近日,全球权威IT研究与咨询机构Gartner发布了2020年《NDR全球市场指南》,山石网科连续两年成为中国唯一入选厂商。这一新闻引发了业界对NDR(网络威胁检测及响应)技术的新一轮关注热潮。无论用户还是厂商,都迫切地想要了解NDR技术何以被视为“NTA 2.0版本”?NDR产品能给用户带来哪些价值?NDR技术在等保2.0中有无用武之地?

接下来,就让山石网科带你回顾NDR技术的升级之路,深入浅出地为你解读NDR技术的创新之处和巨大价值,让你在最短的时间内搞懂NDR

Question 1:NDR技术对用户的价值体现在哪里?

Answer:NDR技术产品对于用户的网络安全建设将是一个非常重要的补充,也是网络威胁防护能力的一个提升。

利用NDR技术,能够帮助用户尽早地、有效地检测发现一些穿透网络边界防护进入到到内部网络,或是通过BYOD带入等其他途径进入到内部网络的新型变种威胁

因为新型变种威胁从出现,到安全厂商经过研究、特征提取、纳入特征库,再到用户完成特征库的升级更新往往需要一个较长的时间周期,很多网络威胁也正是利用了这个安全防护的空档期进行网络威胁的传播扩散,这种能力滞后所带来的安全风险是致命的。

所以NDR技术对于用户的安全价值就体现在,能够有效、尽早地发现新型变种威胁,并且能够根据业务情况和安全等级,在第一时间完成风险和异常的响应处置,避免威胁的持续传播和扩散。

Question 2:NDR产品和传统的IDS产品的部署方式很相似,它们的差别体现在哪里?
Answer:DR产品与IDS产品在部署方式和应用场景方面是比较类似的,主要的差别还是体现在安全检测技术的运用方面。

IDS产品技术主要是依赖于签名指纹匹配的检测方式,主要是针对当前已知的网络攻击进行检测。同时为了平衡威胁检出率和威胁检测效率的问题,IDS特征库往往会根据业务和资产情况进行不同程度的裁剪,这就意味着IDS产品的检测技术不仅仅是无法检测新型变种威胁,对于一些已知威胁也可能存在漏检的情况。同时对于安全管理员来说,一方面要求安全管理员具备非常全面安全背景和威胁分析能力,另一方面也要求安全管理员能够根据业务和资产的变化,即时调整IDS特征库开启策略。

所以NDR技术产品和IDS产品的差别就在于对于新型威胁的检出能力和安全运维效率方面,NDR技术不依赖于特征库,也不基于某个特定业务或资产对象,而是通过对于流量变化的监测来发现风险和异常,不需要安全管理员经常性的调整安全策略,极大的提高了安全运维效率,减少了人为操作所带来的安全隐患。

Question 3:能不能简单解释一下NDR技术,它的哪些功能是必须的?

Answer:Gartner对于NDR技术给出了较为明确清晰的定义,这也是Gartner在选择NDR技术推荐厂商及产品的严格标准,NDR技术主要强调新型网络威胁和高级网络威胁的检测和即时响应能力

首先是对分析对象和实时性要求。NDR技术能够自主采集穿过边界的南北向流量和内网的东西向流量,不依赖于防火墙、SIEM等其他产品组件,并且能够针对原始网络流量进行实时或接近实时的分析,以检测发现流量中的风险和异常,再通过分析结果和取证信息,定位到风险和异常的主机对象。

然后是流量分析技术的要求。NDR技术不能够只是依赖于签名指纹匹配的传统网络威胁检测技术,而是针对原始网络流量一定时间的学习、训练和优化,形成相对准确且能动态调整的网络流量行为模型,以行为模型作为网络风险和异常判定的标准基线,在配合其他网络威胁检测技术,进行精细化溯源定位

最后是威胁处置方面的要求。承载NDR技术的网络安全产品需要具备和其他安全产品的联动能力,解决分布在不同区域的网络风险和异常问题,并且能够根据客户的业务情况和安全等级,由客户自由选择自动或手动进行威胁及异常响应处置。

Question 4:在当前全民抗疫的大背景下,能不能结合新冠病毒的防控,给我们讲讲NDR技术在新型网络病毒防控中的作用,它有哪些创新点,有哪些不可替代性?
Answer:今年新冠病毒的全面爆发,给全世界人民带来了生活、收入和健康等方面的巨大影响,有些人甚至付出了生命的代价。新冠病毒之所以能够引发如此严重的全球疫情,主要就是因为“新型”这两个字。这是一种在人类社会和医学界中从未出现过的病毒,人类对此一无所知,没有疫苗,没有特效药,再加上其强大的传播扩散能力,导致新冠病毒难以有效地预防和快速治愈

