【數(shù)世咨詢】能力指南 - NDR

1 2 3 6 6 7 8 6未來展望 1情報的主動發(fā)現(xiàn)；甚至針對加密流量也有了AI賦能的行為檢測能力。由此，2●NDR產(chǎn)品的誤報率仍然較高，如何有效降噪●NDR應(yīng)基于風險視角，對安全事件以關(guān)聯(lián)上下文、關(guān)鍵資產(chǎn)、特權(quán)賬●場景化的威脅檢測方案，可以有效提升檢測的成功率與準確率；場景●未來，大語言模型等AI技術(shù)可能為NDR帶來突破性創(chuàng)新，NDR市場規(guī)3NDR市場規(guī)模約為22.84億元人民幣，同比增長26.96%。參考NDR市場規(guī)模將達到27億元。注：考慮到上市企業(yè)的2023年度數(shù)據(jù)要4比例達到67%，以定制化產(chǎn)品交付運營的比例為24%，作為安全項目中的一個根據(jù)安全廠商在各行業(yè)的收入分布情況，本次調(diào)研也統(tǒng)計了NDR在各行業(yè)中的需求占比，整體而言較為平均，排名前五的行業(yè)為金融20%、運營商5●實網(wǎng)攻防演練場景中，攻擊隊多以聲東擊西戰(zhàn)術(shù)，從分支機構(gòu)尋找突●APT檢測等場景下，基于全流量回放的溯源分析取證。相比NTA，該場●對于運營商、監(jiān)管機構(gòu)及部分特殊行業(yè)用戶，部署在大網(wǎng)流量出口，6本報告將網(wǎng)絡(luò)流量檢測與響應(yīng)（NetworkDetectionandResponse-NDR）描述為：針對實時或重放網(wǎng)絡(luò)流量，以特征匹配、威脅情報、沙箱等安），項安全檢測手段結(jié)合精準發(fā)現(xiàn)流量中的威脅并實施告警；之后，NDR要為進一支撐；就發(fā)現(xiàn)的威脅，NDR進行旁路阻斷，并聯(lián)動邊界網(wǎng)關(guān)、關(guān)鍵路由、域控7IDS/IPS部署位置一般是邊界東西向核心部署方式串聯(lián)或旁路一般是旁路一般是旁路檢測流量方向一般是入向檢測攻擊階段全階段，特別是攻擊鏈特征檢測支持（無法判斷攻擊結(jié)果）支持（側(cè)重于通過特征回查歷史流量）支持（攻擊結(jié)果分析）創(chuàng)建自定義檢測策略一般不支持支持支持一般不支持支持支持基線學習不支持支持支持支持不支持支持提取分析包payload支持支持支持提取文件，文件分析不支持支持支持分析?owdata不支持支持支持跨會話分析不支持支持支持8當然，NTA也有其優(yōu)勢，在“網(wǎng)絡(luò)分析”等非安全檢測的需求場景中，●還支持一些非網(wǎng)絡(luò)安全的異常檢測，如設(shè)置網(wǎng)絡(luò)性能基線、檢測帶寬雖然相比傳統(tǒng)流量安全產(chǎn)品，NDR已有多項改進提升，但目前業(yè)內(nèi)的NDR●溯源分析環(huán)節(jié)，目前仍較為依賴經(jīng)驗豐富的安全工程師，當一線用戶●Response響應(yīng)部分除了自身的旁路阻斷能力外，聯(lián)動響應(yīng)需要安全運●誤報率仍然較高。據(jù)本次調(diào)研，小部分廠商目前依托威脅情報，在金9●惡意加密流量的檢測效果仍有待提升。