NDR je technologie, která umožňuje získat přehled o dění ve vlastní síti v reálném čase a včas zachytit i ty hrozby, které tradiční ochrany přehlédnou. Díky NDR tak můžeme odhalit i atypické chování v síti, které může ukázat i na velmi dobře maskované útoky.

Když tradiční obrana nestačí

Většina firem stále spoléhá na osvědčené nástroje, jako jsou firewally, antiviry nebo EDR/XDR řešení. Ty ale často fungují na principu signatur a definovaných pravidel, v lepším případě na základě snadno odhalitelných vzorů chování. Moderní útoky využívají techniky, které jsou zcela nové, případně jdou cestou Living off the Land (LOTL) – útočník zneužívá běžné, zcela legitimní nástroje v napadeném systému. Nejen pro tyto scénáře je nezbytné mít kompletní viditelnost do síťového provozu.

„Bez dobré viditelnosti do sítě je firma prakticky slepá. To, že máte firewall nebo EDR, je důležité, ale tyto nástroje vidí jen to, co projde jejich filtrem. NDR vám dává celkový obraz o tom, co se ve vaší síti skutečně děje – bez filtrů, bez kompromisů,“ vysvětluje Michal Štusák, spolumajitel Comsource.

Jak funguje Flowmon NDR?

Flowmon NDR je pokročilá platforma pro monitoring a detekci hrozeb v síťovém provozu. Využívá síťové toky (NetFlow/IPFIX) a pokročilé analýzy, včetně strojového učení/umělé inteligence k odhalování anomálií a podezřelých aktivit. To znamená, že nezachycuje jen známé útoky, ale i nové, neznámé hrozby nebo pomalé, dlouhodobé infiltrace (tzv. low and slow attacks).

„Flowmon nám umožňuje sledovat chování celé sítě jako živý organismus. Jakákoliv neobvyklá aktivita – třeba komunikace serveru, který obvykle nemluví ven, nebo neobvyklý objem dat proudící v nočních hodinách – je okamžitě viditelná. To je pro detekci pokročilých hrozeb naprosto klíčové,“ dodává Michal Štusák.

Detekce nestačí – klíčová je reakce

NDR ale není jen o pasivním sledování. Moderní platformy, jako je Flowmon, nabízí také automatizované reakce. V okamžiku, kdy systém detekuje anomálii, dokáže spustit předem definovanou akci – například zablokovat konkrétní IP adresu nebo port na firewallu (ano, ComSource dělá i tyto integrace se síťovými prvky), upozornit bezpečnostní tým nebo zahájit hlubší analýzu provozu.

„Čas je v kybernetické bezpečnosti všechno. Náš cíl je zkrátit dobu mezi detekcí a reakcí na minimum. Díky propojení Flowmonu s dalšími nástroji, například s firewallem nebo SIEMem, dokážeme hrozbu nejen vidět, ale i okamžitě řešit,“ říká Štusák.

Hybridní infrastruktura a nové výzvy

Další důvod, proč je NDR dnes nezbytné, souvisí s tím, jak se mění IT prostředí firem. Dávno nejde jen o „vlastní síť“ v uzavřeném areálu firmy. Data i aplikace jsou rozprostřené mezi on-premise servery, cloudové služby a vzdálené pobočky. Flowmon se na tento trend adaptoval a umožňuje monitorovat provoz nejen v tradiční síti, ale i v cloudu nebo mezi jednotlivými pobočkami.

Česká technologie, světová kvalita

Zajímavostí je, že Flowmon je původně česká technologie, která se postupně stala součástí portfolia společnosti Progress. Díky tomu spojuje lokální know-how s globálními zkušenostmi a přístupem ke špičkovým technologiím. To je i důvod, proč Comsource Flowmon aktivně doporučuje svým zákazníkům jako ideální řešení pro střední a větší firmy, které chtějí mít síť pod plnou kontrolou. A samozřejmě i díky více než desítce let zkušeností, mj. s těmi největšími projekty tohoto typu včetně monitoringu 100G sítí či zpracování stovek terabajtů uložených dat o síťových tocích.

NDR není luxus, ale nutnost

Závěrem platí jednoduché pravidlo: bez viditelnosti není bezpečnost. V době, kdy hrozby nejsou vidět na první pohled a útočníci využívají legitimní nástroje, je Flowmon NDR jeden z klíčových nástrojů, které by moderní firma měla mít.

„Bezpečnostní slepota je luxus, který si dnes žádná firma nemůže dovolit. Vidět, co se děje ve vlastní síti, je základ. A Flowmon je pro to ideální nástroj,“ uzavírá Michal Štusák z Comsource.