1. 科技訊首頁
  2. 產(chǎn)經(jīng)

數(shù)世咨詢對話安全專家:全面剖析騰訊安全NDR技術(shù)實力與應(yīng)用實踐

陳晨 ? ? 產(chǎn)經(jīng)

近年來,受各類外部事件影響,全球局勢動蕩,網(wǎng)絡(luò)空間安全事件、APT攻擊事件頻發(fā),目前行業(yè)中在攻防領(lǐng)域存在幾個痛點:傳統(tǒng)網(wǎng)絡(luò)設(shè)備容易被繞過,無法發(fā)現(xiàn)新型的網(wǎng)絡(luò)攻擊(0day漏洞或者變種的nday、高級未知威脅攻

數(shù)世咨詢對話安全專家:全面剖析騰訊安全NDR技術(shù)實力與應(yīng)用實踐

近年來,受各類外部事件影響,全球局勢動蕩,網(wǎng)絡(luò)空間安全事件、APT攻擊事件頻發(fā),目前行業(yè)中在攻防領(lǐng)域存在幾個痛點:傳統(tǒng)網(wǎng)絡(luò)設(shè)備容易被繞過,無法發(fā)現(xiàn)新型的網(wǎng)絡(luò)攻擊(0day漏洞或者變種的nday、高級未知威脅攻擊等);缺乏東西向流量檢測發(fā)現(xiàn)內(nèi)網(wǎng)滲透攻擊行為的能力;強攻防對抗場景下,缺少實時處理海量數(shù)據(jù)并且快速切斷攻擊的能力來支撐事后調(diào)查取證,做到事件閉環(huán)等。

目前國內(nèi)NDR(網(wǎng)絡(luò)檢測與響應(yīng))仍處于初期階段,作為網(wǎng)安行業(yè)的新賽道,各家網(wǎng)安廠商紛紛在該領(lǐng)域做出技術(shù)、產(chǎn)品和業(yè)務(wù)布局,但伴隨著用戶業(yè)務(wù)場景的多樣化、復(fù)雜化,產(chǎn)品能力的更新迭代也在加速。

國際研究機構(gòu)Gartner®近年來一直跟蹤研究全球NDR廠商的產(chǎn)品進展,通過市場指南、增長洞察等報告為企業(yè)的選擇做參考。據(jù)了解,騰訊安全NDR(網(wǎng)絡(luò)威脅檢測與響應(yīng)系統(tǒng))已經(jīng)連續(xù)三年被Gartner®列為全球NDR市場代表供應(yīng)商。

近日,數(shù)世咨詢創(chuàng)始人李少鵬、綜合分析師劉宸宇、騰訊安全NDR研發(fā)負(fù)責(zé)人李晨東、高級產(chǎn)品經(jīng)理程碧淳等人圍繞NDR的技術(shù)路徑、能力價值、企業(yè)實踐應(yīng)用等展開了深入的探討。

對于NDR,Gartner最關(guān)注的是什么?

1、李少鵬:請問對于NDR廠商來說,Gartner比較看中哪些能力?騰訊安全連續(xù)三年被列為全球代表供應(yīng)商,請問Gartner看中了騰訊安全NDR哪些地方?

程碧淳:(一)NDR屬于一個比較新的賽道, Gartner在研報里也對NDR進行了定義,它不僅要求有適用規(guī)則的檢測手法,還有除規(guī)則以外(比如AI或者情報等)檢測手段。騰訊安全NDR不僅能夠識別南北向的流量,也能識別東西向的,在發(fā)現(xiàn)威脅的同時,及時做出響應(yīng)阻斷。在安全事件調(diào)查階段,能對海量安全告警做聚合關(guān)聯(lián)分析并取證。當(dāng)這些能力賦能于用戶時會發(fā)現(xiàn)NDR完全能夠吻合對市場的定義,滿足安全運營團隊需要的“檢測-響應(yīng)”、“調(diào)查-取證”核心用例,所以騰訊NDR就納入到了分析師的調(diào)研范圍里面。

(二)在檢測方面,我們應(yīng)用了AI算法+威脅情報+哈勃沙箱+規(guī)則引擎等等多層次的檢測方式,能夠發(fā)現(xiàn)多種新型威脅,其特點和傳統(tǒng)的防火墻、WAF的檢測規(guī)則有所不同,所以能夠發(fā)現(xiàn)一些以前設(shè)備沒有能夠發(fā)現(xiàn)的威脅,我們稱之為“未知威脅”。

(三)在閉環(huán)-響應(yīng)方面,基于我們內(nèi)部20多年的攻防經(jīng)驗,像騰訊“NDR天幕”能夠做到毫秒級的方式阻斷海量攻擊,阻斷成功率高達99.99%,多云、混合云的場景下滿足用戶的實際需求。另外,我們還有國內(nèi)領(lǐng)先的威脅情報庫,可以實時聯(lián)動,快速響應(yīng)最新漏洞和事件。

2、李少鵬:目前市場上有很多NDR廠商,剛才說到的沙箱其實也是一個很多年的技術(shù)了,市面上也有各種不同的沙箱,請問騰訊安全NDR比較特別的優(yōu)勢在哪里?

