理解EDR、NDR、 TDR、 XDR和MDR之间的区别

写在前面：这几个概念也都清楚，但有人问起时，还真不容易完整地列出来，并说得透彻明白。本文正好做个完整的介绍。‍‍‍‍‍‍‍

        网络安全领域从不缺少缩写。无论是协议和标准，还是工具和技术，市场都被无穷无尽的大写字母组合所主导。

        最近，为了对抗越来越多针对组织的攻击，许多与安全相关的缩写现在都采用了类似的字母，即“D”表示检测，“R”表示响应。这给不熟悉这些术语的买家带来了很多困惑。因此，让我们区分一下这些检测和响应产品之间的差异，以找到适合您的产品。

理解检测和响应

       让我们从基础开始：这些产品的共同核心功能是检测和响应。为了理解这些功能，我们必须深入研究许多传统安全工具最初采用的方法。

       在网络安全市场的早期，防病毒软件占统治地位，方法非常简单。只要潜在威胁与已知威胁的签名或特征相匹配，它就会被终止或阻止执行。这种方法在一段时间内运行良好，但一旦威胁情况开始变化，这种方法就过时了。

       首先，恶意软件设计者很快就学会了创建能够绕过防病毒工具的多态病毒代码。其次，针对活跃的人类攻击者，传统的防病毒软件提供的保护很少。由于这些原因，需要一种新的战术。

       现代技术使用简单的签名匹配之外的方法检测广泛的威胁，以及一旦发现威胁就能够快速有效地做出响应的能力。当我们回顾这些产品时，您将看到这种方法仍然是每个解决方案的基础。

什么是EDR？‍

       EDR，或端点检测和响应，可以说是这个名单中使用最广泛的产品，全球市场预计在未来几年内每年将超过70亿美元，并且有可能上升到更高。

       它受欢迎很大程度上可能源于人们认为它是传统防病毒产品的继承者，弥补了防病毒的许多缺点。

       正如它的名字一样，EDR对端点的关注是它的关键亮点。其思想是，每个端点，无论是笔记本电脑、台式机、服务器、虚拟机，某些情况下是移动设备，都是攻击者的潜在入口。因此，防御者对这些设备上发生的事情有最高级别的可见性非常重要。

       EDR代理软件被部署到组织内的端点，并开始记录该系统上发生的活动。我们可以将这些代理描绘成关心该设备上运行的进程和事件的安全摄像头。然后，EDR代理使用这些记录的数据来检测潜在的威胁。

       EDR有许多方法可以检测威胁。有些通过机器学习在端点上进行本地检测，有些将所有记录的数据转发到内部控制服务器进行分析，有些将记录的数据上传到云进行检测和检查，更多的是使用多种方法的混合方式。

       EDR中的检测可以基于一系列机制，包括人工智能、威胁情报、行为分析、攻陷指标(IOC)，以及取决于不同供应商的独特方法。这些工具还提供不同范围的响应能力，其中可能包括触发警报、将机器与网络隔离、回滚到已知的良好状态、删除或终止威胁以及生成取证证据文件等操作。

       使用EDR，将代理软件部署到尽可能多的系统中至关重要。这可以被视为一个缺点，因为目标应该是将代理完全部署到环境中的所有设备，这是一项耗时且具有潜在挑战性的任务。然而，覆盖尽可能多的端点对于从EDR检测功能中获得最大价值关系巨大。

什么是NDR?

       一旦我们理解了EDR只关注端点，我们就可以开始理解许多组织在NDR(网络检测和响应)中看到的必要性。

       顾名思义，NDR从流经组织的网络流量中检测数据。NDR供应商可能有多种方法来观察和分析这种流量，但通常需要一个网络探头。典型的物理网络设备、虚拟设备或两者的组合。然后，这些探头被放置到网络中，在流量流向目的地时观察流量，或者以镜像方式，流量的副本被转发以供分析。

       NDR检测通常基于对环境的整体了解。NDR不像EDR那样基于不寻常的进程或细粒度事件来检测威胁，而是基于异常或未经授权的协议、端口利用、奇怪的使用时间和传输大小等来查找潜在威胁。

       作为一个比喻，我们可以把NDR描绘成一个观察车辆驾驶的高速公路巡警。如果执法人员观察到违规行为，他们可以采取必要的行动，以确保交通安全。NDR可能触发警报、丢掉流量、隔离设备并生成取证证据。

