去誤報、高精度，NDR讓企業(yè)安全防護(hù)上一個臺階

農(nóng)業(yè)文明時代，當(dāng)生產(chǎn)力提高，糧食可以養(yǎng)活更多人之后，就有一部分人可以不去種地，去研究其他事物，于是后來就有了手工業(yè)，社會得以發(fā)展。

當(dāng)一個安全人員，每天被一些瑣碎的、低效的事務(wù)牢牢綁定，沒有時間和精力研究安全問題的時候，這也是明顯不合理的，NDR技術(shù)作為一種能解放安全人員的方案，正在成為許多企業(yè)安全架構(gòu)中的必選項。

一位被IDPS折磨的安全人員

小明是公司的安全人員，他那屢屢失守的發(fā)際線和永不退色的黑眼圈，使得這位二十多歲的年輕人比同齡人多了幾分滄桑。

每天，從上班那一刻起，小明就要馬上查看一下企業(yè)網(wǎng)絡(luò)的安全狀況，比如主機(jī)是否被黑，如果有狀況則會馬上開始大面積排查并處置，或斷網(wǎng)，或重做系統(tǒng)，做完以后還得想想怎么甩鍋。如果完成了應(yīng)急，小明還需要做溯源，弄清楚到底是哪里出了問題再去解決。

除了解決問題，小明還需要關(guān)注網(wǎng)絡(luò)中的隱患。比如殺毒軟件的特征庫有沒有及時更新，機(jī)器的系統(tǒng)漏洞有沒有及時打補(bǔ)丁，等等。作為安全人員，小明需要用到IDPS（入侵檢測和防御系統(tǒng)）方案，IDS（入侵檢測系統(tǒng)）負(fù)責(zé)發(fā)現(xiàn)問題，IPS（入侵防御系統(tǒng)）負(fù)責(zé)解決問題，IDS主要針對已發(fā)生的攻擊事件或異常行為進(jìn)行處理，它可以提醒小明進(jìn)行防范和應(yīng)對。

但問題是，IDS每天會產(chǎn)生數(shù)以萬計的報警信息，小明即使996也看不完。最令他崩潰的是，這些信息不僅數(shù)量多，準(zhǔn)確性還低，還經(jīng)常誤報、漏報，真實威脅經(jīng)�？床灰�。小明最終選擇不看IDS，于是IPS也一樣變成了擺設(shè)。

小明也聽說，很多人都不打算用IDPS了，現(xiàn)在流行的是NDR（網(wǎng)絡(luò)威脅檢測與響應(yīng)），同行也說：

NDR不僅能發(fā)現(xiàn)已知的安全威脅，還能通過機(jī)器學(xué)習(xí)模型發(fā)現(xiàn)新的安全威脅，更重要的是，它對威脅的認(rèn)知更深入，能大大降低誤報、漏報的概率。同時，它還能對安全問題進(jìn)行處置，很多人都認(rèn)為NDR將取代IDPS。

描述很美好，小明決定自己也試試NDR，在這之前，他對NDR進(jìn)行了一番研究。

被企業(yè)用戶認(rèn)可，NDR發(fā)展正當(dāng)時

2020年，Gartner發(fā)布《Market Guide for Network Detection and Response》（《NDR市場指南》）報告，而在2019年，這個市場指南還叫做《NTA市場指南》。NDR主要是利用機(jī)器學(xué)習(xí)等分析技術(shù)來檢測網(wǎng)絡(luò)可疑流量的技術(shù)，持續(xù)分析流量數(shù)據(jù)來構(gòu)建模型，當(dāng)檢測到可疑流量模式后就報警。從NTA切換到NDR，體現(xiàn)出的是從“分析”到“檢測與響應(yīng)”的變化，市場的需求更趨向于實戰(zhàn)。

國際上有許多NDR廠商，在中國，微步在線是較早開始涉足NDR領(lǐng)域的安全廠商，包括奇安信、深信服、安恒信息以及中睿、東巽、安賽也在做NDR。微步在線的產(chǎn)品NDR產(chǎn)品叫做TDP（威脅感知平臺），微步在線TDP業(yè)務(wù)線負(fù)責(zé)人趙林林表示，NDR與以往的NTA的一個非常大不同點就在于響應(yīng)（Response-R）方面。

在他看來，響應(yīng)不該只是阻斷、聯(lián)防聯(lián)動這些處置操作，還應(yīng)知道更多背后信息，比如，究竟感染了多少臺機(jī)器，如何評估其影響和危害，如何對威脅進(jìn)行定位和溯源等等，企業(yè)在被攻擊后，應(yīng)該積累針對性的應(yīng)對措施。

趙林林認(rèn)為，NDR對于企業(yè)的安全建設(shè)非常重要，它是企業(yè)安全非常關(guān)鍵的基礎(chǔ)設(shè)施，既是拴在屋子里防盜的鈴鐺，也是照亮屋子的燈，能讓企業(yè)看清楚到底發(fā)生了什么。

有媒體認(rèn)為，2021年將成為NDR元年。Gartner在市場研究報告（《Emerging Technologies: Adoption Growth Insights for Network Detection and Response》）中指出，“盡管疫情大流行造成了影響，但NDR仍然是一個快速增長的市場。