和新冠病毒一样,网络病毒随着信息技术的发展,也在不断进化出很多新型的病毒。再经过采集、分析、提炼病毒样本并形成病毒特征和专杀工具以前,网络病毒可能已经在网络中大范围扩散了。如果这个新型病毒还在不断地衍生变种,传播途径和速度又非常快,同样也会引发全球网络的“疫情”

在中国新冠病毒爆发初期,只经过少数病例的研究之后,再结合SARS的过往经历,相对于全球其他国家来说,非常快地就将这种流行性冠状病毒定义为新型冠状病毒,快速地采取防控措施,以至于中国现在成为了全球最安全的国家之一。

类比利用NDR技术进行新型网络病毒的检测,基于正常的流量行为模型基线,判别网络中存在风险及异常,在结合历史经验和威胁情报完成风险及异常的确认,最后通过联动及时的完成响应处置。因此,在应对新型网络病毒的过程中,NDR技术就扮演了中国应对新冠疫情时的“吹哨人”和“钟南山”的角色。

Question 5:Gartner去年发布的是《NTA全球市场指南》,今年变成了《NDR全球市场指南》,请问是什么原因引发了这个变化?

Answer:NTA技术是NDR技术的前身,NDR技术在继承NTA技术的威胁检测能力的同时,又突出强调了影响处置能力。这个变化最本质的驱动力还是来自于客户,因为对于客户来说,无论部署什么安全产品,使用什么安全技术,最终的目的还是为了解决网络安全问题,同时还能最大程度的降低安全运维的成本,降低对网络安全管理员的能力要求,缓解其安全运维工作压力。

玩笑式地举个例子,去年的NTA技术相当于你去医院,医生只告诉你:“上呼吸道感染导致气管、支气管黏膜或胸膜受炎症;异物、物理或化学性刺激引起声门关闭、呼吸肌收缩、肺内压升高,声门张开,肺内空气喷射而出,并伴随声音;出现体内阴阳平衡失调。感受外邪,机能活动亢进,出现阳盛阴衰的热证证候。”求此刻你的心理阴影面积。

而今年的NDR技术相当于你去医院,医生告诉你:“感冒、上火、吃点感冒药多喝热水。” 如此说来,是什么引起这种变化就显而易见了。

Question 6:最后谈个接地气的话题。今年我们正式进入了等保2.0时代,相比等保1.0,等保2.0在防护思路上有着巨大的进步,那么NDR这样的技术在等保2.0中有用武之地吗?

Answer:这个答案是肯定的,在网络威胁检测及防范方面,等保2.0相比于等保1.0特别强调了新型网络攻击的行为分析能力,这也表明等保2.0要求各单位在进行网络安全建设时,要突破传统网络安全技术的限制,利用新型的网络安全技术去应对新型的网络攻击。

在等保2.0中,安全区域边界-入侵防范的控制项明确要求三级等保单位应具备以下能力:1.应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;2.应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;3.应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;4.当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵时间时应提供报警。

NDR技术能够完全覆盖这个控制项要求,在针对新型网络威胁的检测发现、溯源取证响应处置方面的能力甚至超过了这个控制的要求。

相关阅读:

山石网科:山石网科成为连续两年唯一入选Gartner《NDR全球市场指南》中国品牌​zhuanlan.zhihu.com

  • https://zhuanlan.zhihu.com/p/158551182

山石智源智能安全运营系统 | 山石网科​www.hillstonenet.com.cn

  • https://www.hillstonenet.com.cn/product-and-service/operation-and-analysis/isouce/

NDR(网络威胁检测及响应)与NTA的区别(网络流量检测)相关推荐

  1. 未来智安入围《2022年中国数字安全百强报告》,威胁检测与响应领域唯一XDR厂商

    2022年6月18日,国内数字化产业第三方调研与咨询机构数世咨询发布<2022年中国数字安全百强报告>(以下简称"百强报告"),未来智安(XDR SEC)凭借在XDR扩 ...

  2. 「网络安全专利分析」一种基于多粒度异常检测的网络威胁评估方法

    就像是一场梦,醒来还是很感动,蛋黄的长裙,蓬松的头发,还是很想被你保护,我心里的惨痛.最近又是看论文.又是看专利,还要凑点时间来追剧,难搞哦. 和博士聊了一下得知可以在sci-hub上免费看论文 捣鼓 ...

