAN的可用性较低。交换机可能在流量大的时候重新分配优先级。
- 当端口超额订立时,跨端口可以删除数据包。
- SPAN端口不能超过千兆的范围。
- Span的双向流量打开额外的安全漏洞。
跨度有其用途。在低带宽应用中,在实时智能并不重要的应用中,跨度将充分利用。然而,这些应用程序并非没有NDR。对于NDR最有效地工作,该工具需要从Firehose中饮用。它需要所有信息,尽可能准确地提供。然而,这不是跨度端口所做的。
用花环技术降低NDR部署摩擦乐动体育菠菜
当IT安全团队在设计NDR部署时,设计适当的连接性和包可见性最佳实践是成功的关键。这包括检测网络tap以提供完整的数据包可见性,以确保没有威胁或异常隐藏在丢弃的数据包或盲点中。
乐动体育菠菜Garland Technology的tap网络具有单向数据二极管电路,确保生产网络和监控工具的安全。将网络水龙头与网络包代理配对可以提供诸如聚合和重复数据删除等流量减少特性,从而提高NDR工具的性能。提供这种可见性基础,可确保按计划持续实时的原始流量分析功能。
有些公司现在正在面临其网络水龙头和数据包代理供应商和NDR解决方案供应商之间的部署摩擦。随着拥挤的NDR市场增长,像Gigamon这样的能见度公司是否将其ThreatINSIGHT定位于与Garland合作伙伴等NDR供应商的直接竞争Bricata.,思科,corelight.,Extrahop忠诚,Flowmon.,和其他人.
像Gigamon和Keysight Ixia这样的供应商正将他们的重点转移到安全和监控应用上,过度销售他们的网络包代理硬件和管理系统,同时希望嵌入他们的软件产品,最终将客户捆绑到一个基于许可的平台上,随着时间的推移,这会增加运营成本。乐动 赞助西甲
Garland专注于做我们做得最好的事情,提供简单易用的创新网络TAPs和包代理,旨在将包交付到NDR部署。
花环仍致力于赋予NDR供应商我们的水龙头哲学通过设计工具,而不是与它们竞争。我们与值得信赖的“最佳品种”合作伙伴结盟,他们的唯一专长是保护或监控网络,而不是分散自己,试图覆盖每一个市场份额。乐动体育菠菜Garland Technology提供了可伸缩性和灵活性,在您需要时部署您需要的东西,因此您可以专注于重要的东西——性能和网络安全。
希望在NDR部署中添加安全TAP可见性,但不确定从哪里开始?加入我们的简短网络设计 - 评估或演示。没有义务 - 这就是我们喜欢做的事情。