李晨東:沙箱是APT攻擊檢測中的一種有效手段,相較于一般傳統(tǒng)的特征匹配技術(shù),沙箱對未知的惡意程序攻擊具有較好的檢測能力,能解決特征匹配對新型攻擊的滯后性。具體來說,可以將實時流量引進沙箱,通過對沙箱的文件系統(tǒng)、進程、網(wǎng)絡(luò)行為、注冊表等進行監(jiān)控,監(jiān)測流量中是否包含了惡意代碼。

騰訊安全的哈勃沙箱有著十多年的技術(shù)沉淀。騰訊安全從最早C端安全發(fā)展至如今B端安全,已有20年多安全運營與黑灰產(chǎn)對抗經(jīng)驗,包括在反病毒領(lǐng)域也自研了很多年。

哈勃沙箱相比于市面上的沙箱優(yōu)勢比較明顯,我們有大量樣本積累去學(xué)習(xí)和分析,依靠沙箱中自研的動態(tài)分析模塊、靜態(tài)分析模塊以及穩(wěn)定高效的任務(wù)調(diào)度框架,使得沙箱的對抗能力、檢出能力、惡意發(fā)現(xiàn)能力、仿真能力等都逐步積累起來,實現(xiàn)自動化、智能化、可定制化的樣本分析以及高級未知威脅檢測?,F(xiàn)如今,作為國內(nèi)首家接入google virustotal的沙箱供應(yīng)商,沙箱內(nèi)部每日吞吐量已達到百萬、千萬級別樣本,持續(xù)為安全業(yè)務(wù)提供強有力的支持。

程碧淳除了沙箱之外,騰訊安全的云端能力也是一大優(yōu)勢,我們一直強調(diào)用云做好安全。云端的能力主要是體現(xiàn)在威脅情報和沙箱上,因為如果情報只是局限于本地的話,它的實時性、質(zhì)量和豐富度都是受限。我們的威脅情報,可以依托騰訊云算法算力平臺,對海量云端安全大數(shù)據(jù)進行持續(xù)挖掘,不斷迭代優(yōu)化。也就是說,我們可以通過云的能力,讓威脅情報又豐富又快又準(zhǔn)。

這些優(yōu)勢,除了Gartner比較認(rèn)可,在客戶實踐里大家也是比較認(rèn)可的點。

3、李少鵬:Gartner報告里有提到,像NDR已經(jīng)擴展到新的應(yīng)用場景,比如IaaS層,并預(yù)計到2027年會超過一半的NDR檢測會來自云環(huán)境,想問一下你們在NDR方面有沒有比較前瞻性或者突破性的東西,或者未來會朝什么方向發(fā)展?

程碧淳:我們認(rèn)為未來還是和騰訊云做強結(jié)合,先服務(wù)好我們自己云上的用戶,然后在技術(shù)層面上,更多地與云的底層去結(jié)合。舉個例子來說,當(dāng)其它傳統(tǒng)安全廠商的產(chǎn)品接入云的話,不一定能追溯到某個CVM的IP,但是騰訊安全NDR在云上接的話,我們通過解析底層網(wǎng)絡(luò)協(xié)議流量,能溯源到這個攻擊具體的CVM IP,還可以區(qū)分租戶流量的安全事件。同時要用好云上的能力,比如情報能力、大數(shù)據(jù)能力等等。

NDR實戰(zhàn)檢驗,響應(yīng)速度是核心

李少鵬:剛才提到騰訊安全NDR的一些能力和優(yōu)勢也是客戶比較認(rèn)可的點,能否分享一些實戰(zhàn)案例?