除了細分領(lǐng)域中2-3家專注于場景化方案流量處理流量處理流量采集離線數(shù)據(jù)包導入?yún)f(xié)議深度解析文件還原提取證書還原提取數(shù)據(jù)流解碼流量統(tǒng)計分析會話統(tǒng)計分析TT威脅檢測惡意程序檢測惡意文件檢測非法證書檢測高級木馬檢測攻攻惡意加密流量擊擊溯源分析事件研判分析線索查證分析受控主機排查受控邊界排查數(shù)據(jù)取證分析攻攻文件威脅分析聯(lián)動響應(yīng)聯(lián)動響應(yīng)安全專家響應(yīng)基礎(chǔ)支撐能力基礎(chǔ)支撐能力下面就流量處理、威脅檢測、溯源分析、聯(lián)動響應(yīng)以及場景化、AI賦能●數(shù)據(jù)預(yù)處理主要解決的是數(shù)據(jù)的整合、清洗、去重、索引等工作，包基于流量重組、協(xié)議識別、協(xié)議還原、IP分析、域名分析、文件分析、元數(shù)如借助AI對流量進行“白業(yè)務(wù)+灰異常+黑威脅”的分加密流量檢測重點對惡意軟件、攻擊行為、APT家族的惡意加密流量的握手、證書、時空、背景流量、payload分布、時間分布等特征進要說明的是，就本次調(diào)研來看，溯源分析環(huán)節(jié)目前仍然要依靠有經(jīng)驗的安全分析人員。因此，首先NDR對檢測到的可疑事件并非全部都要告警（告警風暴等于沒有告警），而是需要結(jié)合事件關(guān)聯(lián)的上下文、關(guān)鍵資產(chǎn)、特權(quán)賬號等多個維度，基于風險視角賦予優(yōu)先級，即重點將“降噪”后的高優(yōu)先級事件以告警形式通知運營人員，再進行后續(xù)的人工溯源分析?！袢鼨z索能力，特別是是否支持字段級檢索，以及大流量場景下的快●流量重放能力，特別是針對APT威脅，具備長時間跨度的完整數(shù)據(jù)包●協(xié)議識別能力，即支持的協(xié)議數(shù)量要廣，呈現(xiàn)在分析人員面前的數(shù)據(jù)●APT威脅識別能力，對高級威脅及其變種的分析●溯源分析平臺易用性，如自動化、可視化、智能化關(guān)聯(lián)會話、關(guān)聯(lián)互對于響應(yīng)時效要求較高的行業(yè)用戶，部分廠商的NDR產(chǎn)品還提供可擴展場景化的溯源分析建議，可以一定程度降低分析人員的成本playbook可以提升聯(lián)動響應(yīng)的自動化水平，提升響應(yīng)時效。綜上，場景化解成功攻擊事件及APT組織的攻擊趨勢、攻擊類型分布、攻擊資產(chǎn)統(tǒng)計、惡意●接到監(jiān)管單位、上級單位的預(yù)警通知，以及安全告警事件后，溯源分●威脅情報關(guān)聯(lián)分析，即對流量數(shù)據(jù)與內(nèi)部威脅情報進行聯(lián)動分析。通●支持SMTP、IMAP、POP3協(xié)議還原，及加●通過情報碰撞識別，排查“僵木蠕”病毒、挖礦病毒是否已感染，如AI賦能安全目前已成為業(yè)內(nèi)共識，具體到本次調(diào)研的NDR領(lǐng)域，AI對流趨勢對比與預(yù)測等方面的效率效果，對未知威脅，AI能夠在基線白流量的基●在溯源分析與聯(lián)動響應(yīng)部分，問答式的大語言模型能夠幫助運營人員更多的AI賦能部分，數(shù)世咨詢正在調(diào)研中的“安全大語言模型”報告即NDR作為威脅檢測與響應(yīng)的主要手段，是安全分析溯源，乃至安全運營體“加密流量特征”的威脅檢測效果仍然達不到一線用戶的理想要求，AI技術(shù)隨著企業(yè)越來越多地采用云原生架構(gòu)和混合云環(huán)境，NDR產(chǎn)品將更注重在隨著5G的發(fā)展普及，流量帶寬越來越巨大，單位時間內(nèi)需要處理的流量數(shù)據(jù)NDR的溯源分析與聯(lián)動響應(yīng)，目前仍較多依賴于人工經(jīng)驗，有安全技術(shù)水某運營商省公司作為該運營商最大的省級分公司之一，下轄包括