NDR:再也不是「可有可無」的選項
網路偵測及回應 (NDR) 再也不是「可有可無」的選項,而是不可或缺的要素。NDR 能與 EDR 相輔相成、加快事件回應速度、提升可視性,成為現代化網路資安策略與服務供應商必備的一項重要工具。
網路偵測及回應 (NDR) 技術已經成為今日網路資安不可或缺的要素。若您詢問絕大多數的 IT 人員或事件回應 (IR) 人員何謂「NDR」以及它能做些什麼,他們通常都能說出它的用途,這一點不令人意外,因為這項技術在一些營收數十億美元的企業已經應用得相當成功。不過它卻一直存在著一個問題:許多 IT 系統管理員、甚至 IR 人員都覺得 NDR 是「可有可無」而非「絕對必要」。
我在趨勢科技的 IR 團隊待了好幾年,親眼見識到部署 NDR 解決方案如何徹底改變事件回應流程,將事件回應的時間從幾天縮短至幾分鐘。但儘管如此,NDR 依然還是經常遇到阻力,而且通常都是因為關於部署速度以及對於整合的誤解所引起。讓我們來看看這些挑戰,以及為何 NDR 對您不可或缺。
關於部署上的誤解
我經常聽到的一個質疑就是:「你是說我們得等個兩天等到貨送來嗎?」 就我在 IR 團隊的經驗,確實可能有這樣的疑慮,也就是硬體的運送經常會造成延誤,進而影響回應的即時性。不過,其實現代化 NDR 解決方案並非只有硬體解決方案。趨勢科技很早就意識到這項挑戰,所以優先開發了一套虛擬感測器。這套輕量化、快速部署的虛擬裝置出廠就已預先設定完成,隨時可以上線,企業只需幾分鐘而非幾天的時間,就能安裝好一套 NDR 解決方案。
NDR 與 EDR 的差異:技術上相輔相成
端點偵測及回應 (EDR) 工具固然強大,但仍有其極限,部署 EDR 代理程式需要一些時間,尤其如果 Active Directory (AD) 的電腦名單已經過時或者沒有妥善維護的話。只要是沒有列在名單上的電腦,通常就無法獲得保護。不僅如此,現代化 EDR 工具也很難支援老舊的系統或各式各樣的 Linux 發行版本,在這樣的缺陷下,網路可視性就顯得更加重要。
NDR 解決方案能藉由以下方式解決上述問題:
- 提供網路上所有裝置的可視性,包括 EDR 不支援的裝置。
- 可提供關鍵資料給邊緣和 EDR 技術,進一步強化其成效。
- 找出網路上不該出現的服務或影子 IT 事件。
根據趨勢科技指出:「NDR 是企業網路資安工具組一項不可或缺的強化要素,能與 EDR、ITDR 及 ASM 相輔相成來消除網路漏洞,建構出一套完整的 XDR[1]。」
藉由虛擬裝置加速部署
擔心 NDR 裝置的部署時間過長,這樣的疑慮已經不存在,趨勢科技的虛擬裝置範本可在幾分鐘之內完成下載並上線運作。當 IT 系統管理員或事件回應人員在設定虛擬機器時,網路團隊就能同時將連接埠鏡像 (port mirroring) 設定好,將流量從核心交換器導向新的裝置。一旦系統上線,流量就會開始導向 Vision One 來立即分析並交叉關聯威脅情報。
如此迅速的安裝方式可讓企業:
- 一邊開始部署 EDR、一邊同時掌握網路的可視性。
- 在 EDR 代理程式完全部署之前就能封鎖信標並攔截惡意通訊。
- 主動干擾駭客的活動,為邊緣裝置提供可化為行動的情報。
為何 NDR 應該成為標準配備
不論任何 IT 環境,網路依然是最能忠實反映實際情況的環節,儘管駭客可能會試圖掩蓋自己的活動足跡,但網路流量特徵卻能透露有關其行動的重要洞察。NDR 可讓團隊:
- 發現可疑連線,例如:非預期的 RDP 或 SSH 連線階段。
- 發掘已遭駭入的服務或正在從事橫向移動的裝置。
- 針對最新發現的威脅,追溯其相關的流量。
為了讓 NDR 更容易導入,我們特別製作了一些現成的範本和指南來協助您部署虛擬裝置並監控流量。我們已盡量將流程簡化,目的就是要讓 NDR 成為每一種事件回應教戰手冊的標配。
MSP、MDR 及 MSSP 該動起來了
對於託管式服務供應商 (MSP)、託管式偵測及回應 (MDR) 供應商,以及託管式資安服務供應商 (MSSP) 來說,NDR 將改變遊戲規則。它不單只是改善事件回應的工具,更是能讓廠商在日益競爭的市場中做出區隔的要素。投資 NDR 技術能讓您提供更快、更全方位的防護,讓您從競爭者中脫穎而出。
結論
NDR 不再是可有可無,而是現代化網路資安營運的關鍵元素。解決了部署上的挑戰,並讓它與 EDR 相輔相成之後,我們很確定 NDR 將成為企業資安策略的一項標準要素。不論您是 IT 系統管理員、IR 人員,或是服務供應商,現在正是您擁抱 NDR、讓事件回應變得更快、更有效的最佳時機。
[1] 如需 NDR 的完整介紹,趨勢科技提供了一份深度解說。
如需有關 NDR 如何保護企業、防範網路資安威脅的分析,請參閱趨勢科技的近期文章。
如需 NDR 與 EDR 的詳細比較,趨勢科技也提供了不少寶貴意見。