IDPS vs. NDR

admin 2022年4月23日02:36:21评论135 views字数 1096阅读3分39秒阅读模式
行业内新概念、新产品、新技术层出不穷,有人称这一现象为“行业首字母缩略词爆炸” ,也有朋友说过这些新都是“鸡尾酒最上面缤纷炫目的部分”。今天刚好和熟人聊到IDS和NDR的关系,翻出几张旧图,简单讨论一下新与旧,也欢迎大家拍砖。
首先我们回顾一下流量检测市场的演进。当前网络检测市场最主流的产品包括IDPS、WAF、NGFW以及NDR,市场演进关系如下。
IDPS vs. NDR
留心国内外市场情况,我们会发现两者存在较大差异。欧美市场IDPS、WAF以及NGFW产品高度成熟,因此新兴的NDR产品并不强调覆盖这几类成熟市场,而是侧重发展异常检测与事件响应能力,典型厂商如Darktrace。国内厂商则试图将WAF、IDPS、NDR的检测能力完整集成在一起,提供all-in-one的网络检测能力,但这需要产品团队具备高度复合能力。而通常一个团队很难精通所有技术,最后可能产品大而不精,堆砌若干功能、徒增产品复杂度而实效差。
从功能上来说,IDPS 和 NDR的差别可以简单用下图进行说明,两类产品的技术和功能的确存在重叠。虽然大家印象中,IDPS最为常见的工作模式是检测,但其在线防御能力对于解决多数常规性和流行性攻击,是性价比和客户价值都很高的方案,而这也正是IDPS与NDR定位的差异所在,因为NDR的应用场景主要还是主动防御阶段的威胁检测、事件响应以及威胁狩猎。所以回到开篇的问题,我个人认为NGFW可能替代IDPS,但NDR并不能替代IDPS。
IDPS vs. NDR
NDR是业内“数据驱动安全”的一项实践。核心能力来说,NDR需要具备实时、准实时和长时的检测能力;同时还要能集中存储元数据、捕获的文件甚至某些选定时间段的全包捕获数据,用于事后取证和事件调查
IDPS vs. NDR
NDR的发展,也伴随业内意识到PCAP存在的成本问题以及在非实时和长时流量分析上的技术困难后,思路转向网络元数据。基于NetFlow、PCAP以及元数据的对比参见下表,我们发现采用元数据这种数据源,能够较好地平衡安全分析/威胁狩猎所需的数据丰富性以及性价比:丰富的网络元数据采集和文件捕获具有较优的威胁检测和事件调查价值,可以较易且更快发现异常,同时计算和存储成本低。集中的元数据、加上捕获的文件甚至某些选定时间段的全包捕获数据,足以代替留存全流量数据。
IDPS vs. NDR
最后,推荐大家去看Gartner 2019年的一份报告“Applying Network-Centric Approaches for Threat Detection and Response”,作者是Augusto Barros,、Anton Chuvakin和Anna Belak。

 

原文始发于微信公众号(Viola后花园):IDPS vs. NDR

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月23日02:36:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   IDPS vs. NDRhttp://cn-sec.com/archives/917097.html

发表评论

匿名网友 填写信息