NDR：不再只是“锦上添花”

网络检测与响应（NDR）技术已成为当今网络安全格局中不可或缺的一部分。如果您询问大多数IT专业人员或事件响应者（IR）什么是NDR及其功能，他们通常能理解其目的。这并不奇怪，因为价值数十亿美元的公司已成功利用这项技术。然而，存在一个持续存在的问题：许多IT管理员甚至IR专业人员仍将NDR视为“锦上添花”而非“必需品”。

在趋势科技从事事件响应工作多年后，我亲眼目睹了部署NDR解决方案如何改变事件响应，将响应时间从几天缩短到几分钟。尽管如此，阻力依然存在，通常源于对部署速度和集成的误解。让我们解决这些挑战，探讨为什么NDR是不可或缺的。

围绕部署的误解

我经常听到的一个论点，甚至来自销售团队内部，是：“你是说我们要等两天才能收到一个硬件盒子吗？”我运行IR团队的经验证实，这种担忧是合理的——运输硬件通常会引入延迟，影响及时响应。然而，现实是，现代NDR解决方案并不局限于物理设备。在趋势科技，我们认识到这一挑战，并优先开发了虚拟传感器。这种轻量级、可快速部署的虚拟设备预配置并准备就绪，使组织能够在几分钟而非几天内启动NDR解决方案。

NDR与EDR：互补技术

虽然端点检测与响应（EDR）工具功能强大，但它们有局限性。部署EDR代理需要时间，尤其是当Active Directory（AD）计算机列表过时或维护不善时。不在这些列表上的机器通常不受保护。此外，现代EDR工具难以支持遗留系统或多样化的Linux发行版。这一差距凸显了基于网络的可见性的需求。

NDR解决方案通过以下方式解决这些问题：

• 提供对网络上所有设备的可见性，包括EDR不支持的设备。
• 向边缘和EDR技术提供关键数据，增强其效能。
• 识别不应在网络上活动的服务或影子IT事件。

根据趋势科技的说法，“NDR是组织网络安全工具包的重要补充，它补充了EDR、ITDR和ASM，以覆盖网络漏洞并提供全面的XDR[1]。”

通过虚拟设备加速部署

部署NDR设备需要太长时间的担忧已经过时。趋势科技的虚拟设备模板可以在几分钟内下载并运行。虽然IT管理员或响应者配置虚拟机，但网络团队可以设置端口镜像，将流量从核心交换机引导到新设备。系统一旦启动，流量就开始流向Vision One，实现即时分析和威胁情报关联。

这种快速设置使组织能够：

• 在部署EDR的同时获得网络可见性。
• 在EDR代理完全部署之前关闭信标并阻止恶意通信。
• 通过向边缘设备提供可操作情报，主动破坏威胁行为者的活动。

为什么NDR应成为标准

网络仍然是任何IT环境中最真实的部分。虽然攻击者可能试图掩盖其活动，但网络流量模式揭示了其操作的关键洞察。NDR使团队能够：

• 发现可疑连接，如意外的RDP或SSH会话。
• 识别受损服务或设备进行横向移动。
• 获得与新识别威胁相关的流量的回顾性可见性。

为了使NDR采用无缝，我们专注于创建即用型模板和指南，用于部署虚拟设备和镜像流量。通过简化流程，我们的目标是使NDR成为每个事件响应剧本的标准组成部分。

对MSP、MDR和MSSP的行动呼吁

对于托管服务提供商（MSP）、托管检测和响应（MDR）提供商以及托管安全服务提供商（MSSP），NDR是一个改变游戏规则的工具。它不仅是改进事件响应的工具，还是在日益竞争的市场中的差异化因素。投资NDR技术使您能够提供更快、更全面的保护，从而在竞争中脱颖而出。

结论

NDR不再是可选的。它是现代网络安全运营的关键组成部分。通过解决部署挑战并展示其与EDR的互补作用，我们可以确保NDR成为每个组织安全策略的标准部分。无论您是IT管理员、IR专业人员还是服务提供商，现在是时候拥抱NDR，引领更快、更有效的事件响应。

[1] 有关NDR的全面概述，趋势科技提供了深入的解释。 有关NDR如何保护组织免受网络威胁的见解，请参阅趋势科技最近的文章。 有关NDR与EDR的详细比较，趋势科技提供了宝贵的见解。