       我们应该始终考虑到NDR的优点和缺点。一个关键的好处是它不依赖于每个端点上部署的代理软件。这使得它非常适合EDR可能无法覆盖每个系统的环境。NDR的另一个优势是可以检测和响应未经授权的设备。如果攻击者将未经授权的笔记本电脑插入到您的环境中，NDR应该能够检测到这一点，并允许您对来自该设备的流量采取行动。

       然而，NDR面临的一个巨大挑战来自现代网络不断发展。许多组织现在都采用了在家工作的政策，这模糊了传统网络边界的界限。如果一个组织雇用了大量的远程工作人员，他们可能永远不会在通常定义的公司网络中产生流量，那么NDR对发生的事情的可见性将是最低的，可能提供的价值也有限。

       网络检测和响应(NDR)解决方案调查您的网络中已知和未知的威胁和可疑活动，持续分析来自网络的流量，创建正常行为模式。为了检测网络中的异常流量，NDR解决方案主要使用非基于签名的工具(机器学习或其他分析技术)，不像传统软件依赖于被归类为恶意或非恶意的签名。

       如果检测到任何可疑行为，NDR会向安全团队发出警报，并在事件发生时为您提供响应功能，协助IT专家缓解恶意软件导致的后果。

       更先进的NDR平台可以帮助您提供可靠的取证功能，提供长期的数据存储。当检测到攻陷指标(IOC)时，安全团队可以使用这些数据来发现被入侵主机通信，评估横向移动，并确定是否发生了数据泄露。

NDR的好处

       使用NDR解决方案将显著提高整个组织网络的可见性，覆盖任何盲点。基于无签名的AI学习使NDR能够正确识别更复杂的、无文件的恶意软件。它的分析和行为特性将为已知和未知的恶意软件提供更准确的威胁警报。

       在NDR的帮助下，IT团队可以获得更快的响应，NDR在相关威胁发生时尽可能快地发送警报，由于其集中数据，可以在整个网络上进行快速威胁调查，并帮助缓解威胁。

       NDR专注于分析网络流量中的数据包数据，是最可靠、准确、全面的信息源。NDR解决方案通过提供网络上下文和对威胁的自动化响应来提高安全性，允许网络和安全团队之间进行更多的协作，并更快地进行修复。

什么是TDR?

       威胁检测和响应(TDR)是一个难以定义的术语，因为多个供应商提供了使用该名称的不同工具。为了更好地理解TDR的使用，我们将重点介绍TDR技术的两种最常见的用法，端点TDR和分析TDR。

       端点TDR本质上是对EDR及其可能生成的大量数据的一种改进方法。正如我们所讨论的，传统的EDR旨在尽可能多地记录端点上发生的事件数据。这意味着它不仅可以检测威胁，还可以为安全分析师、事件响应人员和威胁猎人提供有价值的数据池，以便在调查期间进行查询。不幸的是，这也造成了一种情况，即EDR工具记录的大量数据被视为不必要的噪音。

       在我们之前的类比中，我们把EDR想象成一个安全摄像头，记录房间里发生的事情，每天运行24小时。当我们在寻找发生的事件时回看录制，我们必须花时间快进无关的内容。一些TDR工具试图解决这个问题，方法是只记录它认为正在发生潜在威胁的数据，或者只记录最有可能揭示威胁的一组策略流程和事件。当检测到威胁时，这种形式的TDR通常与传统的EDR非常相似。

       分析型TDR则是与端点型TDR是完全不同的方法。对于分析型TDR，让我们将其想象为应用于现有数据的检测和响应功能。许多组织正在转向大数据模型，在大数据模型中，大量的信息被收集并存储在一起。分析性TDR方法利用现有的数据湖并进行威胁检测分析。一旦检测到威胁，就可以触发警报，并解决问题。这种类型的TDR的一个缺点是它依赖于那些大数据结构。如果一个组织还没有实现大数据结构，那么这种形式的TDR将没有价值。

什么是XDR?

