農(nóng)業(yè)文明時(shí)代,當(dāng)生產(chǎn)力提高,糧食可以養(yǎng)活更多人之后,就有一部分人可以不去種地,去研究其他事物,于是后來(lái)就有了手工業(yè),社會(huì)得以發(fā)展。
當(dāng)一個(gè)安全人員,每天被一些瑣碎的、低效的事務(wù)牢牢綁定,沒(méi)有時(shí)間和精力研究安全問(wèn)題的時(shí)候,這也是明顯不合理的,NDR技術(shù)作為一種能解放安全人員的方案,正在成為許多企業(yè)安全架構(gòu)中的必選項(xiàng)。
一位被IDPS折磨的安全人員
小明是公司的安全人員,他那屢屢失守的發(fā)際線和永不退色的黑眼圈,使得這位二十多歲的年輕人比同齡人多了幾分滄桑。
每天,從上班那一刻起,小明就要馬上查看一下企業(yè)網(wǎng)絡(luò)的安全狀況,比如主機(jī)是否被黑,如果有狀況則會(huì)馬上開(kāi)始大面積排查并處置,或斷網(wǎng),或重做系統(tǒng),做完以后還得想想怎么甩鍋。如果完成了應(yīng)急,小明還需要做溯源,弄清楚到底是哪里出了問(wèn)題再去解決。
除了解決問(wèn)題,小明還需要關(guān)注網(wǎng)絡(luò)中的隱患。比如殺毒軟件的特征庫(kù)有沒(méi)有及時(shí)更新,機(jī)器的系統(tǒng)漏洞有沒(méi)有及時(shí)打補(bǔ)丁,等等。作為安全人員,小明需要用到IDPS(入侵檢測(cè)和防御系統(tǒng))方案,IDS(入侵檢測(cè)系統(tǒng))負(fù)責(zé)發(fā)現(xiàn)問(wèn)題,IPS(入侵防御系統(tǒng))負(fù)責(zé)解決問(wèn)題,IDS主要針對(duì)已發(fā)生的攻擊事件或異常行為進(jìn)行處理,它可以提醒小明進(jìn)行防范和應(yīng)對(duì)。
但問(wèn)題是,IDS每天會(huì)產(chǎn)生數(shù)以萬(wàn)計(jì)的報(bào)警信息,小明即使996也看不完。最令他崩潰的是,這些信息不僅數(shù)量多,準(zhǔn)確性還低,還經(jīng)常誤報(bào)、漏報(bào),真實(shí)威脅經(jīng)常看不見(jiàn)。小明最終選擇不看IDS,于是IPS也一樣變成了擺設(shè)。
小明也聽(tīng)說(shuō),很多人都不打算用IDPS了,現(xiàn)在流行的是NDR(網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)),同行也說(shuō):
NDR不僅能發(fā)現(xiàn)已知的安全威脅,還能通過(guò)機(jī)器學(xué)習(xí)模型發(fā)現(xiàn)新的安全威脅,更重要的是,它對(duì)威脅的認(rèn)知更深入,能大大降低誤報(bào)、漏報(bào)的概率。同時(shí),它還能對(duì)安全問(wèn)題進(jìn)行處置,很多人都認(rèn)為NDR將取代IDPS。
描述很美好,小明決定自己也試試NDR,在這之前,他對(duì)NDR進(jìn)行了一番研究。
被企業(yè)用戶(hù)認(rèn)可,NDR發(fā)展正當(dāng)時(shí)
2020年,Gartner發(fā)布《Market Guide for Network Detection and Response》(《NDR市場(chǎng)指南》)報(bào)告,而在2019年,這個(gè)市場(chǎng)指南還叫做《NTA市場(chǎng)指南》。NDR主要是利用機(jī)器學(xué)習(xí)等分析技術(shù)來(lái)檢測(cè)網(wǎng)絡(luò)可疑流量的技術(shù),持續(xù)分析流量數(shù)據(jù)來(lái)構(gòu)建模型,當(dāng)檢測(cè)到可疑流量模式后就報(bào)警。從NTA切換到NDR,體現(xiàn)出的是從“分析”到“檢測(cè)與響應(yīng)”的變化,市場(chǎng)的需求更趨向于實(shí)戰(zhàn)。
