NDR (Network Detection and Response) به فارسی «شناسایی و پاسخ در شبکه» یک راهکار پیشرفته امنیت سایبری است که برای پایش شبکه در لحظه، تشخیص و واکنش هوشمند نسبت به تهدیدات شبکه‌ای طراحی شده است. این راهکار برخلاف ابزارهای سنتی امنیتی که فقط به قوانین و امضاهای شناخته‌شده وابسته هستند، با بهره‌گیری از آنالیز رفتار، یادگیری ماشین و هوش مصنوعی تهدیدات ناشناخته (Zero-Day) یا پیچیده را نیز شناسایی می‌کند.

 

نقش NDR

 

نقش NDR و نحوه عملکرد آن

 NDR بر مبنای تحلیل مداوم جریان‌های ترافیکی شبکه (Network Traffic) کار می‌کند و شامل مراحل زیر است:

1. جمع‌آوری داده‌های شبکه

  • دریافت داده‌های خام و اطلاعات تکمیلی (متادیتا) از منابعی مانند سنسورها، روترها، فایروال‌ها، محیط‌های ابری و سایر تجهیزات شبکه.
  • تحلیل رفتار ترافیک ورودی/خروجی و داخل شبکه توسط NDR به عنوان یک ناظر.
  • تمرکز و بررسی ترافیک شمال- جنوب: ارتباطات ورودی و خروجی شبکه (مثلاً ارتباط کاربران با اینترنت).
  • بررسی ترافیک شرق – غرب: ارتباطات داخلی بین سرورها، سیستم‌ها و سرویس‌ها.

تمرکز هم‌زمان NDR بر روی این دو ترافیک سبب خواهد شد که  توانایی تشخیص حملات خارجی و فعالیت‌های مخفی داخل شبکه را داشته باشد.

 

2. ایجاد الگوی رفتاری طبیعی شبکه (Baseline)

پس از جمع‌آوری داده‌ها، NDR، یادگیری رفتار طبیعی شبکه را آغاز می‌کند.

Baseline چیست؟
Baseline تصویری از وضعیت عادی شبکه است. به طور مثال:

  • کدام سیستم‌ها معمولاً با هم ارتباط دارند.
  • چه میزان داده در ساعات مختلف منتقل می‌شود.
  • رفتار کاربران و سرویس‌ها در حالت معمول چگونه است.

NDR چگونه این الگو را می‌سازد؟

  • با استفاده از هوش مصنوعی و یادگیری ماشین
  • بدون نیاز به تعریف قوانین دستی
  • با تطبیق خودکار با تغییرات طبیعی شبکه

این الگو کمک می‌کند تا رفتارهای غیرعادی (مانند: انتقال غیرمعمول داده یا ارتباط با سرورهای مشکوک) شناسایی شوند.

 

3. تشخیص تهدیدات (Detection)

  • ارتباط با سرورها یا مقصدهای ناشناس
  • انتقال حجم غیرعادی داده به خارج از شبکه
  • دسترسی‌های غیرمنتظره بین سیستم‌ها
  • الگوهای رفتاری مشابه حملات شناخته‌شده
  • فعالیت‌هایی که شبیه حرکت جانبی مهاجم در شبکه هستند

از طریق مقایسه با Baseline شناسایی می‌شوند. در واقع NDR در جستجوی بدافزار نمیباشد. بلکه، به دنبال رفتار مشکوک است، حتی اگر فایل مخربی وجود نداشته باشد.

 

4. پاسخ به تهدیدات (Response)

NDR پس از شناسایی تهدید، اقدامات زیر را انجام خواهد داد:

  • ارسال هشدار دقیق به تیم امنیت
  • مسدودسازی ترافیک مشکوک
  • ایزوله کردن سیستم آلوده از شبکه
  • ثبت و ارسال اطلاعات حادثه برای تحلیل بیشتر

مدیریت پاسخ:

  • به‌صورت دستی توسط تیم امنیت
  • خودکار از طریق اتصال به ابزارهای:
  1. SOAR برای اجرای واکنش خودکار
  2. SIEM برای ثبت و تحلیل مرکزی
  3. EDR برای اقدام مستقیم روی Endpoint

 

تفاوت NDR با ابزارهای قدیمی امنیت شبکه

در روش‌های سنتی ابزارهایی مثل فایروال، IDS و IPS معمولاً به صورت زیر عمل می‌کنند:

  • فقط حملات شناخته‌شده را تشخیص می‌دهند.
  • برای تشخیص تهدیدات جدید یا ناشناخته Zero-Day، توانایی پایینی دارند.