       从以上的描述中，我们了解到EDR专注于端点，但很少监控网络流量。然而，NDR在检测网络级别的威胁方面表现出色，但不能为终端设备提供细粒度检测和响应能力。最好的方法是同时使用这些工具，这是目前许多组织所做的。不幸的是，许多安全分析师发现这种方法很不方便，因为使用多个产品和控制台的本质上是脱节的。

       这就是XDR(扩展检测和响应)最近被认可的原因。XDR推崇单一平台的思想，该平台可以吸收端点代理软件数据、网络级信息，在许多情况下还包括设备日志。这些数据是相互关联的，可以从一个或多个遥测源进行检测。

       XDR的一个好处包括简化分析人员角色的功能，允许他们从单个控制台查看检测并采取响应操作。单仪表盘方法提供了更快的实现价值的时间、更低的学习曲线和更快的响应时间，因为分析师不再需要在窗口之间切换。XDR的另一个优势是它能够将多个遥测源组合在一起，以实现检测的整体视图。这些工具不仅可以看到端点上发生的情况，还可以看到端点之间发生的情况。

       由于XDR是这个列表中最新的技术之一，所以我提出一个警告。在评估XDR解决方案时，请尽职调查并熟悉它们的特性。有些工具可能提供尖端的、跨功能的检测和响应功能，其他工具可能只是重新命名的老工具，以利用技术趋势进行营销。了解XDR的好处是什么，并确保您评估的工具符合这些准则。

       扩展检测和响应(XDR)解决方案是为事件检测和响应而构建的统一平台。XDR自动收集和分析来自多层安全的数据，如电子邮件、端点、服务器、云工作负载和网络。

       这意味着XDR可以帮助您的IT团队跨多层安全识别、调查和减轻威胁，而不仅仅关注端点检测。XDR通过执行内部和外部流量的AI分析来帮助检测恶意威胁，以发现可能的攻击。

       它还可以在集成威胁情报的帮助下避免攻击并检测零日漏洞，其中包括关于多种方式的已知攻击策略、来源和工具的信息。

       XDR收集和提供的各种数据可以为攻击后的调查提供有价值的见解。比如感染的入口点、受影响的系统、攻击的来源，等等。

什么是MDR?

       托管检测和响应(MDR)是我们目前为止所回顾的产品的异类，因为它不一定是一种技术，而是一种服务解决方案，它包含了技术、人员和流程。

       MDR是基于这样一个事实制定的：有许多很棒的检测和响应工具可用，但许多组织在管理这些工具所需的时间和人才方面都受到严重限制。因此，MDR将威胁检测和相关响应操作作为托管服务提供。

       MDR服务有许多类型，但为了简单起见，我们将重点介绍两种：纯服务和以产品为中心的服务。

       以产品为中心的MDR通常涉及销售工具的供应商，然后在这些工具的基础上提供托管服务来运行这些工具。把它想象成一个汽车经销商卖给你一辆车，同时配备一个专职司机。这带来了许多好处和考虑。供应商在他们的工具方面是专家，因此，可以为这些工具提供专家级的指导、支持和管理。然而，他们的关注点通常仅限于他们所销售的工具。

       如果您的组织拥有各种各样的安全工具，那么以产品为中心的MDR方法将只与它们提供的工具一起工作，要求您的团队要么管理其余的工具，要么将您的技术整合到该供应商的产品中。

       一个纯服务的MDR供应商是与您现有的安全产品一起工作来检测和响应威胁。在这个例子中，我们可以想象一个雇来的司机会驾驶你目前拥有的任何汽车。这些MDR供应商通过提供专家来利用现有的工具集，成为组织所需的资源，使组织避免将其技术整合到单个供应商。这有利于客户，他们可以实现一系列最适合自己需求的工具，然后利用MDR供应商进行检测和响应操作。

       一个纯服务的MDR供应商可以与客户一起成长和发展，并建立持久的、信任的关系，而不是专注于销售产品。

哪种检测和响应解决方案最适合您?

       每个组织都有不同的安全和业务需求，但它们都有一个共同点—需要监视系统并检测威胁。您需要选择适合自己的工具

https://arcticwolf.com/resources/blog/understanding-between-edr-ndr-tdr-xdr-mdr/

网络检测与响应(NDR)如何工作

2023年1月23日

       网络检测和响应(NDR)是一种网络安全方法，可以识别和阻止传统网络网关工具无法检测到的网络威胁。NDR有时也称为网络流量分析(NTA，Network Traffic Analysis)。

       在高层次上，NDR工具检查异常或意外的流量和网络行为，这些行为可能表明即将发生网络安全攻击或数据泄露。NDR为企业提供了分析来自各种数据源的网络威胁的能力，包括那些没有先前签名的网络威胁，包括出现在云环境中的网络威胁。

NDR使用什么技术?

