网络安全

NDR(网络威胁检测及响应)技术介绍

从NTA到NDR,网络威胁响应再升级

NTA (Network Traffic Analysis) 网络流量分析技术,融合了传统的基于规则的检测技术、机器学习和其他高级分析技术,用以检测企业网络中的可疑行为。它于2013年被提出,2016年后逐渐在市场上兴起。据权威机构预测,2026年NTA产品的市场规模可达53亿美元。2016年以来,越来越多的厂商开始在网络流量分析的基础上,强调对高级网络威胁的检测和响应能力,NTA的“2.0版本”——NDR(Network Detection and Response)网络威胁检测及响应技术因此应运而生。

作为全球权威的IT研究与咨询机构,Gartner每年发布的《NTA全球市场指南》代表着全球NTA产品的最高水平和最新趋势,一直是该领域的风向标。2020年,Gartner用全新发布的《NDR全球市场指南》替代了原有的《NTA全球市场指南》,这标志着能在发现网络安全隐患的同时对威胁或异常流量进行追踪溯源,还能联动外围的安全设备进行响应拦截NDR技术,终于取代了NTA技术,真正成为了市场的主流。

入选《NDR全球市场指南》的产品及厂商,必须满足Gartner严格的评选标准:

  • 实时或接近实时的网络原始流量分析能力
  • 南北向、东西向的全方向流量采集、监控和分析能力
  • 能够建立网络行为模型并发现异常,不依赖于传统的签名指纹匹配技术
  • 支持手动或自动的威胁及异常处置能力

2019年,山石智·感(BDS)-智能内网威胁感知系统首次入选NTA指南,已经证明了山石网科在网络威胁及异常流量检测上的强大实力。此次山石智·感(BDS)再度成为中国唯一入选《NDR全球市场指南》的NDR产品,更是在全球舞台上展现了山石网科在产品研发上的前瞻性和领导性

全球权威IT研究与咨询机构Gartner发布了2020年《NDR全球市场指南》,山石网科连续两年成为中国唯一入选厂商。这一新闻引发了业界对NDR(网络威胁检测及响应)技术的新一轮关注热潮。无论用户还是厂商,都迫切地想要了解NDR技术何以被视为“NTA 2.0版本”?NDR产品能给用户带来哪些价值?NDR技术在等保2.0中有无用武之地?

接下来,就让山石网科带你回顾NDR技术的升级之路,深入浅出地为你解读NDR技术的创新之处和巨大价值,让你在最短的时间内搞懂NDR

Question 1:NDR技术对用户的价值体现在哪里?

Answer:NDR技术产品对于用户的网络安全建设将是一个非常重要的补充,也是网络威胁防护能力的一个提升。

利用NDR技术,能够帮助用户尽早地、有效地检测发现一些穿透网络边界防护进入到到内部网络,或是通过BYOD带入等其他途径进入到内部网络的新型变种威胁

因为新型变种威胁从出现,到安全厂商经过研究、特征提取、纳入特征库,再到用户完成特征库的升级更新往往需要一个较长的时间周期,很多网络威胁也正是利用了这个安全防护的空档期进行网络威胁的传播扩散,这种能力滞后所带来的安全风险是致命的。

所以NDR技术对于用户的安全价值就体现在,能够有效、尽早地发现新型变种威胁,并且能够根据业务情况和安全等级,在第一时间完成风险和异常的响应处置,避免威胁的持续传播和扩散。

Question 2:NDR产品和传统的IDS产品的部署方式很相似,它们的差别体现在哪里?
Answer:DR产品与IDS产品在部署方式和应用场景方面是比较类似的,主要的差别还是体现在安全检测技术的运用方面。

IDS产品技术主要是依赖于签名指纹匹配的检测方式,主要是针对当前已知的网络攻击进行检测。同时为了平衡威胁检出率和威胁检测效率的问题,IDS特征库往往会根据业务和资产情况进行不同程度的裁剪,这就意味着IDS产品的检测技术不仅仅是无法检测新型变种威胁,对于一些已知威胁也可能存在漏检的情况。同时对于安全管理员来说,一方面要求安全管理员具备非常全面安全背景和威胁分析能力,另一方面也要求安全管理员能够根据业务和资产的变化,即时调整IDS特征库开启策略。

