NDR 是什么?提升网路可视性,即时侦测威胁
网路攻击手法日益精进,企业更须采取多元的资安防护措施来应对潜在威胁,例如防火墙、入侵侦测系统(IDS/IPS)和端点侦测及回应(EDR)等等,而「网路侦测及回应(NDR)」可协助企业面对潜伏于内部网路的威胁。 NDR 透过持续监控网路流量,并利用 AI 与行为分析等技术,侦测异常活动并快速回应,进一步提升企业的资安防御能力。
NDR 是什么?
NDR 是 Network Detection and Response 的缩写,中文称为「网路侦测及回应」,由传统的网路安全技术演变而来的资安技术,同时也是「网路流量分析(Network Traffic Analysis)」技术底下的子领域。
NDR 的主要目的是提升企业网路的可视性,让系统管理者能更清楚地了解网路活动情形,及时发现异常并采取行动。 NDR 监控企业网路中的流量,包括内网、云端或混合云运算环境中中设备之间的互动。一旦 NDR 系统侦测到异常活动,就会触发自动化回应,例如恶意 IP 位址、隔离受感染装置或限制可疑流量。
NDR 通常使用攻击指标(Indicator of Attack,IoA)、异常行为检测(Anomaly Detection)、使用者行为分析(User Behaviour Analysis)、机器学习(Machine Learning)等技术来侦测和回应威胁。
NDR 4 大优势介绍
NDR 可以实时监控企业的网路连线活动,并侦测到防火墙、入侵侦测与防御系统(IDS/IPS)、防毒软体以及EDR 等其他网路安全措施可能会遗漏的异常活动。 NDR 可协助侦测零日攻击(Zero-Day Attacks),及支援零信任(Zero Trust)架构中的持续监控与异常行为侦测,进一步提升资安防护。而 NDR 搭配其他资安工具,更能全面加强防护。具体来说,使用 NDR 有以下 4 大优点:
1. 提升可视性:
NDR 全面监控网路系统内的活动,可降低误判率,减少遗漏危险警讯。一般来说,网路攻击者通常不会直接入侵到目标机器,而是从目标网路系统中的漏洞入侵,在逐渐前往目标机器。而入侵早期的某些活动可能难以被传统记录机制(如 Log 档)侦测到,使企业较难在早期发现资安威胁。
2. 主动猎捕威胁:
利用 AI 技术和行为分析,NDR 可透过威胁猎捕(Threat Hunting)主动分析网路行为,发掘潜在资安威胁。且因为不仰赖攻击特征(Attack Signatures),除了已知的资安威胁以外,可主动侦测未知的攻击。
晟崴小知识:「攻击特征(Attack Signatures)」指网路攻击中特定且可识别的模式、行为或特征,可以用来辨识攻击的种类,以便即时防范,例如 DDoS 攻击特征、SQL Injection 攻击特征等等。
3. 即时回应:
NDR 会先学习企业正常的网路行为模式,再透过机器学习与进阶分析侦测异常活动,并第一时间回应与警告管理者,以降低网路威胁影响。
4. 分析效率提高:
NDR 整合 AI 技术,除了可以在短时间内大量分析资料,提升分析正常行为与异常行为的准确性也有所提升。还可透过分析恶意流量与行为模式,评估攻击在企业网路内的影响范围,并协助溯源攻击者。
实现 NDR 所需的元件与功能
企业导入 NDR 解决方案,通常需要搭配多种核心技术与功能,以确保能够即时侦测、分析并回应网路威胁。以下是 NDR 主要具备的功能与技术:
- 实时警告及回应系统:第一时间生成警告,并采取自动化回应。
- 深度封包检测技术:NDR 透过检查以网路传递的封包中的「表头资料(Header)」和称为「负载(Payload)」的资料本身,识别异常流量模式,协助侦测恶意软体、入侵行为和潜在资料外泄风险。
- 加密流量分析:透过流量模式分析与机器学习技术,在不影响隐私的前提下侦测可疑行为。
- 网路鉴识:透过建立网路活动的 Log 档案,NDR 可以协助资安事件的事后调查,追踪攻击媒介(Attack Vectors)、受影响的系统、入侵者的策略,以加强未来资安防御。
- 云端环境支援:因为现在企业可能有地端、云端还是混合云环境,NDR 系统也需要可以支援不同的运算环境与架构,以实际侦测与回应。
EDR、NDR、XDR、MDR 有什么不同?
其实,NDR 只是众多侦测与回应技术中的一种,此外还有 EDR、MDR 和 XDR。这些解决方案在监控范围、侦测方式及应用场景上各有不同。下面将简单介绍各项技术的定义,和比较主要差异:
- EDR 端点侦测及回应:专注于端点(Endpoints)设备的威胁侦测与回应。
- MDR 受管式侦测及应变:由第三方资安公司提供的 EDR 服务。
- XDR 延伸式侦测及回应:涵盖层面更广的威胁侦测与回应技术,除了端点和网路以外,还监控电子邮件、应用程式、伺服器、云端工作负载等等范围的资料。并且集中管理多种不同来源的资安资料,加强自动化分析与回应能力。
|
NDR |
EDR |
MDR |
XDR |
|
|
侦测范围 |
网路和内网 |
端点 |
端点 |
整体 IT 系统 |
|
优势 |
侦测隐藏于内部的威胁,辨识未知的网路威胁 |
针对端点设备的深入监控与威胁侦测 |
由资安专家提供 24/7 持续监控与应变,减轻企业人事成本 |
跨平台整合端点、网路、云端等不同来源的资安资料. |
【想更了解 EDR 与 MDR嗎?欢迎参考 MDR 是什么?与 EDR 的差异与使用好处】
【想进一步了解 XDR 吗?欢迎参考 XDR 是什么?延伸式侦测及回应提供了哪些资安保障?】
如何评估是否需要 NDR?
NDR 可提升企业对网路层的可视性,补足其他监控系统的不足。例如,若企业仅部署 EDR系统,则仅能监控个别端点设备的安全状态,而 NDR 则能扩展监控范围至整体网路流量,进一步掌握攻击者的横向移动行为,强化内部威胁的侦测能力。然而,每家企业的资安需求与 IT 架构不同,选择合适的资安解决方案时,可综合评估以下几个要点:
- 资安防护重点:若企业希望强化对网路流量的安全监控,NDR 是理想的解决方案,能有效补足传统端点与边界防护的不足。
- 基础架构复杂性:对于拥有多云、混合云或大量互连设备的企业,NDR 能帮助监控横向移动*的攻击者,提升内部威胁的可视性。然而,在高度复杂的 IT 环境中,企业也需确保 NDR 的部署能覆盖所有关键网路流量,以避免监控死角。
- 成本因素:企业应评估可投入的资安预算,包括 NDR 系统的购置与维护成本,以及人力资源是否足以管理与分析 NDR 收集到的资安资料。
晟崴小知识:「横向移动(Lateral movement )」指骇客在成功入侵 IT 系统后,利用漏洞或窃取登入凭证来扩大存取权限,在内部网路中进一步渗透,试图窃取、窜改或破坏机敏资料。
NDR 能够全面监控网路活动、主动猎捕威胁、即时回应并提升分析效率,帮助企业及早发现并应对潜在的安全风险。且根据企业需求,NDR 可搭配其他资安技术,更进一步强化整体安全架构,提升资安事件的可视性与应变能力。晟崴科技提供客制化的资安解决方案,协助您整合并运用多种资安工具,全面强化资讯系统的防护能力。
立即联络晟崴科技,辨别未知的网路威胁
