新加坡商安穩特有限公司台灣分公司 > > 最新消息 > 代理產品相關新聞 > NDR解決方案與用處 – Gigamon ThreatInsight (GTI) 上集

NDR解決方案與用處 – Gigamon ThreatInsight (GTI) 上集

類別: 首頁TOP, 解決方案, 代理產品相關新聞

今天要跟各位介紹一個新知識,是Gigamon ThreatInsight (GTI) 這個產品方案相關的知識,各位可能曾經聽過這個產品名稱,但一直没有跟各位強調如何應用與解決了什麼問題,現今我要正式跟大家介紹這個方案並且想告訴各位GTI經過3年的不斷開發改造與定位方向,Gigamon很有信心向大家推薦這個已成熟並具有很大特色的資安方案。

 

到底GTI是個什麼方案呢?相信各位一定有聽說過EDR (End point Detection Response) 與NDR (Network Detection Response) 的產品,GTI是屬於NDR這個象限的方案,有別於xDR中大家比較常提起的EDR點端點偵測方案,NDR是在網路的重要關卡節點收取流量,將之比對基本的特徵碼後篩選出可疑的流量,將之轉化為Metadata,上傳到雲端上的偵測系統做進一步全球資安型態的比對與機器學習再加人工智能的研判,可以產出較為精準的告警,而不如一般的資安設備與SIEM有太多的告警而無法歸納真正的駭客入侵之端點與流量,必須在地有極為資深與聰慧的資安專家以人力判斷問題,但一定會耗費很大的精力與時間去找出問題,因此也無法及時與有效地採取反制措施。NDR的佈建與運作概略圖示如下:

 

請注意,要收取的流量點位是依需要去佈建,但絶對不是只在Core switch或Router上收取南北向流量而己,因為內網的流量也必須納入才會具有明確的效果。同時還要考量加密流量的特徵碼與明碼的特徵判斷是不同的,加密流量要做資安的判別是不精確的,想當然耳明碼才會更有效,這也是要在做任何資安方案佈建一定要注意的條件之一!

 

而市場上已有EDR或MDR的方案了,為什麼還需要NDR呢?

其實EDR與NDR是可以相輔相成的而不全然是彼此競爭的態勢,為何如此說?因為EDR的方案是要在端點上佈放Agent/Token,由這個Agent常駐在記憶體上去偵測有什麼惡意程式執行了開啟不該開的底部BIOS或某個異常通道等動作時,即時產生告警並通知中心管理平台,去比對還有哪些端點發生類似情形,進而阻擋mailto:惡意程式的蔓延感染達成有效防制的功用!

但是對不能安裝Agent/Token的端點如網路攝影機、IOT、各種感應器與Kiosk+ 設備,這些無法安裝Agent的設備也十分多,而且在企業數位轉型過程中會越來越多 IoT/IoMT等非電腦OS的設備,這類別的設備往往是没有像PC/Notebook OS具有防毒的功能,反而是最容易被殖入木馬程式成為駭客遙控的工具,這些流量在EDR方案中是無法監看的,因此NDR就是用來補足此空缺部分的資安偵測,當然,NDR所監看的範圍不受Agent佈放的限制,因此其應用比EDR來得更廣,而EDR則可即時阻絶惡意程的啟用,各自運作是有很大的不同,由此可知NDR與EDR是可以互相協同對抗駭客的!同時,坊間有許多與NDR可以協同防禦的資安廠家如Cisco、PA、Crowdstrike、Splunk、Arcsight等等,彼此分享資安訊息,進而增進資安判斷的精確性同時也擴大防禦的縱深。

 

各位可能大約了解NDR的廠家有Darktrace、Extrahop為主,各家有各家的優缺點,但Gigamon可以說是最簡單而且極為有效的NDR,而Gigamon GTI的特別處何在呢?容我下集再分享哦!

想知道Gigamon GTI解決方案請洽 M.tech

NDR解決方案與用處 – Gigamon ThreatInsight (GTI) 上集 was last modified: 十一月 15th, 2021 by maksimtien