近日,国际研究机构Gartner®发布了《如何建设实施网络检测与响应》(How to Architect Network Detection and Response Implementation)报告。报告旨在为安全技术人员提供有关网络检测和响应(NDR)实施计划的架构指导,其概述了一个结构化的方法,供安全架构师有效规划和准备NDR实施。报告列举了全球29家NDR代表厂商(representative NDR vendors),腾讯云凭借旗下NDR产品的多层检测引擎、全流量分析建模、长周期威胁回溯等核心能力,入选全球代表厂商之列。
在报告中,Gartner对NDR的定义为:“网络检测和响应(NDR)产品通过将行为分析应用于网络流量数据来检测异常系统行为,它们不断分析内部网络(东西向)和内部和外部网络(南北向)之间的原始网络数据包或流量元数据。”
报告表示,“网络检测和响应(NDR)通常被用作补充工具,以解决更广泛的安全武器库中的能力差距。然而,尽管NDR技术具有强大的优势,但其实施的复杂性对其采用构成了挑战。”
“资源分配不足加上非最佳架构是NDR实施中的一个常见陷阱。” Gartner指出。因此,在报告中,Gartner提出NDR实施的指导框架,包括一个准备阶段和三个不同的步骤。
准备阶段:与利益相关者合作,确定能力差距和相关NDR用例。
步骤1-架构师:根据确定的用例和网络拓扑设计一个高级架构。与网络团队合作,为NDR制定流量摄入策略(例如负载平衡、直接路由、镜像)。
步骤2-选择:制定选择标准并进行POC,以评估产品尺寸和运营契合度。
步骤3-规划:通过分配网络和人力资源来准备基础设施,并为实施和未来的增强制定路线图。
腾讯云NDR是腾讯自研的高级威胁检测(APT检测)、分析、溯源和响应一体化解决方案,具备检测场景全、响应快、检测能力强、阻断率高(可达99.99%)四大优势。其符合Gartner在“网络检测和响应市场指南”的“市场描述”部分中强调的定义和要求,因而入选本次报告的代表供应商列表,且连续三次获得Gartner《指南》的认可和推荐。
具体而言,在检测场景方面,腾讯云NDR基于云端协同的全流量检测,覆盖公有云上、线下机房全流量检测场景,勒索病毒、邮件安全、密码安全等九大安全专题,开箱即用,通过安全专题将威胁聚焦,结合可视化分析帮助客户针对性解决风险问题;在检测能力方面,AI算法+威胁情报+哈勃沙箱+规则引擎+全流量溯源五大领先利器,强力对抗攻击绕过和0day漏洞;在响应速度上,腾讯云NDR具备全面的互联网漏洞检测机制及国内领先的威胁情报库,能实现实时联动,快速响应最新漏洞和事件;在阻断效果上,腾讯云NDR采用非侵入式旁路阻断攻击行为,闭环处置事件,阻断成功率高达99.99%。
同时,在多云和复杂的IT环境、人工智能的应用、与其他产品集成中,腾讯云NDR均有创新举措与应用案例。
针对多云和复杂的IT环境,腾讯云NDR支持在公有云原生接入镜像流量和线下机房。提供对互联网出口流量、负载均衡、NAT网关等南北向流量,和子网内、容器间等东西向流量做检测,实时发现资产风险、入侵事件、内部渗透攻击事件等能力。同时,留存原始报文和流量日志方便事后做溯源分析。通过云沙箱和静态文件检测能力,腾讯云NDR能发现恶意文件传输,洞察恶意文件的一切行为,发现未知威胁。
在部署方式上,腾讯云NDR兼容了不同企业IT环境的需求,能根据客户流量规模的需求,结合企业自身的IT架构进行灵活部署。腾讯云NDR一方面与腾讯云做强结合,在服务好云上客户的同时,在技术层面上更多地与云底层去结合,提供多云、混合云场景的流量安全运营体系和部署方案。
在AI的应用上,NDR根据正常流量创建了用户行为基线模型,通过机器学习等方式,帮助企业在海量数据里发现偏离模型的异常流量,发现潜在高危威胁。与单纯基于统计或设置阈值的检测方法相比,无监督的AI模型可以更完美地贴合客户的环境,并且不需要操作人员通过长期的阈值报警观察来手动调整报警阈值。另外,通过有监督的检测模型,提升SQL注入、XSS攻击、Webshell传输等攻击手法的检出率,有效应对变种攻击。
在与其他产品集成上,NDR提供几十个开放API和便捷的数据获取方式,方便用户根据自己的需要,快速做接入联动和数据分析,融入当前已有的运营流程。目前NDR阻断能力API已被国内多家主流检测厂商和客户接入,形成自动化检测响应流程,大幅提升企业的威胁处置效率和能力。
目前,腾讯云NDR已经扩展到多个新的应用场景,成功为工业、政务、金融、关基单位在重保期间的网络安全保驾护航,帮助客户快速发现网络威胁、响应安全事件,智能化部署网络安全防御体系。在2024年的大型攻防演练中,腾讯云NDR帮助某大型银行阻断了近20亿次攻击,保障了100多个系统、近6000个服务器正常运转,实现演练零事故。
