去誤報(bào)、高精度，NDR讓企業(yè)安全防護(hù)上一個(gè)臺(tái)階

農(nóng)業(yè)文明時(shí)代，當(dāng)生產(chǎn)力提高，糧食可以養(yǎng)活更多人之后，就有一部分人可以不去種地，去研究其他事物，于是后來就有了手工業(yè)，社會(huì)得以發(fā)展。

當(dāng)一個(gè)安全人員，每天被一些瑣碎的、低效的事務(wù)牢牢綁定，沒有時(shí)間和精力研究安全問題的時(shí)候，這也是明顯不合理的，NDR技術(shù)作為一種能解放安全人員的方案，正在成為許多企業(yè)安全架構(gòu)中的必選項(xiàng)。

一位被IDPS折磨的安全人員

小明是公司的安全人員，他那屢屢失守的發(fā)際線和永不退色的黑眼圈，使得這位二十多歲的年輕人比同齡人多了幾分滄桑。

每天，從上班那一刻起，小明就要馬上查看一下企業(yè)網(wǎng)絡(luò)的安全狀況，比如主機(jī)是否被黑，如果有狀況則會(huì)馬上開始大面積排查并處置，或斷網(wǎng)，或重做系統(tǒng)，做完以后還得想想怎么甩鍋。如果完成了應(yīng)急，小明還需要做溯源，弄清楚到底是哪里出了問題再去解決。

除了解決問題，小明還需要關(guān)注網(wǎng)絡(luò)中的隱患。比如殺毒軟件的特征庫有沒有及時(shí)更新，機(jī)器的系統(tǒng)漏洞有沒有及時(shí)打補(bǔ)丁，等等。作為安全人員，小明需要用到IDPS（入侵檢測(cè)和防御系統(tǒng)）方案，IDS（入侵檢測(cè)系統(tǒng)）負(fù)責(zé)發(fā)現(xiàn)問題，IPS（入侵防御系統(tǒng)）負(fù)責(zé)解決問題，IDS主要針對(duì)已發(fā)生的攻擊事件或異常行為進(jìn)行處理，它可以提醒小明進(jìn)行防范和應(yīng)對(duì)。

但問題是，IDS每天會(huì)產(chǎn)生數(shù)以萬計(jì)的報(bào)警信息，小明即使996也看不完。最令他崩潰的是，這些信息不僅數(shù)量多，準(zhǔn)確性還低，還經(jīng)常誤報(bào)、漏報(bào)，真實(shí)威脅經(jīng)常看不見。小明最終選擇不看IDS，于是IPS也一樣變成了擺設(shè)。

小明也聽說，很多人都不打算用IDPS了，現(xiàn)在流行的是NDR（網(wǎng)絡(luò)威脅檢測(cè)與響應(yīng)），同行也說：

NDR不僅能發(fā)現(xiàn)已知的安全威脅，還能通過機(jī)器學(xué)習(xí)模型發(fā)現(xiàn)新的安全威脅，更重要的是，它對(duì)威脅的認(rèn)知更深入，能大大降低誤報(bào)、漏報(bào)的概率。同時(shí)，它還能對(duì)安全問題進(jìn)行處置，很多人都認(rèn)為NDR將取代IDPS。

描述很美好，小明決定自己也試試NDR，在這之前，他對(duì)NDR進(jìn)行了一番研究。

被企業(yè)用戶認(rèn)可，NDR發(fā)展正當(dāng)時(shí)

2020年，Gartner發(fā)布《Market Guide for Network Detection and Response》（《NDR市場(chǎng)指南》）報(bào)告，而在2019年，這個(gè)市場(chǎng)指南還叫做《NTA市場(chǎng)指南》。NDR主要是利用機(jī)器學(xué)習(xí)等分析技術(shù)來檢測(cè)網(wǎng)絡(luò)可疑流量的技術(shù)，持續(xù)分析流量數(shù)據(jù)來構(gòu)建模型，當(dāng)檢測(cè)到可疑流量模式后就報(bào)警。從NTA切換到NDR，體現(xiàn)出的是從“分析”到“檢測(cè)與響應(yīng)”的變化，市場(chǎng)的需求更趨向于實(shí)戰(zhàn)。