國(guó)際上有許多NDR廠商,在中國(guó),微步在線是較早開(kāi)始涉足NDR領(lǐng)域的安全廠商,包括奇安信、深信服、安恒信息以及中睿、東巽、安賽也在做NDR。微步在線的產(chǎn)品NDR產(chǎn)品叫做TDP(威脅感知平臺(tái)),微步在線TDP業(yè)務(wù)線負(fù)責(zé)人趙林林表示,NDR與以往的NTA的一個(gè)非常大不同點(diǎn)就在于響應(yīng)(Response-R)方面。
在他看來(lái),響應(yīng)不該只是阻斷、聯(lián)防聯(lián)動(dòng)這些處置操作,還應(yīng)知道更多背后信息,比如,究竟感染了多少臺(tái)機(jī)器,如何評(píng)估其影響和危害,如何對(duì)威脅進(jìn)行定位和溯源等等,企業(yè)在被攻擊后,應(yīng)該積累針對(duì)性的應(yīng)對(duì)措施。
趙林林認(rèn)為,NDR對(duì)于企業(yè)的安全建設(shè)非常重要,它是企業(yè)安全非常關(guān)鍵的基礎(chǔ)設(shè)施,既是拴在屋子里防盜的鈴鐺,也是照亮屋子的燈,能讓企業(yè)看清楚到底發(fā)生了什么。
有媒體認(rèn)為,2021年將成為NDR元年。Gartner在市場(chǎng)研究報(bào)告(《Emerging Technologies: Adoption Growth Insights for Network Detection and Response》)中指出,“盡管疫情大流行造成了影響,但NDR仍然是一個(gè)快速增長(zhǎng)的市場(chǎng)。
微步在線的市場(chǎng)發(fā)展也驗(yàn)證了這一點(diǎn),趙林林表示,目前TDP是微步在線的主打產(chǎn)品,TDP的付費(fèi)客戶(hù)已經(jīng)有200多家。
微步在線的NDR方法論:抓得準(zhǔn),看得見(jiàn),搞得定
眾所周知,微步在線的長(zhǎng)處是威脅情報(bào),所以,微步在線用情報(bào)驅(qū)動(dòng)NDR看似劍走偏鋒,實(shí)則成效顯著。
在網(wǎng)絡(luò)安全領(lǐng)域,黑客們共享自己的攻擊方法、工具、漏洞,而作為防御者則經(jīng)常處于各自為戰(zhàn)的狀態(tài),威脅情報(bào)能夠扭轉(zhuǎn)防御者的局勢(shì),化被動(dòng)為主動(dòng)。微步在線運(yùn)營(yíng)著亞洲最大的情報(bào)共享社區(qū),擁有完整的情報(bào)生產(chǎn)和流轉(zhuǎn)機(jī)制,擁有能秒級(jí)更新的一手情報(bào),能做到一點(diǎn)發(fā)現(xiàn),全網(wǎng)共享,多點(diǎn)聯(lián)防,而這一優(yōu)勢(shì)在TDP產(chǎn)品中得到了體現(xiàn)。
最直接的體現(xiàn)就是威脅檢測(cè)的準(zhǔn)確率奇高。準(zhǔn)確率對(duì)于NDR檢測(cè)報(bào)警環(huán)節(jié)非常重要。無(wú)法準(zhǔn)確檢測(cè),就無(wú)法正確響應(yīng)。微步在線的TDP結(jié)合威脅情報(bào)、特征分析、人工智能技術(shù),精準(zhǔn)發(fā)現(xiàn)問(wèn)題,避免真實(shí)報(bào)警被誤報(bào)淹沒(méi)的困境,聚焦于真實(shí)的威脅。因此微步在線TDP的監(jiān)測(cè)準(zhǔn)確率遠(yuǎn)高于業(yè)內(nèi)普遍水平,其誤報(bào)率只有0.03%~0.05%,而業(yè)內(nèi)誤報(bào)率能達(dá)到3%~5%的也鳳毛麟角。
開(kāi)啟統(tǒng)攬全局的上帝視角。微步在線的TDP看重NDR在資產(chǎn)檢測(cè)方面的價(jià)值,它可以幫企業(yè)解決流量層面能解決的所有問(wèn)題,能通過(guò)分析協(xié)議來(lái)識(shí)別不同的資產(chǎn),從而實(shí)現(xiàn)被動(dòng)資產(chǎn)發(fā)現(xiàn),能照顧到企業(yè)所有的資產(chǎn),開(kāi)啟上帝視角。
