想要最大化的確保現代網路安全,而網路的快速增長削弱了IPS/IDS等基於特徵碼的安全工具的功效。因此,資安維運團隊認知到需要更複雜的分析工具,包括網路偵測和回應 (NDR) 以及 NDR 感測器,以幫助檢測和應對系統範圍內的威脅。
隨著組織對進階即時網路分析的需求,為了應對威脅,資安團隊正在將重點轉移至 NDR解決方案上。在確保最高級別網路安全上,NDR 已成為網路安全生態系統中幾近無價的一部分。
海量的數據遍布於網路上為惡意用戶創造了大量可躲藏的區域。工具本身無法自動檢測威脅。由於流量安全團隊必須監控的速度和數量,網路檢測和回應解決方案及其利用機器學習方法的相關NDR感測器已成為必要。
鑒於這種情況,有必要了解什麼是 NDR 和 NDR 感測器、它們的工作原理以及如何利用它們在保護網路方面的重要性。
什麼是網路檢測和回應 (NDR)?
NDR 是一種網路安全解決方案,目的為持續監控網路是否存在任何網路威脅或可疑行為,一旦檢測到潛在惡意活動時做出反應。它使用行為(非基於特徵)技術,如機器學習、深度學習和其他技術來檢測網路上的異常。
然而,網路攻擊的威脅是持續的,使用NDR防禦不變化的威脅帶來了無數挑戰。
安全事件在過去5年中顯著增加,達到驚人的67%,其中43%針對中小型企業。2021年,網路犯罪分子從勒索軟體攻擊中獲利超過200億美元。
沒有一種解決方案可以100%有效地對抗惡意軟體和殭屍網路活動。駭客正在監視,惡意軟體每天都在演變,利用隱藏的漏洞滲透和攻擊網路。SecOps 團隊在搜尋網路威脅時必須積極主動。
當今存在哪些類型的網路攻擊?
NDR 系統必須檢測幾種網路攻擊的變異。NDR 需要深入瞭解潛在威脅,並且必須積極主動地防禦這些威脅。
- 惡意軟體
惡意軟體是惡意代碼,如病毒、勒索軟體和蠕蟲,會破壞我們的電腦網路、伺服器和客戶端設備。其目的是未經授權訪問系統,洩漏或竊取敏感資訊,或導致全部(或部分)服務中斷。
“殭屍網路”(“機器人網路”的縮寫)是已受到破壞,並將破壞的網路連接設備做為群體工作的集合。和更基本的惡意軟體形式不同,在基本的惡意軟體中,獨立的單一設備是被單一程式進行攻擊,殭屍網路則是由 bot-herder或命令和控制(C2)伺服器集中協調。通常,殭屍網路攻擊可以使數千台設備感染,而沒有明顯的證據表明其存在,並且理論上可以運行多年。一旦端點成為殭屍網路活動的一部分,就很難防止在整個網路中下載惡意代碼。
- 分散式拒絕服務 (DDoS)
DDoS攻擊是一種網路攻擊,攻擊者通過用流量淹沒伺服器或網路服務,使合法使用者無法訪問計算機資源。這淹沒了受害者的網路,使其他人無法訪問有價值的資源。
- 中間人攻擊
中間人攻擊是指犯罪者將自己定位在受害者和應用程式服務請求之間,以竊聽或冒充另一方。這個想法是竊取登錄憑據或信用卡資訊。常見的受害者是金融機構,電子商務和SaaS業務中的受害者。
NDR 感測器的工作原理
NDR 解決方案的工作原理是持續收集和分析大量網路流量,並將此數據與威脅情報源以及其他相關日誌和事件資訊進行比對。NDR 依靠機器學習、深度學習、統計分析和啟發式等進階行為技術來標記異常活動。
通常,NDR 利用這些技術和方法來形成威脅搜尋模型,以更高的效率處理組織網路生態系統中的安全事件。NDR 使用戰略性放置的 NDR 感測器監視整個網路的通信 流,以實現更深入的網路可視性。NDR 感測器引入通信量並提取系統分析引擎所需的智慧。更高級的 NDR 感測器可以使用加密的流量分析生成第 7 層智慧,這可以提高系統盡早檢測威脅的機會。
有效的 NDR 解決方案的關鍵是不僅能夠檢測潛在威脅,而且能夠回應和減輕其影響。NDR 解決方案通常與其他網路安全工具(如 SIEM、SOAR、XDR 等)整合,以實現此回應。
NDR 解決方案支援跨本地、雲端混合環境的快速調查、內部可視性、智慧回應和加強威脅檢測。在網路層檢測攻擊非常有效,因為威脅參與者很難隱藏其活動。雖然他們可能會關閉或逃避端點或日誌數據,但攻擊者無法篡改網路信息,他們無法得知他們是否被觀察。任何通過網路進行通信的設備都可以立即被發現並監控其活動。
NetQuest 的 NDR 感測器
NDR 感測器是 NDR 解決方案中的關鍵元件,因為威脅搜尋的好壞取決於可用於分析的數據。當 NDR 感測器戰略性地放置在網路中時,可以實現最大的可見性。NDR 感測器通常檢查網路通信量並生成元數據、日誌或其他事件標誌,這些元數據、日誌或其他事件標誌可由 NDR 的中央計算機進行分析。
NetQuest的串流媒體網路感測器(SNS)是一款市場領先的NDR感測器,能夠擴展到電信公司的骨幹網路。SNS 產品在許多 100G 和 10G 網路鏈路上生成非採樣(1:1 採樣)IPFIX 元數據,從而提供對網路流的 100% 可視化。除了標準的 NetFlow 記錄之外,SNS 還提供了包含第 7 層應用程式分類和基於流的協定特定元數據的選項,用於 DNS、TLS、QUIC、HTTP、BGP 等協定。SNS 還提供了獨特的可視化級別,以便使用加密流量分析將即時網路流與入侵指標 (IoC) 進行匹配。這包括匹配 JA3 指紋、公開 TLS 握手資訊以及現代威脅搜尋策略中使用的其他資訊。
如果有興趣在 NQ 網路實驗室測試使用我們的 NDR 感測器,請立即聯繫我們。
Source: https://netquestcorp.com/what-is-an-ndr-sensor/ (Why You Need an NDR Sensor)