國(guó)際上有許多NDR廠商，在中國(guó)，微步在線是較早開始涉足NDR領(lǐng)域的安全廠商，包括奇安信、深信服、安恒信息以及中睿、東巽、安賽也在做NDR。微步在線的產(chǎn)品NDR產(chǎn)品叫做TDP（威脅感知平臺(tái)），微步在線TDP業(yè)務(wù)線負(fù)責(zé)人趙林林表示，NDR與以往的NTA的一個(gè)非常大不同點(diǎn)就在于響應(yīng)（Response-R）方面。

在他看來，響應(yīng)不該只是阻斷、聯(lián)防聯(lián)動(dòng)這些處置操作，還應(yīng)知道更多背后信息，比如，究竟感染了多少臺(tái)機(jī)器，如何評(píng)估其影響和危害，如何對(duì)威脅進(jìn)行定位和溯源等等，企業(yè)在被攻擊后，應(yīng)該積累針對(duì)性的應(yīng)對(duì)措施。

趙林林認(rèn)為，NDR對(duì)于企業(yè)的安全建設(shè)非常重要，它是企業(yè)安全非常關(guān)鍵的基礎(chǔ)設(shè)施，既是拴在屋子里防盜的鈴鐺，也是照亮屋子的燈，能讓企業(yè)看清楚到底發(fā)生了什么。

有媒體認(rèn)為，2021年將成為NDR元年。Gartner在市場(chǎng)研究報(bào)告（《Emerging Technologies: Adoption Growth Insights for Network Detection and Response》）中指出，“盡管疫情大流行造成了影響，但NDR仍然是一個(gè)快速增長(zhǎng)的市場(chǎng)。

微步在線的市場(chǎng)發(fā)展也驗(yàn)證了這一點(diǎn)，趙林林表示，目前TDP是微步在線的主打產(chǎn)品，TDP的付費(fèi)客戶已經(jīng)有200多家。

微步在線的NDR方法論：抓得準(zhǔn)，看得見，搞得定

眾所周知，微步在線的長(zhǎng)處是威脅情報(bào)，所以，微步在線用情報(bào)驅(qū)動(dòng)NDR看似劍走偏鋒，實(shí)則成效顯著。

在網(wǎng)絡(luò)安全領(lǐng)域，黑客們共享自己的攻擊方法、工具、漏洞，而作為防御者則經(jīng)常處于各自為戰(zhàn)的狀態(tài)，威脅情報(bào)能夠扭轉(zhuǎn)防御者的局勢(shì)，化被動(dòng)為主動(dòng)。微步在線運(yùn)營(yíng)著亞洲最大的情報(bào)共享社區(qū)，擁有完整的情報(bào)生產(chǎn)和流轉(zhuǎn)機(jī)制，擁有能秒級(jí)更新的一手情報(bào)，能做到一點(diǎn)發(fā)現(xiàn)，全網(wǎng)共享，多點(diǎn)聯(lián)防，而這一優(yōu)勢(shì)在TDP產(chǎn)品中得到了體現(xiàn)。

最直接的體現(xiàn)就是威脅檢測(cè)的準(zhǔn)確率奇高。準(zhǔn)確率對(duì)于NDR檢測(cè)報(bào)警環(huán)節(jié)非常重要。無法準(zhǔn)確檢測(cè)，就無法正確響應(yīng)。微步在線的TDP結(jié)合威脅情報(bào)、特征分析、人工智能技術(shù)，精準(zhǔn)發(fā)現(xiàn)問題，避免真實(shí)報(bào)警被誤報(bào)淹沒的困境，聚焦于真實(shí)的威脅。因此微步在線TDP的監(jiān)測(cè)準(zhǔn)確率遠(yuǎn)高于業(yè)內(nèi)普遍水平，其誤報(bào)率只有0.03%~0.05%，而業(yè)內(nèi)誤報(bào)率能達(dá)到3%~5%的也鳳毛麟角。

開啟統(tǒng)攬全局的上帝視角。微步在線的TDP看重NDR在資產(chǎn)檢測(cè)方面的價(jià)值，它可以幫企業(yè)解決流量層面能解決的所有問題，能通過分析協(xié)議來識(shí)別不同的資產(chǎn)，從而實(shí)現(xiàn)被動(dòng)資產(chǎn)發(fā)現(xiàn)，能照顧到企業(yè)所有的資產(chǎn)，開啟上帝視角。

