<strike id="zl9n9"></strike>

    <form id="zl9n9"><nobr id="zl9n9"></nobr></form>

                中國數據存儲服務平臺

                去誤報、高精度,NDR讓企業安全防護上一個臺階

                農業文明時代,當生產力提高,糧食可以養活更多人之后,就有一部分人可以不去種地,去研究其他事物,于是后來就有了手工業,社會得以發展。

                當一個安全人員,每天被一些瑣碎的、低效的事務牢牢綁定,沒有時間和精力研究安全問題的時候,這也是明顯不合理的,NDR(Network Detection and Response)技術作為一種能解放安全人員的方案,正在成為許多企業安全架構中的必選項。

                一位被IDPS折磨的安全人員

                小明是公司的安全人員,他那屢屢失守的發際線和永不退色的黑眼圈,使得這位二十多歲的年輕人比同齡人多了幾分滄桑。

                每天,從上班那一刻起,小明就要馬上查看一下企業網絡的安全狀況,比如主機是否被黑,如果有狀況則會馬上開始大面積排查并處置,或斷網,或重做系統,做完以后還得想想怎么甩鍋。如果完成了應急,小明還需要做溯源,弄清楚到底是哪里出了問題再去解決。

                除了解決問題,小明還需要關注網絡中的隱患。比如殺毒軟件的特征庫有沒有及時更新,機器的系統漏洞有沒有及時打補丁,等等。作為安全人員,小明需要用到IDPS(入侵檢測和防御系統)方案,IDS(入侵檢測系統)負責發現問題,IPS(入侵防御系統)負責解決問題,IDS主要針對已發生的攻擊事件或異常行為進行處理,它可以提醒小明進行防范和應對。

                但問題是,IDS每天會產生數以萬計的報警信息,小明即使996也看不完。最令他崩潰的是,這些信息不僅數量多,準確性還低,還經常誤報、漏報,真實威脅經??床灰?。小明最終選擇不看IDS,于是IPS也一樣變成了擺設。

                小明也聽說,很多人都不打算用IDPS了,現在流行的是NDR(網絡威脅檢測與響應),同行也說:

                NDR不僅能發現已知的安全威脅,還能通過機器學習模型發現新的安全威脅,更重要的是,它對威脅的認知更深入,能大大降低誤報、漏報的概率。同時,它還能對安全問題進行處置,很多人都認為NDR將取代IDPS。

                描述很美好,小明決定自己也試試NDR,在這之前,他對NDR進行了一番研究。

                被企業用戶認可,NDR發展正當時

                2020年,Gartner發布《Market Guide for Network Detection and Response》(《NDR市場指南》)報告,而在2019年,這個市場指南還叫做《NTA市場指南》。NDR主要是利用機器學習等分析技術來檢測網絡可疑流量的技術,持續分析流量數據來構建模型,當檢測到可疑流量模式后就報警。從NTA切換到NDR,體現出的是從“分析”到“檢測與響應”的變化,市場的需求更趨向于實戰。

                國際上有許多NDR廠商,在中國,微步在線是較早開始涉足NDR領域的安全廠商,包括奇安信、深信服、安恒信息以及中睿、東巽、安賽也在做NDR。微步在線的產品NDR產品叫做TDP(威脅感知平臺),微步在線TDP業務線負責人趙林林表示,NDR與以往的NTA的一個非常大不同點就在于響應(Response-R)方面。

                在他看來,響應不該只是阻斷、聯防聯動這些處置操作,還應知道更多背后信息,比如,究竟感染了多少臺機器,如何評估其影響和危害,如何對威脅進行定位和溯源等等,企業在被攻擊后,應該積累針對性的應對措施。

                趙林林認為,NDR對于企業的安全建設非常重要,它是企業安全非常關鍵的基礎設施,既是拴在屋子里防盜的鈴鐺,也是照亮屋子的燈,能讓企業看清楚到底發生了什么。

                有媒體認為,2021年將成為NDR元年。Gartner在市場研究報告(《Emerging Technologies: Adoption Growth Insights for Network Detection and Response》)中指出,“盡管疫情大流行造成了影響,但NDR仍然是一個快速增長的市場。

