网络检测和响应(NDR)已从其最初作为流量监控和统计分析工具的角色演变而来。今天的NDR解决方案通过人工智能、机器学习工具和自动事件响应提供基于行为的分析。但未来NDR将如何发展?
整合将成为常态
在不久的将来,我们将看到与其他安全技术的更多集成。从一个角度来看,NDR分析平台将摄取越来越多的数据源,包括NGFW、IDS/IPS、EDR(端点检测和响应)、沙盒等。这些设备的有用元数据将被提取并发送到NDR分析中心,从而增加NDR威胁检测的深度、广度和准确性。
从另一个角度来看,威胁检测技术将被集成到NDR解决方案中。这些可能包括威胁情报、ActiveDirectory等。这种集成将在检测到可疑行为或威胁时提供补充上下文信息,以帮助减少误报——当管理员收到警报时,额外的上下文将增强他们对调查结果的信心。
我们将看到更多部署选项
我们将越来越多地在NDR的产品或技术形式中看到更多选择——无论是基于硬件的单个设备、具有中央分析平台的分布式传感器网络,还是虚拟解决方案。传统的数据中心和业务应用程序正在迁移到云端,以利用更具动态性、弹性和粒度以及大规模可扩展性的云原生应用程序和服务。
在云中,安全将被部署为微服务。这将提供微分段的东西向流量可见性和威胁防护,具有更精细的粒度、意识和可扩展性。NDR将需要采用云原生模型来帮助保护基于云的企业资产。因此,NDR解决方案将变得更加灵活和自适应,能够监控和保护南北和东西流量。根据使用案例,NDR还将能够为云资产提供精细的检测和保护功能。
自动化成为强制性
随着威胁变得越来越复杂,云采用变得无处不在,自动化将成为建立和实施强大安全态势的关键。随着必须处理、监控和分析的流量数量和类型的显着增加,如果没有高度自动化的工具和流程,执行这些任务是低效和低效的。
例如,安全编排自动化和响应(SOAR)在基于剧本的自动化流程中结合了行为分析、威胁检测、威胁搜寻和事件响应。这些剧本编纂了对给定威胁场景的适当自动安全响应,这使安全分析师从劳动密集型的手动威胁检测、威胁分析和事件响应任务中解脱出来。相反,安全人员可以自由地专注于当下最严重和最关键的问题。因此,自动化可以大大提高整体安全性和生产力,并有助于降低运营成本和员工倦怠。
下一步是什么?
NDR已经存在了相当长的一段时间,可以认为是一种相对成熟的技术。通过添加基于行为的分析、机器学习技术和事件响应功能,它已经超越了原来的交通监控功能。结果是一个更强大的NDR平台。
随着它的发展,NDR包含更多的数据源并开发了主动威胁检测功能,成为XDR,或扩展检测和响应。最后,如今NDR可以在更大的全球范围内进行流量分析、威胁检测和事件响应,作为一个称为SOAR的平台。技术永远不会停止发展和融合。NDR正在继续改进威胁检测和预防,以及响应效率和整体解决方案效率。