       NDR产品可以利用多种技术来分析网络流量，但最常见的是机器学习和行为分析。这些技术持续分析原始数据包通信和流量记录，以生成预期网络行为的模型(或“基线”)。

       当NDR检测到违反预期基线的异常、意外网络活动时，这些系统通过向网络安全团队传送一个信号进行响应，以供审查。根据过滤器的设置方式，类似的网络流量要么被阻止，要么被允许通过，或者在分析人员审查报警信号后被限制或允许通过。

       作为网络安全工具，区分NDR与更传统的基于规则的网络安全方法，如独立SIEM(安全信息和事件管理))非常重要，后者严格依赖于预定的规则。

       现代NDR分析原始网络流量日志，而不是“回看”已经通过网络的流量—因此，现代NDR作为一个独立的产品或与传统网络安全工具结合使用可以提供更全面的覆盖。NDR还可以从现有的网络基础设施，包括防火墙，收集网络流量数据。

一些最著名的NDR技术:

• Darktrace

• Vectra AI

• Cisco Stealthwatch

• Awake Security Platform

• ExtraHop Reveal(x)

• Blue Hexagon

• RSA NetWitness Network

• IronNet IronDefense

网络检测和响应软件的运行环境是怎样的?

       NDR非常适合于企业网络环境，包括那些为跨多个地点的分布式工作人员提供服务的环境。NDR有助于集中和管理监控以闪电般的速度进出企业网络的大量网络流量的繁重任务。

       NDR软件通常安装在本地，但托管网络安全提供商越来越多地提供远程托管和管理的“即服务”产品。无论是哪种情况，SOC团队都必须能够响应警报，并对NDR设置进行频繁调整或提出建议。

NDR软件的核心功能和好处

       NDR的核心是进一步保护已经通过其他方式被监控和保护的企业网络。NDR很少单独使用，相反，它是统一网络安全方法的核心组件，将机器学习和其他人工智能驱动的增强技术添加到组合中。

       先进的NDR解决方案使企业能够从各个方面洞察传统安全工具无法提供的网络流量，而不仅仅是入口和出口流量。实际上，NDR还可以检测网络内部的异常网络流量行为，以及进入和流出云环境的流量。

       真正的NDR可以是对NTA工具的改进，NTA工具会触发过多的误报。企业可能会发现，与一家有能力和知识获得先进人工智能技术的公司合作是值得的，这种技术能够更好地从可能误报的威胁中筛选出真正的威胁。这对SOC来说是一个显著的优势，因为分析师们要花费宝贵的时间来整理成堆的误报。

       采用NDR解决方案的一个显著好处是它能够帮助防范勒索软件，勒索软件已成为本世纪最大、最难以克服的网络威胁之一。由于勒索软件即服务(RaaS)的出现，今天的勒索软件攻击者甚至不需要精通技术就可以部署攻击。

       勒索软件攻击者也可以很容易地利用人工智能来克服各种网络安全保护。一个系统可以建立预期网络行为的基线，然后将任何网络流量与之进行比较，一般来说，有很大的机会克服和预防勒索软件 (尽管目前市场上没有任何产品可以声称完全消除这种威胁)。

       虽然大多数NDR产品无法提供真正的实时保护，但近实时NDR正在成为常态。

结论

       现代企业网络安全团队所面临的网络安全形势是，复杂的攻击不断被那些精通市场上最新工具的不良行为者改进。增强型NDR比过去遗留下来的传统工具健壮得多，对于面向未来的企业，特别是那些有在未来几年扩大规模目标的企业来说，可能是一项合适的投资。这些工具对网络犯罪分子来说是相当具有挑战性的，这使得坏人更有可能转向更容易的目标。

       依赖于老旧遗留工具的企业可能不需要从头开始来利用NDR的好处。许多工具可以与旧系统一起使用，包括那些与云环境连接的本地硬件。这种混合设置可能从增加NDR的补充方式中受益最大。

https://www.datamation.com/security/how-ndr-works/

（完）