Advania logo
    Kontakta oss
    Gå tillbaka

    NDR

    Vad är NDR?

    NDR (Network Detection and Response) är en säkerhetsteknik som upptäcker hot genom att kontinuerligt analysera nätverkstrafik, ofta med hjälp av maskininlärning och beteendeanalys. Där EDR övervakar vad som händer på enskilda enheter, ser NDR vad som rör sig mellan dem – och fångar därmed angrepp som aldrig syns på en enskild dator eller server.

    Betydelsen av NDR

    Många angripare rör sig i nätverket långt innan de gör något som syns på en endpoint: de kartlägger miljön, letar efter värdefulla system och förflyttar sig i sidled mellan resurser. Dessutom finns det gott om utrustning som inte kan köra säkerhetsagenter – OT-system, IoT-enheter, skrivare, äldre servrar och gästenheter. För dessa är nätverkstrafiken ofta den enda synliga signalen.

    NDR fyller därför ett glapp som varken endpointskydd eller logganalys täcker fullt ut. Nätverkstrafik är dessutom svår för en angripare att manipulera i efterhand – paketen har skickats, oavsett om loggar raderas eller agenter stängs av. Det gör NDR till en pålitlig sanningskälla vid både detektion och utredning.

    Så fungerar NDR

    En NDR-lösning samlar in trafikdata via speglade portar, nätverkssensorer eller flödesdata från switchar och brandväggar. Därefter sker analysen i flera steg:

    • Baslinje av normalbeteende: systemet lär sig hur trafiken normalt ser ut – vilka system som pratar med varandra, när och hur mycket.
    • Beteendeanalys: avvikelser flaggas, till exempel en server som plötsligt kontaktar okända externa adresser eller ovanligt stora datamängder som lämnar nätet.
    • Detektion av angreppstekniker: mönster som portskanning, lateral förflyttning och kommunikation med kommandoservrar identifieras.
    • Respons: vid larm kan lösningen isolera enheter, bryta sessioner eller skicka berikade larm till SIEM eller SOC för vidare hantering.

    Fördelar med NDR

    NDR ger synlighet i den del av miljön där angripare ofta rör sig mest obemärkt. Tekniken kräver inga agenter, vilket gör att även OT, IoT och ohanterade enheter omfattas av övervakningen. Beteendebaserad analys gör det möjligt att fånga nya och okända angreppstekniker som signaturbaserade verktyg missar. Vid en incident är trafikdata dessutom ovärderlig för att rekonstruera förloppet: vad angriparen gjorde, vilka system som berördes och om data lämnade organisationen.

    Tillsammans med EDR och XDR bildar NDR det som ofta kallas synlighetstriaden – endpoint, nätverk och loggar – där varje lager fångar det de andra missar.

    NDR i en modern detektionsförmåga

    Att införa NDR handlar lika mycket om arbetssätt som om teknik: larmen behöver tas om hand av en bemannad detektions- och responsförmåga. Advania hjälper organisationer att utforma och drifta detektionsarkitekturer där NDR, EDR och SIEM samverkar – från design och implementation till managerad övervakning dygnet runt.

    Vanliga frågor och svar om NDR

    Vad är skillnaden mellan NDR och EDR?

    EDR (Endpoint Detection and Response) övervakar aktivitet på enskilda enheter som datorer och servrar, medan NDR analyserar trafiken mellan system i nätverket. EDR ser vad som händer på en maskin, NDR ser vad som rör sig mellan maskiner – inklusive enheter som saknar agent. De kompletterar varandra snarare än konkurrerar.

    Vad är skillnaden mellan NDR och XDR?

    XDR (Extended Detection and Response) är en bredare plattform som samlar och korrelerar signaler från flera källor – endpoints, e-post, identiteter, moln och ibland nätverk. NDR är specialiserat på just nätverkslagret och går betydligt djupare där. NDR kan vara en datakälla in i en XDR-plattform.

    Behövs NDR om vi redan har SIEM?

    Ofta, ja. Ett SIEM analyserar loggar som system själva genererar, men många angrepp lämnar svaga eller inga spår i loggarna. NDR analyserar själva trafiken och upptäcker beteenden som loggar missar – och berikar samtidigt SIEM:et med nätverkskontext.

    Fungerar NDR i molnmiljöer?

    Ja, moderna NDR-lösningar kan analysera trafik i molnet via virtuella sensorer och molnleverantörernas flödesloggar. Det blir allt viktigare i takt med att trafiken mellan molntjänster växer och sällan passerar det traditionella perimeterskyddet.

    Viktiga punkter att ta med sig om NDR
    • Nätverkslagret: NDR upptäcker hot genom att analysera trafik mellan system, inte aktivitet på enskilda enheter.
    • Agentlöst: även OT, IoT och ohanterade enheter omfattas av övervakningen.
    • Beteendebaserat: maskininlärning fångar avvikelser och okända angreppstekniker.
    • Svårt att dölja: nätverkstrafik kan inte raderas i efterhand som loggar kan.
    • Del av helheten: NDR kompletterar EDR, XDR och SIEM i synlighetstriaden.
    UPPTÄCK OCH FÖRHINDRA HOT

    Hur snabbt upptäcker ni ett pågående angrepp?

    Upptäck och förhindra hot

    Andra relevanta ord i samma kategori