在網(wǎng)絡(luò)安全服務(wù)領(lǐng)域,許多服務(wù)商正面臨著一系列棘手的挑戰(zhàn)。當(dāng)客戶內(nèi)網(wǎng)遭遇橫向移動攻擊時(shí),服務(wù)商翻遍防火墻和EDR日志,卻始終難以找到攻擊路徑,最終只能無奈背鍋。工程師們每天被海量的告警信息淹沒,其中高達(dá)90%都是誤報(bào),這不僅導(dǎo)致人力成本不斷攀升,人效卻始終難以提升。在客戶要求實(shí)戰(zhàn)化安全運(yùn)營時(shí),部分服務(wù)商因缺乏核心檢測能力,只能充當(dāng)“廠商傳聲筒”,無法真正滿足客戶需求。更有甚者,連NDR和態(tài)勢感知平臺的關(guān)系都分不清,客戶需要態(tài)感大屏?xí)r,卻連網(wǎng)絡(luò)中流量的“能見度”問題都未解決。
在當(dāng)下安全服務(wù)同質(zhì)化競爭激烈、內(nèi)卷嚴(yán)重的市場環(huán)境下,NDR(網(wǎng)絡(luò)威脅檢測與響應(yīng)系統(tǒng))已不再是客戶采購清單中可有可無的選項(xiàng),而是服務(wù)商搭建核心服務(wù)能力、實(shí)現(xiàn)提效降本、讓客戶安心放心的必備基礎(chǔ)設(shè)施。NDR全稱為“網(wǎng)絡(luò)威脅檢測與響應(yīng)系統(tǒng)”,其核心由分布式網(wǎng)絡(luò)安全探針和中心化管理平臺構(gòu)成。它既能夠整合為一體機(jī)進(jìn)行快速部署,也適合分布式適配大型、多分支網(wǎng)絡(luò)環(huán)境。
傳統(tǒng)安全手段在服務(wù)交付中逐漸暴露出諸多問題。服務(wù)商為客戶部署的防火墻、IDS/IPS、EDR等設(shè)備,看似構(gòu)建了層層防護(hù)體系,但實(shí)際上存在諸多盲區(qū)。而這些盲區(qū),恰恰成為了服務(wù)商服務(wù)中的風(fēng)險(xiǎn)點(diǎn)和成本黑洞。例如,防火墻可能無法有效檢測到一些新型的、隱蔽的攻擊行為;IDS/IPS可能會產(chǎn)生大量誤報(bào),增加工程師的工作負(fù)擔(dān);EDR則可能無法全面覆蓋網(wǎng)絡(luò)中的所有設(shè)備,導(dǎo)致部分攻擊行為被遺漏。
一款優(yōu)秀的工具需要能夠滿足團(tuán)隊(duì)中不同成員的需求。NDR從一線分析師到團(tuán)隊(duì)管理者,全維度解決了服務(wù)痛點(diǎn),真正實(shí)現(xiàn)了一套工具全鏈路提效。對于一線分析師而言,NDR能夠提供精準(zhǔn)的告警信息,減少誤報(bào)的干擾,讓他們能夠更專注于真正的威脅分析。同時(shí),NDR的深度鉆取能力,能夠幫助分析師快速定位攻擊源頭,提高溯源效率。對于團(tuán)隊(duì)管理者來說,NDR的管理平臺可以實(shí)現(xiàn)對整個(gè)網(wǎng)絡(luò)安全狀況的實(shí)時(shí)監(jiān)控和管理,方便他們進(jìn)行決策和資源調(diào)配。
NDR與態(tài)勢感知平臺之間存在著核心互補(bǔ)關(guān)系。NDR的網(wǎng)絡(luò)探針是態(tài)勢感知平臺的重要感知觸角,它能夠?yàn)閼B(tài)勢感知提供最核心的原始流量數(shù)據(jù)、精準(zhǔn)告警和流量上下文。而NDR平臺的探針管理能力、數(shù)據(jù)深度鉆取能力,則是態(tài)勢感知平臺的核心能力補(bǔ)充,解決了態(tài)勢感知“看得見全局,挖不透根源”的問題。兩者相互結(jié)合,才能實(shí)現(xiàn)從“底層威脅檢測 - 深度溯源取證 - 全局態(tài)勢呈現(xiàn) - 協(xié)同閉環(huán)響應(yīng)”的完整安全運(yùn)營閉環(huán)。簡單來說,NDR就像是一線分析師,能夠深入網(wǎng)絡(luò)進(jìn)行細(xì)致的威脅檢測和分析;而態(tài)勢感知平臺則像是給客戶看的管理者駕駛艙,能夠?yàn)榭蛻籼峁┤值陌踩珣B(tài)勢展示。
