数字化转型极大地扩大了企业网络的安全威胁和漏洞范围。防火墙、安全信息和事件管理 （SIEM）、入侵检测和防御系统 （IDPS）、端点检测和响应 （EDR） 解决方案、网络流量分析 （NTA） 系统和其他签名工具都有自己的盲点，在高级威胁检测和预防方面通常无效。它们不会始终提供网络管理员保护网络和最终用户所需的安全性，同时防止性能出现重大故障。行为分析、机器学习和 AI 技术集成后，利用历史数据将事件关联到更长的时间段内，从而大大减少花在诊断上的时间。因此，改进网络流量管理策略的威胁检测和事件响应高度依赖于网络检测和响应 （NDR） 解决方案的存在。

什么是网络检测和响应

网络检测和响应是一种监控企业网络的解决方案，用于检测和防止网络流量异常、网络安全威胁、内部攻击和其他非恶意软件风险。它提供了对网络流量活动的更大可见性，最大限度地减少了任何潜在威胁或恶意行为的重要性。

对日志和网络数据的实时可见性对于有效的网络检测和响应至关重要，NDR 解决方案结合了 ML、AI、SOC、EDR、SIEM 和其他分析技术，在网络流量管理中发挥更广泛的作用，而不仅仅是网络流量分析。

NDR 创建一个可缩放的集成安全生态系统，该生态系统使用零信任方法来持续监视和检测可能已超过防火墙或其他签名监视系统的内部和外部威胁。它实时监控每个主机和对话，通过应用 ML 等技术来帮助在违反这些阈值时发出警报，从而设置性能基线。NDR 自动快速有效地响应这些警报，以确保合规性、安全性和最佳性能。

网络检测和响应的演变

NDR 市场自 2000 年代以来一直很普遍，当时它首先作为网络行为异常检测 （NBAD） 出现，然后在 2010 年代后期演变为网络流量分析 （NTA）。NBAD 到 NTA 的转换有助于弥合用于异常检测的网络流量模式监控和用于检测安全威胁的监控网络流之间的差距。2020 年，Gartner® 正式将市场定义为网络检测和响应，强调了响应在威胁检测中的重要性。

网络检测和响应的工作原理

网络已成为每个企业的基础。网络规模和复杂性的不断增长，以及云和混合环境的采用和扩展，大大增加了攻击面。由于网络中生成的大量数据以及缺乏网络流量可见性，迫在眉睫的威胁可能未被发现。这就是为什么NTA解决方案一直是大多数组织的第一道防线。NDR 使用高级算法和程序的工具包来防止网络威胁，就像 EDR 解决方案一样。它利用 ML、AI 和其他非传统方法来提供深入的网络可见性。NDR 使用网络流量数据来识别已知和未知的攻击和模式。它还识别攻击后模式，以减少攻击对网络和最终用户的影响。

EDR 与 NDR

NDR 分析整个网络中的网络流量数据，以获得阻止攻击的可见性，这与使用代理防止异常活动的 EDR 解决方案不同。NDR 不能防止攻击，但通过采用基于网络的方法检测任何威胁或攻击者，从而提供额外的安全级别，这些威胁或攻击者已经潜入了 EDR 等解决方案。

使用案例

• 端到端可见性：监控远程、云环境和 BYOD
• 威胁检测
• 横向移动
• 威胁搜寻和未知威胁检测
• 取证
• 网络智能
• 快速响应

端到端可见性：监控远程、云环境和 BYOD

上下文端到端网络可见性可帮助安全系统监控和分析网络流量，并全面了解网络中的设备和用户。这不仅有助于检测威胁，还可以透明地了解哪些数据正在通过网络传输，哪些用户在网络上处于活动状态，以及用户与哪些应用程序交互。随着组织转向混合和云优先策略，NDR 解决方案提供了对多个环境所需的可见性。

威胁检测

基于规则的威胁检测方法使某些检测工具过时且无效。NDR 解决方案通过深入的数据包分析跟踪和定义网络流量行为和性能基线，从而促进 AI 驱动的 ML 模型进行威胁和异常检测和分类。

横向移动

横向移动允许威胁伪装成正常的网络流量，甚至获得管理访问权限。这可能会导致凭据和设备数据被盗。虽然IDPS曾经是横向移动检测的首选解决方案，但这种方法现在已经过时了。流量监控仅限于通过网络防火墙的内容，主要依赖于签名。为主机设置阈值以检测横向移动在大型组织中不起作用，因为没有一个阈值适合每个单独的主机。行为分析与 ML 相结合，使 NDR 能够基于每个主机监视网络。

威胁搜寻和未知威胁检测

威胁搜寻涉及隔离异常值、对其进行分析和分类以及采取必要的措施。特征码工具、规则、预定义算法和威胁情报在检测到来自未知威胁参与者的未知攻击时失败。未检测到的攻击者可以隐藏在网络中。将 AI 和 ML 与威胁猎人集成的 NDR 解决方案有助于发现安全解决方案经常遗漏的威胁。这包括异常和异常值、已知和持续威胁、隐藏威胁和未知威胁。

取证

网络取证虽然主要用作恶意软件检测的解决方案，但也是主动监控网络流量异常和网络行为分析的有效方法。NDR 检测潜在攻击并分析攻击模式和流量趋势以建立行为基线，这有助于缩短诊断时间并提高网络管理员的威胁检测技能。

网络智能

ML 解决方案等签名工具根据性能基线和历史趋势检测威胁和异常。使用 AI 和 ML 增强的 NDR 应该能够分析数据并与全球威胁情报相关联，以发现终结点安全或基于日志的解决方案无法查看的异常和攻击。

快速响应

NDR 解决方案无缝连接到安全工具，以便立即采取措施排除故障并阻止威胁。它们支持自动响应，快速解决问题。NDR 使用 AI 和 ML 通过执行攻击活动分析、检测受影响的用户和设备以及稳定监控网络以实现实时安全性来检测和防止网络钓鱼攻击和内部威胁。

最好的 NDR 解决方案提供按类型和严重性确定优先级的高度准确的警报和自动响应，以节省网络管理员和安全团队的时间和精力，从而提高威胁搜寻和响应潜力。

NetFlow Analyzer 网络检测和响应

网络检测和响应解决方案倾向于使用零信任方法进行监视和分析，从而自动检测和响应网络流量异常和威胁。借助 NetFlow Analyzer 的高级取证和安全功能、基于 ML 的预测和开箱即用的集成，从数据聚合中实现上下文实时可见性。

NetFlow Analyzer是一个功能齐全的带宽监控和网络流量分析解决方案。它是一个基于流的软件，可在Windows和Linux机器上运行，并支持各种流格式和设备。它与各种内部和第三方应用程序无缝集成，为用户提供全面和定制的网络检测和响应解决方案。