Главная страница » Глоссарий
0
5 дней

NDR (Network Detection and Response)

NDR (Network Detection and Response) - это технология кибербезопасности, фокусирующаяся на мониторинге, анализе и автоматизированном реагировании на угрозы на сетевом уровне. В отличие от EDR (защита конечных точек), NDR анализирует сетевой трафик для выявления скрытых атак, включая продвинутые угрозы (APT), перемещение внутри сети и аномальную активность.

Содержание
  1. Ключевые функции NDR
  2. Отличия NDR от смежных технологий
  3. Технологическая основа NDR
  4. Почему NDR недостаточно?

Ключевые функции NDR

  • Глубокая инспекция трафика
    • Анализ пакетов (включая зашифрованный трафик с помощью TLS-дешифрования).
    • Выявление скрытого C2-трафика (Command and Control), DNS-туннелирования.
  • Поведенческий анализ (UEBA для сети)
    • Построение базовых профилей "нормального" поведения сети.
    • Обнаружение аномалий: необычные объемы данных, подозрительные соединения, скрытые порты.
  • Автоматическое реагирование
    • Изоляция зараженных хостов.
    • Блокировка вредоносных IP-адресов/доменов через интеграцию с NGFW, IPS.
  • Расследование инцидентов: Реконструкция цепочек атаки на основе сетевых метаданных (PCAP).

Отличия NDR от смежных технологий

Решение Что анализирует Сильные стороны Слепые зоны
NDR Сетевой трафик Видимость всей сети, IoT, незаметные C2-каналы Не видит активность на хосте
EDR Процессы/файлы на хосте Детектирование малвара, поведение ПО Пропускает сетевые аномалии
XDR Данные NDR+EDR+облако Полная картина атаки Зависит от качества интеграции

Технологическая основа NDR

  • Методы анализа:
    • Signature-based: Поиск известных IoC (индикаторов компрометации).
    • Anomaly-based: ML-модели для выявления отклонений от baseline.
    • Encrypted Traffic Analysis (ETA): Обнаружение угроз в зашифрованном трафике без дешифровки (анализ метаданных: размер пакетов, тайминги).
  • Интеграции:
    • С SIEM, SOAR, EDR, XDR для автоматизации реагирования.
    • С сетевым оборудованием (Cisco, Juniper) для блокировки угроз.

 

Почему NDR недостаточно?

NDR не заменяет EDR/XDR, а дополняет их:

  • Без EDR: Не видно, что происходит на скомпрометированном хосте (напр., запуск руткита).
  • Без XDR: Нет автоматической корреляции событий сети, конечных точек и облака.

«NDR — это "стетоскоп" для сети, но для полной диагностики нужен комплексный осмотр» (Gartner, 2025).

Итог: В условиях роста сложности атак (особенно RaaS и APT) NDR остаётся критичным инструментом для обнаружения угроз, уклоняющихся от EDR и традиционных систем. Однако максимальная эффективность достигается только в связке с EDR/XDR и облачной безопасностью (CNAPP).

Похожие записи
0
17 часов
Индикаторы компрометации

DarkGaboon: новая волна кибератак на российские компании с использованием шифровальщика LockBit

APT
Группа киберразведки PT ESC выявила активность ранее неизвестной APT-группировки DarkGaboon, которая с весны 2023 года атакует российские компании с целью финансового вымогательства.
0
18 часов
Индикаторы компрометации

Operation Sindoor: Киберштурм на критическую инфраструктуру Индии

APT
Seqrite Labs, крупнейшая в Индии лаборатория анализа вредоносного ПО, зафиксировала масштабную киберкампанию под кодовым названием Operation Sindoor. В ней участвовали как государственные хакерские группировки
0
18 часов
Индикаторы компрометации

Более 20 фишинговых приложений для кражи криптовалют обнаружены в Google Play Store

phishing
Специалисты Cyble Research and Intelligence Labs (CRIL) выявили более 20 вредоносных приложений в Google Play Store, которые маскируются под популярные криптокошельки, такие как SushiSwap, PancakeSwap, Hyperliquid и Raydium.
0
19 часов
Индикаторы компрометации

Китайская телекоммуникационная отрасль под атакой: вредоносные программы VELETRIX и VShell в рамках операции DRAGONCLONE

APT
Специалисты Seqrite Labs APT-Team обнаружили целевую кампанию против китайской телекоммуникационной отрасли, в частности против China Mobile Tietong Co., Ltd. - дочерней компании China Mobile, одного из крупнейших операторов связи в Китае.