立德立言,無(wú)問(wèn)西東——擁有美好的德行和與人有益的言辭,才有環(huán)顧四周、舍我其誰(shuí)的青春豪氣和資本。在網(wǎng)絡(luò)安全領(lǐng)域,誰(shuí)能將南北(流量)、東西(流量)“參透”,誰(shuí)才能擁有橫刀立馬的底氣和勇氣,從容對(duì)戰(zhàn)高級(jí)威脅。
————瀚思科技周奕
NTA=高級(jí)威脅解決之道
網(wǎng)絡(luò)流量分析(NTA)的概念是Gartner于2013年首次提出的,位列五種檢測(cè)高級(jí)威脅的手段之一。它融合了傳統(tǒng)的基于規(guī)則的檢測(cè)技術(shù),以及機(jī)器學(xué)習(xí)和其他高級(jí)分析技術(shù),用以檢測(cè)企業(yè)網(wǎng)絡(luò)中的可疑行為,尤其是失陷后的痕跡。Gartner強(qiáng)調(diào),NTA是一種功能或能力,而非純粹的產(chǎn)品。
目前,市場(chǎng)上大多數(shù)NTA產(chǎn)品的分析對(duì)象是東西流量,因?yàn)榻鉀Q北南流量問(wèn)題的產(chǎn)品已經(jīng)有很多,包括IDS、WAF、防火墻等。但是有一個(gè)現(xiàn)象值得引起注意,即在今年遍及全國(guó)的實(shí)戰(zhàn)攻防對(duì)抗中,NTA產(chǎn)品成了企業(yè)用戶(hù)最關(guān)注且需求最迫切的安全產(chǎn)品之一。究其原因,很多用戶(hù)雖然部署了各種南北向的設(shè)備,但是仍然希望通過(guò)NTA再次檢驗(yàn)或者印證一下南北流量防護(hù)的有效性。
傳統(tǒng)的“預(yù)防加檢測(cè)”逐漸失效,“持續(xù)檢測(cè)與響應(yīng)”才能應(yīng)對(duì)今天不斷變化的威脅局面。Gartner的最新報(bào)告指出:NTA解決方案正在逐步演變?yōu)橥ㄟ^(guò)采集網(wǎng)絡(luò)分析以外的更多數(shù)據(jù),實(shí)現(xiàn)更大范圍的威脅檢測(cè)。
從2013年NTA概念誕生,到2016年NTA開(kāi)始在中國(guó)萌芽,再到近期廣泛關(guān)注,雖然人們對(duì)NTA的熟悉程度逐漸加深,但NTA并非是一個(gè)高度標(biāo)準(zhǔn)化的市場(chǎng),不同的廠商對(duì)NTA的理解不同、設(shè)計(jì)和開(kāi)發(fā)NTA產(chǎn)品的切入點(diǎn)也不同,導(dǎo)致了在應(yīng)用層面的差異,甚至是誤解。
基于此,瀚思科技近期將與Gartner聯(lián)合發(fā)布權(quán)威白皮書(shū)《與HanSight NTA一同探索網(wǎng)絡(luò)的真知灼見(jiàn)》,為實(shí)現(xiàn)NTA的場(chǎng)景化應(yīng)用指點(diǎn)迷津。
NTA為何如此重要?
