近日,全球权威IT研究与咨询机构Gartner发布了2020年《NDR全球市场指南》。这一新闻引发了业界对NDR(网络威胁检测及响应)技术的新一轮关注热潮。无论用户还是厂商,都迫切地想要了解NDR技术何以被视为“NTA 2.0版本”?NDR产品能给用户带来哪些价值?NDR技术在等保2.0中有无用武之地?
在本期“大咖说”中,山石网科资深营销总监贾彬,将带你回顾NDR技术的升级之路,深入浅出地为你解读NDR技术的创新之处和巨大价值,让你在最短的时间内搞懂NDR。
Question 1:NDR技术对用户的价值体现在哪里?
A:NDR技术产品对于用户的网络安全建设将是一个非常重要的补充,也是网络威胁防护能力的一个提升。
利用NDR技术,能够帮助用户尽早地、有效地检测发现一些穿透网络边界防护进入到到内部网络,或是通过BYOD带入等其他途径进入到内部网络的新型变种威胁。
因为新型变种威胁从出现,到安全厂商经过研究、特征提取、纳入特征库,再到用户完成特征库的升级更新往往需要一个较长的时间周期,很多网络威胁也正是利用了这个安全防护的空档期进行网络威胁的传播扩散,这种能力滞后所带来的安全风险是致命的。
所以NDR技术对于用户的安全价值就体现在,能够有效、尽早地发现新型变种威胁,并且能够根据业务情况和安全等级,在第一时间完成风险和异常的响应处置,避免威胁的持续传播和扩散。
Question 2:NDR产品和传统的IDS产品的部署方式很相似,它们的差别体现在哪里?
A:NDR产品与IDS产品在部署方式和应用场景方面是比较类似的,主要的差别还是体现在安全检测技术的运用方面。
IDS产品技术主要是依赖于签名指纹匹配的检测方式,主要是针对当前已知的网络***进行检测。同时为了平衡威胁检出率和威胁检测效率的问题,IDS特征库往往会根据业务和资产情况进行不同程度的裁剪,这就意味着IDS产品的检测技术不仅仅是无法检测新型变种威胁,对于一些已知威胁也可能存在漏检的情况。同时对于安全管理员来说,一方面要求安全管理员具备非常全面安全背景和威胁分析能力,另一方面也要求安全管理员能够根据业务和资产的变化,即时调整IDS特征库开启策略。
所以NDR技术产品和IDS产品的差别就在于对于新型威胁的检出能力和安全运维效率方面,NDR技术不依赖于特征库,也不基于某个特定业务或资产对象,而是通过对于流量变化的监测来发现风险和异常,不需要安全管理员经常性的调整安全策略,极大的提高了安全运维效率,减少了人为操作所带来的安全隐患。
Question 3:能不能简单解释一下NDR技术,它的哪些功能是必须的?
A:Gartner对于NDR技术给出了较为明确清晰的定义,这也是Gartner在选择NDR技术推荐厂商及产品的严格标准,NDR技术主要强调新型网络威胁和高级网络威胁的检测和即时响应能力。
首先是对分析对象和实时性要求。NDR技术能够自主采集穿过边界的南北向流量和内网的东西向流量,不依赖于防火墙、SIEM等其他产品组件,并且能够针对原始网络流量进行实时或接近实时的分析,以检测发现流量中的风险和异常,再通过分析结果和取证信息,定位到风险和异常的主机对象。
然后是流量分析技术的要求。NDR技术不能够只是依赖于签名指纹匹配的传统网络威胁检测技术,而是针对原始网络流量一定时间的学习、训练和优化,形成相对准确且能动态调整的网络流量行为模型,以行为模型作为网络风险和异常判定的标准基线,在配合其他网络威胁检测技术,进行精细化溯源定位。
最后是威胁处置方面的要求。承载NDR技术的网络安全产品需要具备和其他安全产品的联动能力,解决分布在不同区域的网络风险和异常问题,并且能够根据客户的业务情况和安全等级,由客户自由选择自动或手动进行威胁及异常响应处置。
Question 4:在当前全民抗疫的大背景下,能不能结合新冠病毒的防控,给我们讲讲NDR技术在新型网络病毒防控中的作用,它有哪些创新点,有哪些不可替代性?
