農(nóng)業(yè)文明時代,當生產(chǎn)力提高,糧食可以養(yǎng)活更多人之后,就有一部分人可以不去種地,去研究其他事物,于是后來就有了手工業(yè),社會得以發(fā)展。
當一個安全人員,每天被一些瑣碎的、低效的事務牢牢綁定,沒有時間和精力研究安全問題的時候,這也是明顯不合理的,NDR技術作為一種能解放安全人員的方案,正在成為許多企業(yè)安全架構(gòu)中的必選項。
一位被IDPS折磨的安全人員
小明是公司的安全人員,他那屢屢失守的發(fā)際線和永不退色的黑眼圈,使得這位二十多歲的年輕人比同齡人多了幾分滄桑。
每天,從上班那一刻起,小明就要馬上查看一下企業(yè)網(wǎng)絡的安全狀況,比如主機是否被黑,如果有狀況則會馬上開始大面積排查并處置,或斷網(wǎng),或重做系統(tǒng),做完以后還得想想怎么甩鍋。如果完成了應急,小明還需要做溯源,弄清楚到底是哪里出了問題再去解決。
除了解決問題,小明還需要關注網(wǎng)絡中的隱患。比如殺毒軟件的特征庫有沒有及時更新,機器的系統(tǒng)漏洞有沒有及時打補丁,等等。作為安全人員,小明需要用到IDPS(入侵檢測和防御系統(tǒng))方案,IDS(入侵檢測系統(tǒng))負責發(fā)現(xiàn)問題,IPS(入侵防御系統(tǒng))負責解決問題,IDS主要針對已發(fā)生的攻擊事件或異常行為進行處理,它可以提醒小明進行防范和應對。
但問題是,IDS每天會產(chǎn)生數(shù)以萬計的報警信息,小明即使996也看不完。最令他崩潰的是,這些信息不僅數(shù)量多,準確性還低,還經(jīng)常誤報、漏報,真實威脅經(jīng)常看不見。小明最終選擇不看IDS,于是IPS也一樣變成了擺設。
小明也聽說,很多人都不打算用IDPS了,現(xiàn)在流行的是NDR(網(wǎng)絡威脅檢測與響應),同行也說:
NDR不僅能發(fā)現(xiàn)已知的安全威脅,還能通過機器學習模型發(fā)現(xiàn)新的安全威脅,更重要的是,它對威脅的認知更深入,能大大降低誤報、漏報的概率。同時,它還能對安全問題進行處置,很多人都認為NDR將取代IDPS。
描述很美好,小明決定自己也試試NDR,在這之前,他對NDR進行了一番研究。
被企業(yè)用戶認可,NDR發(fā)展正當時
2020年,Gartner發(fā)布《Market Guide for Network Detection and Response》(《NDR市場指南》)報告,而在2019年,這個市場指南還叫做《NTA市場指南》。NDR主要是利用機器學習等分析技術來檢測網(wǎng)絡可疑流量的技術,持續(xù)分析流量數(shù)據(jù)來構(gòu)建模型,當檢測到可疑流量模式后就報警。從NTA切換到NDR,體現(xiàn)出的是從“分析”到“檢測與響應”的變化,市場的需求更趨向于實戰(zhàn)。
國際上有許多NDR廠商,在中國,微步在線是較早開始涉足NDR領域的安全廠商,包括奇安信、深信服、安恒信息以及中睿、東巽、安賽也在做NDR。微步在線的產(chǎn)品NDR產(chǎn)品叫做TDP(威脅感知平臺),微步在線TDP業(yè)務線負責人趙林林表示,NDR與以往的NTA的一個非常大不同點就在于響應(Response-R)方面。
在他看來,響應不該只是阻斷、聯(lián)防聯(lián)動這些處置操作,還應知道更多背后信息,比如,究竟感染了多少臺機器,如何評估其影響和危害,如何對威脅進行定位和溯源等等,企業(yè)在被攻擊后,應該積累針對性的應對措施。
趙林林認為,NDR對于企業(yè)的安全建設非常重要,它是企業(yè)安全非常關鍵的基礎設施,既是拴在屋子里防盜的鈴鐺,也是照亮屋子的燈,能讓企業(yè)看清楚到底發(fā)生了什么。
有媒體認為,2021年將成為NDR元年。Gartner在市場研究報告(《Emerging Technologies: Adoption Growth Insights for Network Detection and Response》)中指出,“盡管疫情大流行造成了影響,但NDR仍然是一個快速增長的市場。
微步在線的市場發(fā)展也驗證了這一點,趙林林表示,目前TDP是微步在線的主打產(chǎn)品,TDP的付費客戶已經(jīng)有200多家。
微步在線的NDR方法論:抓得準,看得見,搞得定