更自動(dòng)化的處置閉環(huán)。NDR的R作為響應(yīng)環(huán)節(jié),就是要避免此前NTA技術(shù)的“管殺不管埋”的問(wèn)題,對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行處置。當(dāng)攻擊自動(dòng)化程度越來(lái)越高時(shí),防御者自然也希望能自動(dòng)化的處理,手工防御效率低成本高,而自動(dòng)化的處置閉環(huán)也顯得非常有必要。微步在線的TDP可根據(jù)根據(jù)情報(bào)、攻擊判定,自動(dòng)阻斷后續(xù)攻擊,還可以聯(lián)動(dòng)第三方安全設(shè)備,打通處置流程。與TDP Agent配合,還可以自動(dòng)化定位惡意程序和執(zhí)行過(guò)程。
更豐富的檢測(cè)能力。趙林林認(rèn)為NDR可以做的有很多,他認(rèn)為檢測(cè)既要有漏洞檢測(cè),也要有規(guī)則檢測(cè),還要有情報(bào)檢測(cè),還可以不斷加入新的算法模型增加檢測(cè)維度,從而檢測(cè)出更多信息,比如,可以分辨是內(nèi)部攻擊還是外部攻擊,是什么導(dǎo)致的報(bào)警等等。微步在線的TDP構(gòu)建了云+端+流量全面檢測(cè)能力,不再依賴(lài)單視角檢測(cè),能讓W(xué)ebshell、反彈后門(mén)等高級(jí)威脅無(wú)處遁形。
此外,在微步在線的產(chǎn)品矩陣中,流量和終端可以協(xié)同檢測(cè)分析和響應(yīng)。OneEDR是微步在線推出的主機(jī)威脅檢測(cè)與響應(yīng)平臺(tái),在TDP和OneEDR配合中,TDP只能做流量分析,而有了OneEDR之后,微步在線可以端和流量的信息結(jié)合起來(lái)做分析,增加新的維度后能更準(zhǔn)確地判斷主機(jī)的安全狀態(tài),這種提升對(duì)于TDP和OneEDR都非常重要。
有了微步在線TDP后的新生活
轉(zhuǎn)變發(fā)生的有點(diǎn)快,如今,做為微步在線TDP用戶(hù),小明的生活發(fā)生了翻天覆地的變化,光是外形看起來(lái)就年輕了好幾歲。
作為國(guó)內(nèi)市場(chǎng)上比較成熟的NDR解決方案,微步在線的TDP真正做到了有問(wèn)題才報(bào)警,沒(méi)有問(wèn)題就不報(bào)警,正是這看似簡(jiǎn)單的一點(diǎn),將小明從IDPS浩如煙海的報(bào)警中走了出來(lái),光憑這一點(diǎn),小明就少了很多無(wú)意義的加班。
發(fā)現(xiàn)問(wèn)題后,自然就能進(jìn)行處理了,微步在線的TDP能對(duì)許多安全威脅進(jìn)行自動(dòng)化的處置,自動(dòng)拯救失陷的主機(jī),大大提高了工作效率。
但這還遠(yuǎn)沒(méi)有結(jié)束,在解決問(wèn)題之余,TDP還能幫助小明對(duì)安全問(wèn)題進(jìn)行溯源,查清楚問(wèn)題的來(lái)龍去脈,偶爾還能發(fā)現(xiàn)更隱蔽的攻擊和潛伏的安全威脅,知其然,知其所以然,對(duì)安全的認(rèn)知也在逐步提升。
作為一款成熟的NDR方案解決方案,微步在線的TDP還能幫助小明清楚地看見(jiàn)公司內(nèi)部的各種安全資產(chǎn),對(duì)公司整體的安全態(tài)勢(shì)有更清晰準(zhǔn)確的認(rèn)識(shí),TDP精準(zhǔn)告警和全面的資產(chǎn)發(fā)現(xiàn)能力讓小明覺(jué)得很安心,再也不用整天提心吊膽的上班了。
總之,NDR的出現(xiàn)大大提高了小明這樣的安全人員的安全守護(hù)能力,擺脫瑣碎的日常工作,聚焦于更多安全本身的問(wèn)題。