A:今年新冠病毒的全面爆发,给全世界人民带来了生活、收入和健康等方面的巨大影响,有些人甚至付出了生命的代价。新冠病毒之所以能够引发如此严重的全球疫情,主要就是因为“新型”这两个字。这是一种在人类社会和医学界中从未出现过的病毒,人类对此一无所知,没有疫苗,没有特效药,再加上其强大的传播扩散能力,导致新冠病毒难以有效地预防和快速治愈。
和新冠病毒一样,网络病毒随着信息技术的发展,也在不断进化出很多新型的病毒。再经过采集、分析、提炼病毒样本并形成病毒特征和专杀工具以前,网络病毒可能已经在网络中大范围扩散了。如果这个新型病毒还在不断地衍生变种,传播途径和速度又非常快,同样也会引发全球网络的“疫情”。
在中国新冠病毒爆发初期,只经过少数病例的研究之后,再结合SARS的过往经历,相对于全球其他国家来说,非常快地就将这种流行性冠状病毒定义为新型冠状病毒,快速地采取防控措施,以至于中国现在成为了全球最安全的国家之一。
类比利用NDR技术进行新型网络病毒的检测,基于正常的流量行为模型基线,判别网络中存在风险及异常,在结合历史经验和威胁情报完成风险及异常的确认,最后通过联动及时的完成响应处置。因此,在应对新型网络病毒的过程中,NDR技术就扮演了中国应对新冠疫情时的“吹哨人”和“钟南山”的角色。
Question 5:Gartner去年发布的是《NTA全球市场指南》,今年变成了《NDR全球市场指南》,请问是什么原因引发了这个变化?
A:NTA技术是NDR技术的前身,NDR技术在继承NTA技术的威胁检测能力的同时,又突出强调了影响处置能力。这个变化最本质的驱动力还是来自于客户,因为对于客户来说,无论部署什么安全产品,使用什么安全技术,最终的目的还是为了解决网络安全问题,同时还能最大程度的降低安全运维的成本,降低对网络安全管理员的能力要求,缓解其安全运维工作压力。
玩笑式地举个例子,去年的NTA技术相当于你去医院,医生只告诉你:“上呼吸道感染导致气管、支气管黏膜或胸膜受炎症;异物、物理或化学性刺激引起声门关闭、呼吸肌收缩、肺内压升高,声门张开,肺内空气喷射而出,并伴随声音;出现体内阴阳平衡失调。感受外邪,机能活动亢进,出现阳盛阴衰的热证证候。”求此刻你的心理阴影面积。
而今年的NDR技术相当于你去医院,医生告诉你:“感冒、上火、吃点感冒药多喝热水。” 如此说来,是什么引起这种变化就显而易见了。
Question 6:最后谈个接地气的话题。今年我们正式进入了等保2.0时代,相比等保1.0,等保2.0在防护思路上有着巨大的进步,那么NDR这样的技术在等保2.0中有用武之地吗?
A:这个答案是肯定的,在网络威胁检测及防范方面,等保2.0相比于等保1.0特别强调了新型网络***的行为分析能力,这也表明等保2.0要求各单位在进行网络安全建设时,要突破传统网络安全技术的限制,利用新型的网络安全技术去应对新型的网络***。
在等保2.0中,安全区域边界-***防范的控制项明确要求三级等保单位应具备以下能力:
1.应在关键网络节点处检测、防止或限制从外部发起的网络***行为;
2.应在关键网络节点处检测、防止或限制从内部发起的网络***行为;
3.应采取技术措施对网络行为进行分析,实现对网络***特别是新型网络***行为的分析;
4.当检测到***行为时,记录***源IP、***类型、***目标、***时间,在发生严重***时间时应提供报警。
NDR技术能够完全覆盖这个控制项要求,在针对新型网络威胁的检测发现、溯源取证和响应处置方面的能力甚至超过了这个控制的要求。