更自動(dòng)化的處置閉環(huán)。NDR的R作為響應(yīng)環(huán)節(jié)，就是要避免此前NTA技術(shù)的“管殺不管埋”的問題，對(duì)發(fā)現(xiàn)的問題進(jìn)行處置。當(dāng)攻擊自動(dòng)化程度越來越高時(shí)，防御者自然也希望能自動(dòng)化的處理，手工防御效率低成本高，而自動(dòng)化的處置閉環(huán)也顯得非常有必要。微步在線的TDP可根據(jù)根據(jù)情報(bào)、攻擊判定，自動(dòng)阻斷后續(xù)攻擊，還可以聯(lián)動(dòng)第三方安全設(shè)備，打通處置流程。與TDP Agent配合，還可以自動(dòng)化定位惡意程序和執(zhí)行過程。

更豐富的檢測(cè)能力。趙林林認(rèn)為NDR可以做的有很多，他認(rèn)為檢測(cè)既要有漏洞檢測(cè)，也要有規(guī)則檢測(cè)，還要有情報(bào)檢測(cè)，還可以不斷加入新的算法模型增加檢測(cè)維度，從而檢測(cè)出更多信息，比如，可以分辨是內(nèi)部攻擊還是外部攻擊，是什么導(dǎo)致的報(bào)警等等。微步在線的TDP構(gòu)建了云+端+流量全面檢測(cè)能力，不再依賴單視角檢測(cè)，能讓W(xué)ebshell、反彈后門等高級(jí)威脅無處遁形。

此外，在微步在線的產(chǎn)品矩陣中，流量和終端可以協(xié)同檢測(cè)分析和響應(yīng)。OneEDR是微步在線推出的主機(jī)威脅檢測(cè)與響應(yīng)平臺(tái)，在TDP和OneEDR配合中，TDP只能做流量分析，而有了OneEDR之后，微步在線可以端和流量的信息結(jié)合起來做分析，增加新的維度后能更準(zhǔn)確地判斷主機(jī)的安全狀態(tài)，這種提升對(duì)于TDP和OneEDR都非常重要。

有了微步在線TDP后的新生活

轉(zhuǎn)變發(fā)生的有點(diǎn)快，如今，做為微步在線TDP用戶，小明的生活發(fā)生了翻天覆地的變化，光是外形看起來就年輕了好幾歲。

作為國(guó)內(nèi)市場(chǎng)上比較成熟的NDR解決方案，微步在線的TDP真正做到了有問題才報(bào)警，沒有問題就不報(bào)警，正是這看似簡(jiǎn)單的一點(diǎn)，將小明從IDPS浩如煙海的報(bào)警中走了出來，光憑這一點(diǎn)，小明就少了很多無意義的加班。

發(fā)現(xiàn)問題后，自然就能進(jìn)行處理了，微步在線的TDP能對(duì)許多安全威脅進(jìn)行自動(dòng)化的處置，自動(dòng)拯救失陷的主機(jī)，大大提高了工作效率。

但這還遠(yuǎn)沒有結(jié)束，在解決問題之余，TDP還能幫助小明對(duì)安全問題進(jìn)行溯源，查清楚問題的來龍去脈，偶爾還能發(fā)現(xiàn)更隱蔽的攻擊和潛伏的安全威脅，知其然，知其所以然，對(duì)安全的認(rèn)知也在逐步提升。

作為一款成熟的NDR方案解決方案，微步在線的TDP還能幫助小明清楚地看見公司內(nèi)部的各種安全資產(chǎn)，對(duì)公司整體的安全態(tài)勢(shì)有更清晰準(zhǔn)確的認(rèn)識(shí)，TDP精準(zhǔn)告警和全面的資產(chǎn)發(fā)現(xiàn)能力讓小明覺得很安心，再也不用整天提心吊膽的上班了。

總之，NDR的出現(xiàn)大大提高了小明這樣的安全人員的安全守護(hù)能力，擺脫瑣碎的日常工作，聚焦于更多安全本身的問題。