  3. NetFlow Analyzer-网络检测和响应

    数字化转型极大地扩大了企业网络的安全威胁和漏洞范围.防火墙.安全信息和事件管理 (SIEM).入侵检测和防御系统 (IDPS).端点检测和响应 (EDR) 解决方案.网络流量分析 (NTA) 系统和其 ...

  4. 网络威胁分析师必须具备的十种能力

    网络威胁并非一成不变,新型威胁攻击层出不穷,破坏性也越来越大,具体包括社会工程攻击.恶意软件.分布式拒绝服务(DDoS)攻击.高级持续性威胁(APT).木马.内容擦除攻击和数据销毁等.据思科公司预测, ...

  5. 保护 IT 基础设施的多层安全技术-扩展检测与响应 (XDR)

    随着网络威胁的形势不断演变,XDR 的部署将大大缩短网络安全技术团队的调查和响应时间.但与任何新兴安全技术一样,人们对于 XDR 是什么.它与传统安全解决方案有何区别以及它如何为用户提升安全防御能力, ...

  6. 深度学习——从网络威胁情报中收集TTPs

    从网络威胁情报中收集TTPs 摘要 为啥要用网络威胁情报 被动防御 & 主动防御 网络威胁情报的概念 何为情报(Intelligence)? 何为网络威胁(Cyber Threat)? 何为网 ...

  7. 网络攻击链与网络威胁捕获技术初探(一)

    本文带领我们了解了"网络攻击链"并概述了当前网络安全威胁的形势,以及如何运用"网络威胁捕获技术"应对复杂的网络安全挑战.我将详细描述网络威胁捕获技术的思考过程, ...

  8. 【论文翻译】HinCTI: 基于异构信息网络的网络威胁情报建模与识别系统

    HinCTI: 基于异构信息网络的网络威胁情报建模与识别系统 摘要 网络攻击日益复杂化.持久化.组织化和武器化.面对这种情况,全世界越来越多的组织正显示出越来越愿意利用网络威胁情报公开交换(CTI)来 ...

  9. 2017年预测:使用网络威胁情报进行5个安全预测

    本文作者Adam Meyer,文章由悬镜小编翻译,转载请标注来源http://www.xmirror.cn/ 作者简介: Adam Meyer是SurfWatch Labs的首席安全策略师. 他在国防 ...

  10. DDoS攻击流量检测方法

    DDoS攻击流量检测方法 检测分类 1)误用检测 误用检测主要是根据已知的攻击特征直接检测入侵行为.首先对异常信息源建模分析提取特征向量,根据特征设计针对性的特征检测算法,若新数据样本检测出相应的特征 ...

最新文章

  1. 在Angular中有多个字段
  2. vs cmake opencv 远程 ubuntu 开发时:vs代码出现紫色波浪线且报错怎么办?
  3. SAP Spartacus ProductCarouselComponent
  4. 从Linux服务器端下载文件Win客户端
  5. python找工作好不好_Python这么火,为何有人说Python不好找工作?
  6. 当AS3遇见Swift
  7. [深度学习]什么叫梯度学习
  8. python语法学习第十天--类与对象
  9. htm5l,第一个script代码练习
  10. Itext对pdf模板进行电子签名
  11. python处理工资_python的工资
  12. 基于虚拟打印的PDF文档归档探索
  13. Linux挂载OneDrive
  14. python列表的事例_python列表使用实例
  15. VGA和HDMI传输距离是否有要求?
  16. php opcode列表,PHP中的opcode
  17. WarShall算法求传递闭包(可达矩阵)
  18. AngularJS博友的笔记教程
  19. Appinum 自动化测试利器入门
  20. 电商平台-商品表的设计

热门文章

  1. 基因表达聚类分析之初探SOM - 自组织特征图
  2. CleanMyMac for mac之偏好设置
  3. 如何使用 Cisdem Video Converter 在Mac上将 MKV 转换为 MP4
  4. macOS Big Sur怎么样?值得升级吗?Big Sur与Catalina的对比
  5. 字符串匹配算法_4月16日活动预告|字符串匹配算法解析
  6. NOI数学之提高级:线性方程组的高斯消元法
  7. laravel操作$request中值删除、增加、替换等方式的代码实例
  8. centos7 下 sudo yum install 报错镜像找不到
  9. matlab 多 带阻,matlab程序之——滤波器(带通-带阻
  10. python初学者怎么找工作_学python找工作好找吗