微步在線的市場發(fā)展也驗證了這一點，趙林林表示，目前TDP是微步在線的主打產(chǎn)品，TDP的付費客戶已經(jīng)有200多家。

微步在線的NDR方法論：抓得準(zhǔn)，看得見，搞得定

眾所周知，微步在線的長處是威脅情報，所以，微步在線用情報驅(qū)動NDR看似劍走偏鋒，實則成效顯著。

在網(wǎng)絡(luò)安全領(lǐng)域，黑客們共享自己的攻擊方法、工具、漏洞，而作為防御者則經(jīng)常處于各自為戰(zhàn)的狀態(tài)，威脅情報能夠扭轉(zhuǎn)防御者的局勢，化被動為主動。微步在線運營著亞洲最大的情報共享社區(qū)，擁有完整的情報生產(chǎn)和流轉(zhuǎn)機(jī)制，擁有能秒級更新的一手情報，能做到一點發(fā)現(xiàn)，全網(wǎng)共享，多點聯(lián)防，而這一優(yōu)勢在TDP產(chǎn)品中得到了體現(xiàn)。

最直接的體現(xiàn)就是威脅檢測的準(zhǔn)確率奇高。準(zhǔn)確率對于NDR檢測報警環(huán)節(jié)非常重要。無法準(zhǔn)確檢測，就無法正確響應(yīng)。微步在線的TDP結(jié)合威脅情報、特征分析、人工智能技術(shù)，精準(zhǔn)發(fā)現(xiàn)問題，避免真實報警被誤報淹沒的困境，聚焦于真實的威脅。因此微步在線TDP的監(jiān)測準(zhǔn)確率遠(yuǎn)高于業(yè)內(nèi)普遍水平，其誤報率只有0.03%~0.05%，而業(yè)內(nèi)誤報率能達(dá)到3%~5%的也鳳毛麟角。

開啟統(tǒng)攬全局的上帝視角。微步在線的TDP看重NDR在資產(chǎn)檢測方面的價值，它可以幫企業(yè)解決流量層面能解決的所有問題，能通過分析協(xié)議來識別不同的資產(chǎn)，從而實現(xiàn)被動資產(chǎn)發(fā)現(xiàn)，能照顧到企業(yè)所有的資產(chǎn)，開啟上帝視角。

更自動化的處置閉環(huán)。NDR的R作為響應(yīng)環(huán)節(jié)，就是要避免此前NTA技術(shù)的“管殺不管埋”的問題，對發(fā)現(xiàn)的問題進(jìn)行處置。當(dāng)攻擊自動化程度越來越高時，防御者自然也希望能自動化的處理，手工防御效率低成本高，而自動化的處置閉環(huán)也顯得非常有必要。微步在線的TDP可根據(jù)根據(jù)情報、攻擊判定，自動阻斷后續(xù)攻擊，還可以聯(lián)動第三方安全設(shè)備，打通處置流程。與TDP Agent配合，還可以自動化定位惡意程序和執(zhí)行過程。

更豐富的檢測能力。趙林林認(rèn)為NDR可以做的有很多，他認(rèn)為檢測既要有漏洞檢測，也要有規(guī)則檢測，還要有情報檢測，還可以不斷加入新的算法模型增加檢測維度，從而檢測出更多信息，比如，可以分辨是內(nèi)部攻擊還是外部攻擊，是什么導(dǎo)致的報警等等。微步在線的TDP構(gòu)建了云+端+流量全面檢測能力，不再依賴單視角檢測，能讓W(xué)ebshell、反彈后門等高級威脅無處遁形。

此外，在微步在線的產(chǎn)品矩陣中，流量和終端可以協(xié)同檢測分析和響應(yīng)。OneEDR是微步在線推出的主機(jī)威脅檢測與響應(yīng)平臺，在TDP和OneEDR配合中，TDP只能做流量分析，而有了OneEDR之后，微步在線可以端和流量的信息結(jié)合起來做分析，增加新的維度后能更準(zhǔn)確地判斷主機(jī)的安全狀態(tài)，這種提升對于TDP和OneEDR都非常重要。

有了微步在線TDP后的新生活

轉(zhuǎn)變發(fā)生的有點快，如今，做為微步在線TDP用戶，小明的生活發(fā)生了翻天覆地的變化，光是外形看起來就年輕了好幾歲。

作為國內(nèi)市場上比較成熟的NDR解決方案，微步在線的TDP真正做到了有問題才報警，沒有問題就不報警，正是這看似簡單的一點，將小明從IDPS浩如煙海的報警中走了出來，光憑這一點，小明就少了很多無意義的加班。

發(fā)現(xiàn)問題后，自然就能進(jìn)行處理了，微步在線的TDP能對許多安全威脅進(jìn)行自動化的處置，自動拯救失陷的主機(jī)，大大提高了工作效率。

但這還遠(yuǎn)沒有結(jié)束，在解決問題之余，TDP還能幫助小明對安全問題進(jìn)行溯源，查清楚問題的來龍去脈，偶爾還能發(fā)現(xiàn)更隱蔽的攻擊和潛伏的安全威脅，知其然，知其所以然，對安全的認(rèn)知也在逐步提升。

作為一款成熟的NDR方案解決方案，微步在線的TDP還能幫助小明清楚地看見公司內(nèi)部的各種安全資產(chǎn)，對公司整體的安全態(tài)勢有更清晰準(zhǔn)確的認(rèn)識，TDP精準(zhǔn)告警和全面的資產(chǎn)發(fā)現(xiàn)能力讓小明覺得很安心，再也不用整天提心吊膽的上班了。

總之，NDR的出現(xiàn)大大提高了小明這樣的安全人員的安全守護(hù)能力，擺脫瑣碎的日常工作，聚焦于更多安全本身的問題。