اما راهکار NDR:

  • از Behavioral Analytics و (یادگیری ماشین) ML برای تشخیص تهدیدات نامشخص استفاده می‌کند.
  • توانایی شناسایی اختلالات داخلی و حرکت جانبی یا lateral movement (پراکنده‌شدن تهدید درون شبکه) را دارد.
  • بدون نیاز به نصب (Agentless) بر روی سیستم‌ها، تجهیزاتی مانند IoT، دستگاه‌های صنعتی یا سیستم‌های قدیمی را که امکان نصب نرم‌افزار امنیتی بر روی آن‌ها وجود ندارد، تحت نظر بگیرد.

معیار مقایسه

 ابزارهای قدیمی امنیت شبکه

NDR
نوع تحلیل مبتنی بر قوانین و امضاهای ثابت مبتنی بر تحلیل رفتاری و هوشمند
توان تشخیص حملات جدید محدود به حملات شناخته‌شده شناسایی تهدیدات ناشناخته و Zero-Day
دید به ترافیک شبکه عمدتاً ترافیک ورودی و خروجی دید کامل به ترافیک داخلی و خارجی
تحلیل ترافیک شرق – غرب ندارد یا بسیار محدود پشتیبانی کامل
نیاز به Agent اغلب نیاز دارد بدون نیاز به  Agent
مدیریت هشدارها هشدارهای زیاد و کاذب هشدارهای اولویت‌بندی‌شده و دقیق
تشخیص حرکت جانبی مهاجم ضعیف یا دیرهنگام تشخیص سریع و دقیق
واکنش به تهدید محدود و اغلب دستی واکنش هوشمند و قابل اتوماسیون
سازگاری با Cloud و Hybrid محدود سازگار
پوشش تجهیزات IoT و OT ضعیف مناسب و گسترده
نقش در معماری امنیتی پیشگیرانه یا سنتی لایه تشخیص پیشرفته شبکه

 

تفاوت NDR با ابزارهای قدیمی

 

مزایای اصلی NDR برای سازمان‌ها

1. دید جامع و لحظه‌ای از شبکه

NDR میتواند تمام ترافیک شبکه (On-premise، Cloud، Hybrid) را پایش نماید. از این رو، دید واضحی از فعالیت‌ دستگاه‌ها، کاربران و سرویس‌ها فراهم کند.

2. شناسایی تهدیدات ناشناخته

این فناوری می‌تواند تهدیدات روز صفر، بدافزارهای پنهان، فعالیت‌های مخفی lateral movement و رفتارهای غیرعادی را پیدا کند.

3. کاهش زمان تشخیص و پاسخ (MTTD/MTTR)

با ترکیب گزارش دقیق، تحلیل هوشمند رفتار شبکه و خودکارسازی پاسخ‌ها، زمان تیم امنیتی برای واکنش و مهار تهدیدات بسیار کاهش می‌یابد.

4. کاهش بار کاری تیم امنیتی

با کاهش هشدارهای بی‌اهمیت و اولویت‌بندی تهدیدها، تیم‌های SOC می‌توانند تمرکز بیشتری روی تهدیدات واقعی داشته باشند.

 

رابطه NDR با دیگر راهکارهای امنیتی

فناوری NDR در کنار دیگر ابزارهای امنیتی بیشترین کارایی را دارد. مانند:

ارتباط NDR و SIEM

SIEM مانند یک مرکز فرماندهی عمل می‌کند. یعنی، رویدادها و لاگ‌ها را از منابع مختلف (مثل سرورها، فایروال‌ها، سیستم‌های کاربری و نرم‌افزارهای امنیتی) جمع‌آوری و تحلیل می‌نماید.

نقش NDR در کنار SIEM:

  • NDR هر لحظه ترافیک شبکه را بررسی می‌کند.
  • رفتارهای مشکوک شبکه را شناسایی می‌کند.
  • اطلاعات دقیق این تهدیدات را به SIEM ارسال می‌کند. اطلاعاتی مانند: مسیر ارتباط، سیستم‌های درگیر و نوع رفتار غیرمعمول.
  •  SIEM با ترکیب این داده‌ها با سایر لاگ‌ها، ارتباط بین اتفاقات مختلف را مشخص می‌کند. سپس، دید کامل‌تری از حادثه ارائه می‌دهد.