所以NDR技术产品和IDS产品的差别就在于对于新型威胁的检出能力和安全运维效率方面,NDR技术不依赖于特征库,也不基于某个特定业务或资产对象,而是通过对于流量变化的监测来发现风险和异常,不需要安全管理员经常性的调整安全策略,极大的提高了安全运维效率,减少了人为操作所带来的安全隐患。

Question 3:能不能简单解释一下NDR技术,它的哪些功能是必须的?

Answer:Gartner对于NDR技术给出了较为明确清晰的定义,这也是Gartner在选择NDR技术推荐厂商及产品的严格标准,NDR技术主要强调新型网络威胁和高级网络威胁的检测和即时响应能力

首先是对分析对象和实时性要求。NDR技术能够自主采集穿过边界的南北向流量和内网的东西向流量,不依赖于防火墙、SIEM等其他产品组件,并且能够针对原始网络流量进行实时或接近实时的分析,以检测发现流量中的风险和异常,再通过分析结果和取证信息,定位到风险和异常的主机对象。

然后是流量分析技术的要求。NDR技术不能够只是依赖于签名指纹匹配的传统网络威胁检测技术,而是针对原始网络流量一定时间的学习、训练和优化,形成相对准确且能动态调整的网络流量行为模型,以行为模型作为网络风险和异常判定的标准基线,在配合其他网络威胁检测技术,进行精细化溯源定位

最后是威胁处置方面的要求。承载NDR技术的网络安全产品需要具备和其他安全产品的联动能力,解决分布在不同区域的网络风险和异常问题,并且能够根据客户的业务情况和安全等级,由客户自由选择自动或手动进行威胁及异常响应处置。

Question 4:Gartner去年发布的是《NTA全球市场指南》,今年变成了《NDR全球市场指南》,请问是什么原因引发了这个变化?

Answer:NTA技术是NDR技术的前身,NDR技术在继承NTA技术的威胁检测能力的同时,又突出强调了影响处置能力。这个变化最本质的驱动力还是来自于客户,因为对于客户来说,无论部署什么安全产品,使用什么安全技术,最终的目的还是为了解决网络安全问题,同时还能最大程度的降低安全运维的成本,降低对网络安全管理员的能力要求,缓解其安全运维工作压力。

玩笑式地举个例子,去年的NTA技术相当于你去医院,医生只告诉你:“上呼吸道感染导致气管、支气管黏膜或胸膜受炎症;异物、物理或化学性刺激引起声门关闭、呼吸肌收缩、肺内压升高,声门张开,肺内空气喷射而出,并伴随声音;出现体内阴阳平衡失调。感受外邪,机能活动亢进,出现阳盛阴衰的热证证候。”求此刻你的心理阴影面积。

而今年的NDR技术相当于你去医院,医生告诉你:“感冒、上火、吃点感冒药多喝热水。” 如此说来,是什么引起这种变化就显而易见了。

Question 5:最后谈个接地气的话题。今年我们正式进入了等保2.0时代,相比等保1.0,等保2.0在防护思路上有着巨大的进步,那么NDR这样的技术在等保2.0中有用武之地吗?

Answer:这个答案是肯定的,在网络威胁检测及防范方面,等保2.0相比于等保1.0特别强调了新型网络攻击的行为分析能力,这也表明等保2.0要求各单位在进行网络安全建设时,要突破传统网络安全技术的限制,利用新型的网络安全技术去应对新型的网络攻击。

在等保2.0中,安全区域边界-入侵防范的控制项明确要求三级等保单位应具备以下能力:1.应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;2.应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;3.应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;4.当检测到攻击行为时,记录攻击源IP、攻击类型、攻击目标、攻击时间,在发生严重入侵时间时应提供报警。

NDR技术能够完全覆盖这个控制项要求,在针对新型网络威胁的检测发现、溯源取证响应处置方面的能力甚至超过了这个控制的要求。