NDR网络监测与响应技术真的是应对网络攻击的好技术吗？

网络检测与响应 (NDR) 是一项新兴技术，旨在弥补传统安全解决方案留下的安全盲点，黑客利用这些盲点在目标网络中立足。

如今，企业正在使用大量安全解决方案来保护其网络免受网络威胁。最突出的是防火墙、IPS/IDS、SIEM、EDR 和 XDR（它结合了 EDR 和 SIEM 的功能）。然而，所有这些解决方案都存在安全漏洞，无法有效阻止高级网络攻击。

NDR 是基于入侵检测系统 (IDS) 开发的。IDS 解决方案安装在网络外围并监控网络流量是否存在可疑活动。

IDS 系统存在许多缺点，使其在阻止现代网络攻击方面效率低下：IDS 使用基于签名的检测技术来发现异常活动，使其无法发现未知攻击。

此外，IDS 系统会触发大量安全警报。这会浪费安全团队的时间并使他们无法调查所有安全警报。最后，IDS 并非旨在提供任何响应或调查功能，因此无法有效应对持续的网络攻击。

网络检测和响应从网络流量中提取信息

NDR 是减轻 IDS 系统无法保护的缺点的响应。NDR 系统超越了基于签名的检测，可以分析进出网络的所有网络流量，并创建正常网络活动的基线。基线稍后用于将当前流量与常规网络活动进行比较，以检测可疑行为。

NDR 解决方案利用先进技术来检测新兴和未知威胁，例如机器学习和人工智能 (AI)。使用这些技术允许 NDR 系统将从网络流量收集的信息转换为可操作的情报，用于检测和阻止未知的网络威胁。

NDR 解决方案可以独立于人工监督自动运行，以检测网络威胁并做出响应。NDR 还可以与现有的安全解决方案（例如 SIEM 和 SOAR）集成，以增强检测和响应。

传统 NDR 在处理加密和不断增加的数据量方面存在缺陷

到目前为止，NDR 依赖于流量镜像，通常结合硬件传感器来提取信息——这与 IDS 过去的做法非常相似。然而，有三个改变游戏规则的人越来越多地挑战这种方法：

1. 根据谷歌透明度报告，很大一部分互联网流量是加密的，已经有 90%的网络流量是加密的。因此，传统的流量镜像无法再从有效载荷中提取信息，从而失去其有效性。
2. 增加带宽和新的网络技术，使流量镜像变得昂贵甚至不可行。
3. 向高度分布式混合网络的转变，在这种网络中，仅仅分析一个或两个核心交换机上的流量已不再足够。许多收集点需要受到监控，这使得基于流量镜像的解决方案的运营成本更高。

考虑到这些发展，镜像网络不再是面向未来的网络安全解决方案。

ExeonTrace：值得信赖的面向未来的 NDR 解决方案

ExeonTrace不需要镜像网络流量来检测威胁和解密加密流量；它使用的算法不是对有效载荷进行操作，而是对通过 NetFlow 从现有网络基础设施导出的轻量级网络日志数据进行操作。

这使其能够分析在许多收集点通过网络的元数据，以发现高级威胁行为者采用的隐蔽通信渠道，例如 APT 和勒索软件攻击。

NetFlow 是一种开放标准，它使网络设备（例如，路由器、交换机或防火墙）能够导出通过它们的所有连接的元数据（物理网络、虚拟化环境和私有云环境——或所谓的南北向和东向） -west 监控能力）。因此，这种方法对于也包括云环境的分布式网络来说是最佳的。

ExeonTrace解决方案提供对整个 IT 环境的全面可见性，包括连接的云服务、影子 IT 设备，并且可以检测非恶意软件攻击，例如内部威胁、凭证滥用和数据泄露。完整的网络可见性将使检查进入或离开企业网络的所有网络流量成为可能。

ExeonTrace不会就此止步，因为它将监控企业网络中所有设备之间的所有内部交互，以检测隐藏在您网络中的高级威胁行为者，例如 APT 和勒索软件。

ExeonTrace利用监督和非监督机器学习模型，可以检测非恶意软件威胁，例如内部威胁、横向移动、数据泄漏和内部侦察。ExeonTrace还支持添加基于网络的自定义规则集，以验证所有用户是否遵守实施的安全策略（例如，阻止用户使用特定协议）。最重要的是，ExeonTrace可以与可用的威胁源集成或使用特定于客户的威胁源来检测已知威胁。

结论

NDR 系统已成为阻止不断增加的网络攻击数量的必要条件。传统的 NDR 解决方案需要镜像完整的网络流量以分析数据包有效载荷，这在防止利用加密来隐藏其活动的现代网络威胁方面不再有效。此外，镜像整个网络流量变得越来越不方便，尤其是随着通过企业网络的数据量的大量增加。像ExeonTrace这样依赖于元数据分析的面向未来的 NDR可以减轻这些缺点——因此应该成为有效保护企业网络的首选手段。