در نهایت، فناوری NDR تهدید را کشف می‌کند و SIEM تصویر کامل و منسجم از حادثه را در اختیار تیم امنیتی قرار می‌دهد.

مثال: تصور کنید یک سیستم در شبکه شروع به ارسال داده به یک مقصد ناشناس می‌کند:

  1.  NDR این رفتار غیرعادی را فوراً تشخیص می‌دهد.
  2.  SIEM بررسی می‌کند که آیا روی همان سیستم لاگ ورود مشکوک، خطای امنیتی یا فعالیت غیرعادی کاربر هم ثبت شده یا نه

با ترکیب این اطلاعات، مشخص می‌شود آیا با یک تهدید واقعی روبه‌رو هستیم یا خیر.

 

ارتباط NDR و  EDR

پلتفرم EDR روی سیستم‌ها و سرورها تمرکز دارد و فعالیت‌های داخل آن‌ها را بررسی می‌کند.

نقش NDR در کنار EDR:

  •  NDR ارتباطات شبکه‌ای سیستم‌ها را زیر نظر دارد. یعنی، این فناوری بررسی می‌کند هر سیستم با چه مقصدهایی ارتباط دارد، چه میزان داده منتقل خواهد کرد و این ارتباطات تا چه حد طبیعی هستند.
  •  EDR رفتار داخلی همان سیستم‌ها را بررسی می‌کند. در واقع، معین می‌کند، چه پردازشی اجرا شده، چه فایلی تغییر کرده یا چه دسترسی‌ انجام شده است.
  • با ترکیب این دو، رویدادهای درون سیستم و نحوه ارتباط گیری آن با سایر اجزای شبکه قابل مشاهده است.

در نتیجه، اگر یک حمله از طریق شبکه شروع شود یا از یک سیستم به سیستم دیگر گسترش پیدا کند، سریع‌تر شناسایی می‌شود.

مثال: یک سیستم به یک سرور ناشناس در اینترنت متصل می‌شود:

  •  NDR این ارتباط غیرعادی را سریع شناسایی می‌کند.
  •  EDR بررسی می‌کند که آیا روی همان سیستم پردازش مشکوک یا فایل مخرب اجرا شده یا خیر.

با بررسی این اطلاعات، تیم امنیت تشخیص خواهد داد که با یک تهدید واقعی مواجه است یا خیر.

 

ارتباط NDR و XDR

پلتفرم XDR، داده‌های امنیتی را از ابزارهای مختلف کنار هم قرار می‌دهد.

نقش NDR در XDR:

  •  NDR یکی از منابع اصلی داده برای XDR است. از این رو، اطلاعاتی چون: ارتباطات مشکوک شبکه، الگوهای غیرعادی ترافیک، Lateral Movement و  انتقال غیرعادی داده را در اختیار XDR قرار میدهد.
  • دید شبکه‌ای NDR باعث می‌شود حملات چندمرحله‌ای (نفوذ → گسترش → سرقت داده) بهتر تحلیل شوند.
  •  XDR با ترکیب داده‌های NDR ،EDR و سایر منابع، تصمیم‌گیری دقیق‌تری انجام می‌دهد.

در نتیجه، NDR چشم شبکه است و XDR مغز تحلیل یکپارچه.

مثال: فرض کنید:

  • یک سیستم به یک IP مشکوک وصل می‌شود (تشخیص NDR)
  • آن سیستم یک فایل مشکوک اجرا می‌کند (تشخیص EDR)
  • همان کاربر هم‌زمان تلاش ناموفق برای دسترسی دارد (لاگ هویتی)

به‌تنهایی هرکدام فقط یک هشدار ساده هستند. اما، XDR با ترکیب داده‌های NDR و EDR متوجه می‌شود که این‌ها مراحل مختلف یک حمله واحد هستند.

برای مشاهده جدول مقایسه‌ای EDR ، XDR و  NDRمیتوانید به بخش مقالات سایت جوین تک مراجعه نموده و بیشتر بخوانید.