                微步在線的市場發展也驗證了這一點,趙林林表示,目前TDP是微步在線的主打產品,TDP的付費客戶已經有200多家。

                微步在線的NDR方法論:抓得準,看得見,搞得定

                眾所周知,微步在線的長處是威脅情報,所以,微步在線用情報驅動NDR看似劍走偏鋒,實則成效顯著。

                在網絡安全領域,黑客們共享自己的攻擊方法、工具、漏洞,而作為防御者則經常處于各自為戰的狀態,威脅情報能夠扭轉防御者的局勢,化被動為主動。微步在線運營著亞洲最大的情報共享社區,擁有完整的情報生產和流轉機制,擁有能秒級更新的一手情報,能做到一點發現,全網共享,多點聯防,而這一優勢在TDP產品中得到了體現。

                最直接的體現就是威脅檢測的準確率奇高。準確率對于NDR檢測報警環節非常重要。無法準確檢測,就無法正確響應。微步在線的TDP結合威脅情報、特征分析、人工智能技術,精準發現問題,避免真實報警被誤報淹沒的困境,聚焦于真實的威脅。因此微步在線TDP的監測準確率遠高于業內普遍水平,其誤報率只有0.03%~0.05%,而業內誤報率能達到3%~5%的也鳳毛麟角。

                開啟統攬全局的上帝視角。微步在線的TDP看重NDR在資產檢測方面的價值,它可以幫企業解決流量層面能解決的所有問題,能通過分析協議來識別不同的資產,從而實現被動資產發現,能照顧到企業所有的資產,開啟上帝視角。

                更自動化的處置閉環。NDR的R作為響應環節,就是要避免此前NTA技術的“管殺不管埋”的問題,對發現的問題進行處置。當攻擊自動化程度越來越高時,防御者自然也希望能自動化的處理,手工防御效率低成本高,而自動化的處置閉環也顯得非常有必要。微步在線的TDP可根據根據情報、攻擊判定,自動阻斷后續攻擊,還可以聯動第三方安全設備,打通處置流程。與TDP Agent配合,還可以自動化定位惡意程序和執行過程。

                更豐富的檢測能力。趙林林認為NDR可以做的有很多,他認為檢測既要有漏洞檢測,也要有規則檢測,還要有情報檢測,還可以不斷加入新的算法模型增加檢測維度,從而檢測出更多信息,比如,可以分辨是內部攻擊還是外部攻擊,是什么導致的報警等等。微步在線的TDP構建了云+端+流量全面檢測能力,不再依賴單視角檢測,能讓Webshell、反彈后門等高級威脅無處遁形。

                此外,在微步在線的產品矩陣中,流量和終端可以協同檢測分析和響應。OneEDR是微步在線推出的主機威脅檢測與響應平臺,在TDP和OneEDR配合中,TDP只能做流量分析,而有了OneEDR之后,微步在線可以端和流量的信息結合起來做分析,增加新的維度后能更準確地判斷主機的安全狀態,這種提升對于TDP和OneEDR都非常重要。

                有了微步在線TDP后的新生活

                轉變發生的有點快,如今,做為微步在線TDP用戶,小明的生活發生了翻天覆地的變化,光是外形看起來就年輕了好幾歲。

                作為國內市場上比較成熟的NDR解決方案,微步在線的TDP真正做到了有問題才報警,沒有問題就不報警,正是這看似簡單的一點,將小明從IDPS浩如煙海的報警中走了出來,光憑這一點,小明就少了很多無意義的加班。

                發現問題后,自然就能進行處理了,微步在線的TDP能對許多安全威脅進行自動化的處置,自動拯救失陷的主機,大大提高了工作效率。

                但這還遠沒有結束,在解決問題之余,TDP還能幫助小明對安全問題進行溯源,查清楚問題的來龍去脈,偶爾還能發現更隱蔽的攻擊和潛伏的安全威脅,知其然,知其所以然,對安全的認知也在逐步提升。

                作為一款成熟的NDR方案解決方案,微步在線的TDP還能幫助小明清楚地看見公司內部的各種安全資產,對公司整體的安全態勢有更清晰準確的認識,TDP精準告警和全面的資產發現能力讓小明覺得很安心,再也不用整天提心吊膽的上班了。

                總之,NDR的出現大大提高了小明這樣的安全人員的安全守護能力,擺脫瑣碎的日常工作,聚焦于更多安全本身的問題。

                未經允許不得轉載:存儲在線 » 去誤報、高精度,NDR讓企業安全防護上一個臺階
                分享到: 更多 (0)
                好紧紧的小嫩嫩,50i岁熟妇大白屁股真爽,女教师 裕美の放课后前篇
                <strike id="zl9n9"></strike>

                  <form id="zl9n9"><nobr id="zl9n9"></nobr></form>