NDR (Network Detection and Response) 에 대해 알아보겠습니다.

 NDR 솔루션은 조직의 요구 사항과 네트워크 환경에 따라 활용 방안이 다를 수 있으며, 종합적인 네트워크 보안 전략에 통합 네트워크 보안을 향상시키고 신속한 대응을 허용하여 고급 보안 위협으로부터 조직을 보호하는 데 중요한 역할을 합니다.

 

Ⅰ. NDR (Network Detection and Response) 이란? 

네트워크 탐지 및 대응(Network Detection and Response, NDR) 솔루션은 조직의 네트워크에서 발생하는 보안 위협을 탐지하고 대응하는 데 사용되는 보안 도구 및 서비스입니다. NDR 솔루션은 공격 탐지, 트래픽 분석, 보안 이벤트 관리, 인시던트 대응, 트래픽 모니터링 등 다양한 기능을 제공합니다. 아래는 NDR 솔루션의 주요 기능과 몇 가지 인기 있는 NDR 솔루션의 예입니다.

Ⅱ. NDR 솔루션의 주요 기능
1) 트래픽 모니터링: 네트워크 트래픽을 실시간으로 모니터링하고 분석하여 정상적인 트래픽과 이상 트래픽을 식별
2) 위협 탐지: 악성 활동과 보안 위협을 탐지하는 데 사용되는 기계 학습 및 행동 분석을 통한 위협 탐지 기능을 제공
3) 패킷 분석: 패킷 수준에서 트래픽을 분석하고 보안 문제를 탐지하며, 패킷 기반의 탐지와 분석을 제공
4) 로그 및 이벤트 관리: 네트워크 이벤트 및 로그를 수집, 분석하고 저장하여 보안 이벤트를 관리하고 보고서를 생성
5) 향상된 가시성: 네트워크 활동에 대한 실시간 가시성을 제공하고, 공격에 대한 시각적 표현을 제공
6) 알람 및 알림: 위험한 활동 또는 보안 이상을 탐지하면 실시간으로 알람을 생성하고 보안 관리자에게 알림
7) 트래픽 흐름 분석: 트래픽의 원본, 목적지, 프로토콜 등을 분석하여 보안 위협을 탐지하고 분석
8) 자동화된 대응: 위협을 탐지하고 자동으로 대응 조치를 취할 수 있는 자동화 기능을 제공

Ⅲ. 인기 있는 NDR 솔루션 제품들
1) Darktrace: AI 및 기계 학습을 기반으로 네트워크 트래픽을 모니터링하고 보안 위협을 탐지하는 Darktrace는 자동화된 대응 기능을 제공합니다.
2) Vectra AI: 사용자 및 엔터프라이즈 네트워크를 보호하기 위한 고급 네트워크 보안 솔루션으로, 행동 분석 및 위협 탐지를 강화합니다.
3) FireEye: 고급 위협 탐지 및 보안 분석 기능을 제공하는 FireEye는 네트워크 보안을 향상시키는 데 사용됩니다.
4) Palo Alto Networks Cortex XDR: 네트워크, 엔드포인트 및 클라우드 보안을 통합하여 위협을 탐지하고 대응하는 플랫폼을 제공합니다.
5) Cisco Stealthwatch: 네트워크 위협 탐지 및 관리 솔루션으로 네트워크 트래픽 모니터링을 강화합니다.

Ⅳ. NDR 과 SOAR 의 차이

솔루션명	NDR (Network Detection and Response)	SOAR(Security Orchestration, Automation, and Response)
솔루션 정의	NDR은 주로 네트워크 트래픽 및 활동을 모니터링하고 알려지지 않은 위협과 공격을 탐지하는 데 사용됩니다. 네트워크에서의 보안 위협을 식별하고 대응하기 위해 사용됩니다.	SOAR은 보안 이벤트 및 인시던트 관리, 대응, 자동화를 중심으로 구성된 통합 보안 플랫폼입니다. 보안 팀의 업무를 효율적으로 조정하고 보안 이벤트에 대한 자동화된 대응을 제공합니다
솔루션 특징	NDR은 주로 네트워크 상에서 발생하는 보안 위협을 탐지하고 대응하는 데 중점을 둡니다.  NDR은 네트워크 트래픽 모니터링, 행동 분석 등을 수행합니다.	SOAR은 보안 이벤트와 인시던트 관리를 중심으로 통합적인 보안 작업 흐름을 구축하고 자동화합니다.  SOAR은 다양한 보안 도구와 시스템을 통합하고 보안 작업의 조정을 지원합니다.
공통점	1) 보안 이벤트 관리: NDR 및 SOAR은 보안 이벤트 및 인시던트를 관리하고 이를 추적, 분석, 문서화하는 데 사용됩니다. 이러한 플랫폼은 보안 이벤트를 중앙 집중화하고 관리자에게 알림을 제공하여 보안 팀이 이벤트를 신속하게 파악할 수 있도록 합니다. 2) 자동화: NDR과 SOAR 모두 자동화를 강조합니다. NDR은 네트워크 트래픽 분석과 행동 분석을 자동화하여 악성 활동을 탐지하고 보고할 수 있습니다. SOAR은 보안 작업 흐름과 대응 절차를 자동화하여 보안 이벤트에 대한 신속한 대응을 지원합니다. 3) 통합: NDR과 SOAR은 다양한 보안 도구 및 데이터 소스와 통합하여 효율성을 높입니다. NDR은 네트워크 트래픽 데이터를 다른 보안 도구와 연계하여 분석하고, SOAR은 여러 보안 도구 및 시스템과 통합하여 자동화된 대응을 구현합니다. 4) 보고 및 분석: NDR과 SOAR은 보고서 생성 및 분석을 지원합니다. 이를 통해 보안 팀은 보안 이벤트 및 대응 활동에 대한 인사이트를 얻고 보안 정책을 개선할 수 있습니다. 5) 대응 절차: SOAR과 NDR 모두 대응 절차를 표준화하고 문서화합니다. SOAR은 특히 대응 작업을 작업서 또는 스크립트로 정의하여 자동화합니다. 보안 분석: NDR과 SOAR은 보안 분석에 기여합니다. NDR은 네트워크 트래픽 분석을 통해 악성 활동을 탐지하고, SOAR은 보안 이벤트 관리와 대응 작업을 통해 보안 분석을 지원합니다