NDR的流量镜像值得这么麻烦吗？我们认为事实并非如此

网络检测和；响应（NDR）是一项新兴技术，旨在关闭传统安全解决方案留下的安全盲点，黑客利用这些盲点在目标网络中站稳脚跟

如今，企业正在使用大量的安全解决方案来保护其网络免受网络威胁。最突出的是防火墙、IP/ID、SIEM、EDR和XDR（结合了EDR和SIEM的功能）。然而，所有这些解决方案都存在安全漏洞，无法有效阻止高级网络攻击

NDR是基于入侵检测系统（IDS）开发的。IDS解决方案安装在网络周界上，并监控网络流量中的可疑活动

IDS系统存在许多缺点，使其在阻止现代网络攻击方面效率低下：IDS使用基于特征码的检测技术来发现异常活动，使其无法发现未知攻击

此外，IDS系统会触发大量安全警报。这会浪费安全团队的时间，使他们无法调查所有安全警报。最后，IDS并不是为了提供任何响应或调查能力而构建的，这使得它无法对正在进行的网络攻击做出有效响应

网络检测和；从网络流量中提取信息的响应

NDR是为了缓解IDS系统无法保护的缺点而做出的回应。NDR系统超越基于特征码的检测，分析所有进出网络的网络流量，并创建正常网络活动的基线。该基线稍后用于将当前流量与常规网络活动进行比较，以检测可疑行为

使用这些技术，NDR系统可以将从网络流量收集的信息转化为可操作的情报，用于检测和阻止未知的网络威胁#NDR解决方案可以自动运行，不受人的监督，以检测网络威胁并做出响应。NDR还可以与现有的安全解决方案（如SIEM和SOAR）集成，以增强检测和响应能力#传统NDR在处理加密和不断增加的数据量方面存在缺陷

到目前为止，NDR依赖于流量镜像，通常与硬件传感器结合来提取信息–；与IDS过去的做法非常相似。然而，有三个游戏规则改变者正在日益挑战这种方法：

根据谷歌透明度报告，互联网流量的很大一部分是加密的，已经有90%的网络流量是加密的。因此，传统的流量镜像不再能够从有效负载中提取信息，因此正在失去其有效性

增加带宽和新的网络技术，使流量镜像变得昂贵甚至不可行

1.向高度分布式混合网络的转变，在这种网络中，仅仅分析一两个核心交换机上的流量已不再足够。许多收集点需要监控，这使得基于流量镜像的解决方案的运营成本更高

2.考虑到这些发展，镜像网络不再是面向未来的网络安全解决方案

3.EXCONTRACE：一个值得信赖的、经得起未来考验的NDR解决方案

ExeonTrace不需要镜像网络流量来检测威胁和解密加密流量；它使用的算法不针对有效负载，而是针对通过NetFlow从现有网络基础设施导出的轻量级网络日志数据多收集点通过网络的元数据，以发现高级威胁参与者使用的秘密通信渠道，如APT和勒索软件攻击

#NetFlow是一种开放标准，允许网络设备（如路由器、交换机或防火墙）导出通过它们的所有连接的元数据（物理网络、虚拟化环境和私有云环境–；或所谓的南北和东西向监控能力）。因此，这种方法对于也包括云环境的分布式网络是最佳的

解决方案可全面查看整个IT环境，包括连接的云服务、影子IT设备，并可检测非恶意软件攻击，如内部威胁、凭据滥用和数据外泄。完整的网络可视性将使检查进入或离开企业网络的所有网络流量成为可能

不会到此为止，因为它将监控企业网络中所有设备之间的所有内部交互，以检测隐藏在网络中的高级威胁参与者，如APT和勒索软件

利用有监督和无监督的机器学习模型，它可以检测非恶意软件威胁，如内部威胁、横向移动、数据泄漏和内部侦察埃克森特拉斯#还支持添加基于网络的自定义规则集，以验证所有用户是否遵守实施的安全策略（例如，阻止用户使用特定协议）。最重要的是，可以与可用的威胁源集成，或者使用特定于客户的威胁源来检测已知的威胁

结论

NDR系统已成为阻止日益增多的网络攻击的必要手段。传统的NDR解决方案需要通过分析数据包有效载荷来反映完整的网络流量，这在防止利用加密隐藏其活动的现代网络威胁方面不再有效。此外，镜像完整的网络流量变得越来越不方便，尤其是随着通过企业网络的数据量的大幅增加。一种基于元数据分析的类似于NDR的、面向未来的ExeonTrace可以缓解这些不利因素–；因此，它应该成为有效保护企业网络的首选手段