《與HanSight NTA一同探索網(wǎng)絡(luò)的真知灼見(jiàn)》白皮書(shū)中提到NTA融合了多種安全分析技術(shù),可以針對(duì)各種不同的應(yīng)用場(chǎng)景。最初,一些大數(shù)據(jù)廠商的解決方案中都包含一個(gè)NTA功能模塊,用于檢測(cè)網(wǎng)絡(luò)流量異常。如今,市場(chǎng)上既有單獨(dú)銷(xiāo)售的NTA產(chǎn)品,也有與廠商大數(shù)據(jù)安全平臺(tái)整合在一起的NTA。瀚思科技就屬于后一類(lèi),它提供All-in-One的NTA產(chǎn)品,集所有流量檢測(cè)技術(shù)于一身。
可以將NTA比作瀚思全場(chǎng)景安全平臺(tái)的“傳感器”,它為其后的分析提供了高質(zhì)量的數(shù)據(jù)來(lái)源。HanSight NTA綜合了多種分析技術(shù)來(lái)檢測(cè)企業(yè)網(wǎng)絡(luò)上的可疑活動(dòng),易于部署,能夠指導(dǎo)調(diào)查與響應(yīng),還實(shí)現(xiàn)了與現(xiàn)有SOC(安全運(yùn)營(yíng)中心)平臺(tái)的整合。對(duì)于眾多安全團(tuán)隊(duì)而言,HanSight NTA是一款非常具有吸引力的工具。
瀚思科技全場(chǎng)景安全平臺(tái)
NTA為何如此重要?所有檢測(cè)和響應(yīng)技術(shù)面臨的一個(gè)重大挑戰(zhàn)就是數(shù)據(jù)源的質(zhì)量。當(dāng)SIEM或其他檢測(cè)與響應(yīng)解決方案從第三方收集日志和事件信息時(shí),所收集數(shù)據(jù)的質(zhì)量是無(wú)法預(yù)測(cè)和控制的。通過(guò)監(jiān)控網(wǎng)絡(luò)流量和獲取用于安全分析的正確遙測(cè)數(shù)據(jù),NTA檢測(cè)能夠成為現(xiàn)有網(wǎng)絡(luò)安全解決方案檢測(cè)結(jié)果的補(bǔ)充。HanSight NTA解碼網(wǎng)絡(luò)流量,解析到NetFlow(網(wǎng)絡(luò)流)和各種應(yīng)用日志格式中,并保存到大數(shù)據(jù)平臺(tái)。
HanSight NTA是瀚思全場(chǎng)景安全平臺(tái)不可缺少的模塊,可以幫助客戶(hù)檢測(cè)和識(shí)別高級(jí)威脅,進(jìn)行威脅調(diào)查和事件響應(yīng)的取證,從而縮短總體的事件響應(yīng)時(shí)間。HanSight NTA與瀚思的企業(yè)級(jí)SIEM/UEBA相結(jié)合,能夠關(guān)聯(lián)更多數(shù)據(jù)源,提供識(shí)別更多威脅模式的分析方法,并通過(guò)瀚思的企業(yè)級(jí)SIEM安全事件管理平臺(tái)進(jìn)行事件管理。
NTA是一個(gè)發(fā)展非??焖俚男碌陌踩a(chǎn)品品類(lèi),但市場(chǎng)和應(yīng)用遠(yuǎn)未成熟。通過(guò)廣泛的調(diào)研,瀚思希望通過(guò)與Gartner合作能進(jìn)一步明確一個(gè)真正的NTA到底應(yīng)該具備哪些基本的能力,以及NTA如何在具體的業(yè)務(wù)場(chǎng)景中落地。
對(duì)于企業(yè)客戶(hù)的安全檢測(cè)和運(yùn)營(yíng)來(lái)說(shuō),NTA是不可或缺的,是客戶(hù)在采購(gòu)和部署安全整體套件時(shí)必須重點(diǎn)考慮的部分。NTA可以和企業(yè)的大數(shù)據(jù)安全平臺(tái)進(jìn)行有效整合。不可否認(rèn),對(duì)于NTA的能力和使用,許多企業(yè)還在這樣或那樣的認(rèn)識(shí)誤區(qū)。瀚思科技與Gartner聯(lián)合推出此白皮書(shū),也是想正確、清晰地向企業(yè)客戶(hù)傳遞NTA的功能和價(jià)值。
NTA未來(lái)會(huì)走向哪里?