程碧淳:比如之前有個客戶,隨著業(yè)務(wù)的快速擴張,面向互聯(lián)網(wǎng)側(cè)開放的業(yè)務(wù)也逐步增多,這樣就導(dǎo)致用戶的互聯(lián)網(wǎng)暴露面也逐步加大。在重大攻防演練期間,整個集團的日均攻擊量1億+(主要針對集團的掃描、公眾號小程序、APP和網(wǎng)站),并且在某一天晚上,集團暴露在互聯(lián)網(wǎng)側(cè)的業(yè)務(wù),被攻擊隊找到漏洞,直接打進集團內(nèi)部。

對此,騰訊安全就幫助客戶建立了一個情報驅(qū)動、面向?qū)崙?zhàn)的重保/攻防演練防護體系。其中,我們的NDR表現(xiàn)優(yōu)異,上報了近500起攻擊事件,針對重保期間爆出的漏洞,騰訊安全NDR也做到了獨家告警,其他廠商沒有告警。

另外還有一個漏洞的故事,之前的Log4j漏洞,騰訊安全NDR響應(yīng)的事件基本上是比行業(yè)內(nèi)其他友商快一天到半天時間,這些對一些券商包括金融類客戶來說,他們是非常認(rèn)可的。因為漏洞響應(yīng)速度很快,所以我們也能聯(lián)動其他產(chǎn)品線,無論是本地化的也好,還是云端的云WAF、云防護、云主機等等,都達到同樣的漏洞響應(yīng)速度,然后給企業(yè)一個整體閉環(huán)的解決方案。所以,這也是騰訊安全的產(chǎn)品體系對于客戶來說比較大的價值,它不是單品上的好處,而是一體化的方案。

李少鵬:在Log4j漏洞剛剛發(fā)布,騰訊云就對Log4j漏洞進行了全面防范,騰訊安全NDR的響應(yīng)速度比其他廠商快一天到半天,想問下你們是如何做到的?

李晨東:首先,在整體安全響應(yīng)來看,騰訊內(nèi)部有一套比較完善的體系。我們會把漏洞分為不同級別,不同級別對應(yīng)不同響應(yīng)要求,比如我們的威脅情報云在大網(wǎng),云上、云下、云管端都會有持續(xù)的檢測,從威脅發(fā)現(xiàn)到實驗室分析屬性,再到騰訊內(nèi)部做回溯驗證,最后到產(chǎn)品側(cè)下發(fā),整體流程非常完善。對于整體響應(yīng)時間,如果是前場發(fā)現(xiàn)的0day,就會實現(xiàn)分鐘級解決,如果是云端發(fā)現(xiàn),就會是兩個小時左右,如果是嚴(yán)重0day,也會要求在兩個小時內(nèi)做出響應(yīng)。

補充一點,其實我們在客戶部署NDR的時候就會推薦客戶先做資產(chǎn)的梳理和識別,先了解它有哪些組件,如果這些組件后面曝出漏洞的話,我們就可以及時響應(yīng)給到客戶。在資產(chǎn)識別方面,運用到的是威脅情報的攻擊面管理服務(wù)。所以基于本地NDR被動的流量識別+云端主動的攻擊面管理識別,就能夠幫助更加高效地響應(yīng)漏洞。

實現(xiàn)高效安全運營,NDR需與其他產(chǎn)品深度結(jié)合

李少鵬:NDR和其他平臺的結(jié)合點是什么,比如NDR是怎么和日志SIEM結(jié)合,如何和EDR配合,有沒有接口方面的配合?或者如何通過和這兩個東西的配合進而證明我們的NDR比較好。

李晨東:我們基于產(chǎn)品線創(chuàng)建了SOC+體系,整體以云端情報數(shù)據(jù)為驅(qū)動,將NDR與SOC中的其他產(chǎn)品進行深度聯(lián)動。比如通過NDR采集的數(shù)據(jù),可以對接SIEM類的關(guān)聯(lián)分析以及像AI、UEBA的行為學(xué)習(xí),通過SOC會加深對這些數(shù)據(jù)的使用和理解,方便后續(xù)可以基于原始的數(shù)據(jù)去做更多的事情。

數(shù)世咨詢對話安全專家:全面剖析騰訊安全NDR技術(shù)實力與應(yīng)用實踐

騰訊安全SOC+能力圖譜

李少鵬:可以介紹下你們的SOC+體系嗎,其中“+”的含義是什么?