眾所周知,微步在線的長處是威脅情報,所以,微步在線用情報驅(qū)動NDR看似劍走偏鋒,實則成效顯著。
在網(wǎng)絡安全領域,黑客們共享自己的攻擊方法、工具、漏洞,而作為防御者則經(jīng)常處于各自為戰(zhàn)的狀態(tài),威脅情報能夠扭轉(zhuǎn)防御者的局勢,化被動為主動。微步在線運營著亞洲最大的情報共享社區(qū),擁有完整的情報生產(chǎn)和流轉(zhuǎn)機制,擁有能秒級更新的一手情報,能做到一點發(fā)現(xiàn),全網(wǎng)共享,多點聯(lián)防,而這一優(yōu)勢在TDP產(chǎn)品中得到了體現(xiàn)。
最直接的體現(xiàn)就是威脅檢測的準確率奇高。準確率對于NDR檢測報警環(huán)節(jié)非常重要。無法準確檢測,就無法正確響應。微步在線的TDP結(jié)合威脅情報、特征分析、人工智能技術,精準發(fā)現(xiàn)問題,避免真實報警被誤報淹沒的困境,聚焦于真實的威脅。因此微步在線TDP的監(jiān)測準確率遠高于業(yè)內(nèi)普遍水平,其誤報率只有0.03%~0.05%,而業(yè)內(nèi)誤報率能達到3%~5%的也鳳毛麟角。
開啟統(tǒng)攬全局的上帝視角。微步在線的TDP看重NDR在資產(chǎn)檢測方面的價值,它可以幫企業(yè)解決流量層面能解決的所有問題,能通過分析協(xié)議來識別不同的資產(chǎn),從而實現(xiàn)被動資產(chǎn)發(fā)現(xiàn),能照顧到企業(yè)所有的資產(chǎn),開啟上帝視角。
更自動化的處置閉環(huán)。NDR的R作為響應環(huán)節(jié),就是要避免此前NTA技術的“管殺不管埋”的問題,對發(fā)現(xiàn)的問題進行處置。當攻擊自動化程度越來越高時,防御者自然也希望能自動化的處理,手工防御效率低成本高,而自動化的處置閉環(huán)也顯得非常有必要。微步在線的TDP可根據(jù)根據(jù)情報、攻擊判定,自動阻斷后續(xù)攻擊,還可以聯(lián)動第三方安全設備,打通處置流程。與TDP Agent配合,還可以自動化定位惡意程序和執(zhí)行過程。
更豐富的檢測能力。趙林林認為NDR可以做的有很多,他認為檢測既要有漏洞檢測,也要有規(guī)則檢測,還要有情報檢測,還可以不斷加入新的算法模型增加檢測維度,從而檢測出更多信息,比如,可以分辨是內(nèi)部攻擊還是外部攻擊,是什么導致的報警等等。微步在線的TDP構(gòu)建了云+端+流量全面檢測能力,不再依賴單視角檢測,能讓Webshell、反彈后門等高級威脅無處遁形。
此外,在微步在線的產(chǎn)品矩陣中,流量和終端可以協(xié)同檢測分析和響應。OneEDR是微步在線推出的主機威脅檢測與響應平臺,在TDP和OneEDR配合中,TDP只能做流量分析,而有了OneEDR之后,微步在線可以端和流量的信息結(jié)合起來做分析,增加新的維度后能更準確地判斷主機的安全狀態(tài),這種提升對于TDP和OneEDR都非常重要。
有了微步在線TDP后的新生活
轉(zhuǎn)變發(fā)生的有點快,如今,做為微步在線TDP用戶,小明的生活發(fā)生了翻天覆地的變化,光是外形看起來就年輕了好幾歲。
作為國內(nèi)市場上比較成熟的NDR解決方案,微步在線的TDP真正做到了有問題才報警,沒有問題就不報警,正是這看似簡單的一點,將小明從IDPS浩如煙海的報警中走了出來,光憑這一點,小明就少了很多無意義的加班。
發(fā)現(xiàn)問題后,自然就能進行處理了,微步在線的TDP能對許多安全威脅進行自動化的處置,自動拯救失陷的主機,大大提高了工作效率。
但這還遠沒有結(jié)束,在解決問題之余,TDP還能幫助小明對安全問題進行溯源,查清楚問題的來龍去脈,偶爾還能發(fā)現(xiàn)更隱蔽的攻擊和潛伏的安全威脅,知其然,知其所以然,對安全的認知也在逐步提升。
作為一款成熟的NDR方案解決方案,微步在線的TDP還能幫助小明清楚地看見公司內(nèi)部的各種安全資產(chǎn),對公司整體的安全態(tài)勢有更清晰準確的認識,TDP精準告警和全面的資產(chǎn)發(fā)現(xiàn)能力讓小明覺得很安心,再也不用整天提心吊膽的上班了。
總之,NDR的出現(xiàn)大大提高了小明這樣的安全人員的安全守護能力,擺脫瑣碎的日常工作,聚焦于更多安全本身的問題。