在攻防對(duì)抗中,以銀行為代表的眾多行業(yè)客戶(hù)非??粗匕踩a(chǎn)品的檢測(cè)能力,這也是NTA受到關(guān)注的一個(gè)重要原因。對(duì)于大多數(shù)企業(yè)用戶(hù)來(lái)說(shuō),NTA是一個(gè)普遍適用的安全產(chǎn)品。NTA與IDS、WAF等產(chǎn)品從功能上看既有交叉,又有區(qū)別。用戶(hù)其實(shí)并不會(huì)太介意產(chǎn)品之間的“模糊性”,只要是對(duì)于提升安全性有實(shí)質(zhì)幫助的產(chǎn)品,用戶(hù)都有興趣嘗試。
實(shí)際上,有效的網(wǎng)絡(luò)安全分析并不是只應(yīng)用一種技術(shù)。Gartner認(rèn)為,為保持超前于高級(jí)威脅的發(fā)展,網(wǎng)絡(luò)檢測(cè)、響應(yīng)和取證解決方案必須要綜合多種方法,也就是說(shuō),要綜合運(yùn)用多重檢測(cè)技術(shù),以場(chǎng)景為導(dǎo)向,用不同的技術(shù)有針對(duì)性地解決不同的問(wèn)題?,F(xiàn)代網(wǎng)絡(luò)流量分析法的基礎(chǔ)建立在將網(wǎng)絡(luò)流量正確解析成多種格式,利用基于安全用例的跨時(shí)代分析技術(shù),保存正確的數(shù)據(jù),從而實(shí)現(xiàn)完整的取證調(diào)查。同時(shí),將全球威脅情報(bào)作為補(bǔ)充,洞悉惡意活動(dòng),并將可疑行為匹配到確認(rèn)的威脅,從而提高檢測(cè)結(jié)果的保真度。
NTA廠商的一個(gè)角力點(diǎn)是如何提高威脅檢測(cè)的廣度。Gartner指出,聚焦“客戶(hù)價(jià)值”的理念將區(qū)分出各廠商的競(jìng)爭(zhēng)定位。NTA解決方案通過(guò)獲取網(wǎng)絡(luò)分析以外的更多數(shù)據(jù),可以實(shí)現(xiàn)更大范圍的威脅檢測(cè)。各廠商的NTA解決方案在廣度、地點(diǎn)和類(lèi)型上存在差異,而且收集更多威脅數(shù)據(jù)的方法也不同。像機(jī)器學(xué)習(xí)這樣的數(shù)據(jù)科學(xué)技術(shù)正成為NTA廠商突出重圍的關(guān)鍵點(diǎn)。從NTA自身的能力來(lái)看,它必須具備上下文信息的分析能力。為實(shí)現(xiàn)在網(wǎng)絡(luò)分析之外更廣更強(qiáng)的威脅檢測(cè),數(shù)據(jù)收集和分析也會(huì)有所變化,這將改變NTA解決方案的頂層價(jià)值主張。
《與HanSight NTA一同探索網(wǎng)絡(luò)的真知灼見(jiàn)(中文版)》是由Gartner與瀚思科技合作發(fā)布的白皮書(shū),深入淺出地介紹了如何借助NTA實(shí)現(xiàn)快速的檢測(cè)、調(diào)查與整治,打贏高級(jí)威脅之戰(zhàn)。
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長(zhǎng)
- 比亞迪第五代DM技術(shù)問(wèn)世,首搭秦L/海豹06 DM-i,開(kāi)創(chuàng)油耗2時(shí)代!
- 小紅書(shū)沉帖降權(quán)怎么做,有效方法大盤(pán)點(diǎn)!
- 亞洲時(shí)刻京東送上電視好禮 以舊換新一體化服務(wù)讓低價(jià)更靠譜
- 互聯(lián)網(wǎng)營(yíng)銷(xiāo)師和全媒體運(yùn)營(yíng)師的區(qū)別?
- 聯(lián)想集團(tuán)車(chē)計(jì)算“超級(jí)大腦”概念機(jī)亮相
- 華策影視設(shè)立專(zhuān)項(xiàng)基金成立AIGC應(yīng)用研究院
- 三部委審批,聯(lián)合發(fā)布9個(gè)新職業(yè),“互聯(lián)網(wǎng)營(yíng)銷(xiāo)師”上榜
- 互聯(lián)網(wǎng)營(yíng)銷(xiāo)師的報(bào)考條件是什么?
- 互聯(lián)網(wǎng)營(yíng)銷(xiāo)師的適合人群有哪些?
- 互聯(lián)網(wǎng)營(yíng)銷(xiāo)師行業(yè)前景怎么樣?
免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。