网络检测和响应(NDR)是一门从网络流量分析发展而来的学科。基本上,随着网络流量变得越来越复杂——潜在的恶意也越来越多——网络流量分析不得不采取更加注重安全的轨道。NDR不是依靠人类监控或简单的行为分析,而是依靠机器学习和自动化来改进威胁捕捉和事件响应。
与防火墙等基于规则的安全工具不同,NDR侧重于非基于签名的机器学习和分析技术。这些工具必须能够基于连续的实时原始流量和流量分析来建模网络行为,并对可能代表故障或攻击者的异常行为和流量模式发出警报。他们还必须将他们的分析超越传统的范围,同时监测南北和东西交通。
与传统的入侵检测系统(IDS)类似,NDR解决方案也关注于分析网络通信,以检测和调查威胁。IDS的重点是监视入侵者并在检测到攻击时发出警报。但是,NDR的一个主要区别在于,它包括自动响应,比如向防火墙触发命令以减少可疑流量,或者手动响应,比如提供威胁搜索和事件响应信息以深入挖掘。
确保完整的NDR可见性
优化NDR工具性能的最佳方法是确保它获得尽可能多的信息或数据包可见性。
根据Gartner的市场指导对于网络检测和响应,“网络检测和响应(NDR)仍然是一个拥挤的市场,进入门槛低,因为许多供应商可以将通用分析技术应用到从SPAN端口监视的流量。”
的利用与跨辩论结束了。如果您的NDR工具不能获得适当的数据,它将无法为您的网络建立一个良好的基线—这意味着它将更难检测潜在的恶意异常。
我们知道,许多供应商考虑从SPAN端口镜像流量,并将分析技术应用到输出,这可能捕获潜在的恶意流量。尽管您可能对结果感到满意,但您的能见度可能存在漏洞。
SPAN(交换机端口分析仪)是网络交换机的专用端口。SPAN端口将报文镜像到NDR等带外安全工具进行分析。
以下是SPAN的问题:
- 镜像可以改变数据包中的信息,以及数据包定时。
- SPAN的可用性较低。交换机可能在流量大的时候重新分配优先级。
- 当某个端口占用过多时,会导致报文丢弃。
- 跨度端口不会超过千兆位范围。
- SPAN的双向流量带来了额外的安全漏洞。
SPAN有它的用途。在低带宽应用和实时智能不重要的应用中,SPAN将发挥很好的作用。然而,这些应用程序不是NDR。为了使NDR最有效地工作,该工具需要从消防软管喝水。它需要你提供尽可能准确的所有信息。然而,这不是SPAN端口所做的。
使用Garland技术减少NDR部署摩擦乐动体育菠菜
当IT安全团队在设计NDR部署时,设计适当的连接性和包可见性最佳实践是成功的关键。这包括检测网络tap以提供完整的数据包可见性,以确保没有威胁或异常隐藏在丢弃的数据包或盲点中。
乐动体育菠菜花环技术的网络水龙头具有单向数据二极管电路,确保生产网络和监控工具是安全的。配对网络分布与网络包代理提供流量减少功能,如聚合和重复数据删除,可提高NDR工具的性能。提供此可见性基金会可确保连续的实时原始流量分析功能如计划。
一些公司现在面临着在网络TAP和包代理供应商和NDR解决方案供应商之间选择部署的摩擦。随着NDR市场的增长,像Gigamon这样的能见度公司与Garland Partners这样的NDR供应商直接竞争定位了他们的威胁Bricata,思科,Corelight,Extrahop,菲多莉斯,Flowmon,和其他人.
像Gigamon和Keysight Ixia这样的供应商正在将他们的重点转移到安全和监控应用程序,在寻求嵌入其软件产品的同时,最终将客户绑定到基于许可的平台上,这些平台随着时间的推移。乐动 赞助西甲
Garland专注于做我们做得最好的事情,提供简单易用的创新网络TAPs和包代理,旨在将包交付到NDR部署。
Garland仍然致力于授权NDR供应商我们的TAP to Tool哲学通过设计工具,而不是与它们竞争。我们与值得信赖的“最佳品种”合作伙伴结盟,他们的唯一专长是保护或监控网络,而不是分散自己,试图覆盖每一个市场份额。乐动体育菠菜Garland Technology提供了可伸缩性和灵活性,在您需要时部署您需要的东西,因此您可以专注于重要的东西——性能和网络安全。
希望在NDR部署中添加安全TAP可见性,但不确定从哪里开始?加入我们的简短网络设计- it评估或演示。没有义务——这是我们喜欢做的事。