程碧淳:(一)從產(chǎn)品層面來說,我們現(xiàn)在是四個大的產(chǎn)品矩陣:SOC安全運營平臺、TIX威脅情報中心、NDR網(wǎng)絡(luò)威脅檢測與響應(yīng)、MDR安全運營服務(wù),這四部分共同組成能力矩陣。細分到每一個產(chǎn)線時,我們又會有不同的場景,然后生成不同分支。比如NDR包含“御界”“天幕”。

(二)從能力向來說,我們希望通過原子力、產(chǎn)品力、生態(tài)力,三大能力去體現(xiàn)我們的產(chǎn)品全景圖。原子力結(jié)合了二十多年攻防對抗經(jīng)驗,還有安全實驗室通過實戰(zhàn)化的演練去推進,具體體現(xiàn)在攻防對抗能力和威脅情報能力;產(chǎn)品力則是剛才介紹的四大矩陣;生態(tài)力體現(xiàn)在我們給到第三方去做集成,也將合作伙伴參與幫助我們?nèi)ネ晟普麄€生態(tài)和方案,最終給用戶更多的選擇。

“+”的含義是希望打造一個開放平臺,形成安全共贏的朋友圈,我們可以將核心能力開放給其他人使用,也希望各個企業(yè)間能夠一起協(xié)作。另外,通過我們較為全面的產(chǎn)品線,希望打造一個安全生命周期的閉環(huán)能力,實現(xiàn)預(yù)防、檢測發(fā)現(xiàn)、分析溯源、阻斷響應(yīng)、整改處置的完整鏈路,希望通過連接的效能去提升整體產(chǎn)品集群效應(yīng)。

李少鵬:現(xiàn)階段市場中和NDR相關(guān)的產(chǎn)品還有XDR、態(tài)勢感知、安全統(tǒng)一管理平臺、安全運營平臺、安全托管、MDR等等,大多都和NDR相關(guān),你們是如何看待NDR的市場需求及發(fā)展前景?

李晨東:(一)從行業(yè)市場來看,隨著數(shù)字化專項和業(yè)務(wù)復(fù)雜度提升,攻擊數(shù)量顯著上升,傳統(tǒng)的安全防護解決不了,需要NDR解決,構(gòu)建主動防御體系。

(二)從網(wǎng)絡(luò)安全市場看,NDR可以解決的是高級威脅、APT攻擊,目前整個安全行業(yè)已經(jīng)過了基礎(chǔ)安全建設(shè)的階段,慢慢轉(zhuǎn)向?qū)崙?zhàn)化、高級威脅攻防的階段,面向安全能力建設(shè)。

(三)從政策導(dǎo)向來看,國家對網(wǎng)絡(luò)安全重視度越來越高,國家/省市級重保演練越來越頻繁,同時監(jiān)管趨嚴(yán),傳統(tǒng)的基礎(chǔ)安全檢測無法滿足實戰(zhàn)攻防需求,都迫使企業(yè)考慮攻防實戰(zhàn)化的轉(zhuǎn)變。

(四)從適用范圍來看,NDR的適用范圍非常廣泛,無論是辦公網(wǎng),IDC,專有云,混合云,NDR都可以再不通場景滿足具體的安全訴求。業(yè)務(wù)部署快、對業(yè)務(wù)侵入性小,適合各種類型、規(guī)模的企業(yè)。

數(shù)世點評

目前整個安全行業(yè)已經(jīng)過了基礎(chǔ)安全建設(shè)的階段,慢慢轉(zhuǎn)向?qū)崙?zhàn)化、高級威脅攻防的階段。面對高級威脅,傳統(tǒng)流量分析產(chǎn)品能夠充分利用“流量不說謊”的特性發(fā)現(xiàn)威脅,但仍需補全“響應(yīng)”短板,形成兼具檢測與響應(yīng)的NDR能力。

與此同時,NDR的核心能力仍然在于“分析”。無論是基于海量數(shù)據(jù)提煉出的威脅情報,亦或是基于終端沙箱的樣本檢測,以及引入可擴展的AI/ML的算法與算力,都能夠迅速提升NDR的分析能力,進而提升威脅檢測與響應(yīng)的準(zhǔn)確率與時效性。

數(shù)世咨詢會持續(xù)關(guān)注NDR這一細分領(lǐng)域的發(fā)展趨勢。

(本內(nèi)容屬于網(wǎng)絡(luò)轉(zhuǎn)載,文中涉及圖片等內(nèi)容如有侵權(quán),請聯(lián)系編輯刪除。市場有風(fēng)險,選擇需謹(jǐn)慎!此文僅供參考,不作買賣及投資依據(jù)。)

原創(chuàng)文章,作者:陳晨,如若轉(zhuǎn)載,請注明出處:http://m.2079x.cn/article/570783.html

陳晨陳晨管理團隊

相關(guān)推薦