立德立言,无问西东——拥有美好的德行和与人有益的言辞,才有环顾四周、舍我其谁的青春豪气和资本。在网络安全领域,谁能将南北(流量)、东西(流量)“参透”,谁才能拥有横刀立马的底气和勇气,从容对战高级威胁。
————瀚思科技周奕
NTA=高级威胁解决之道
网络流量分析(NTA)的概念是Gartner于2013年首次提出的,位列五种检测高级威胁的手段之一。它融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用以检测企业网络中的可疑行为,尤其是失陷后的痕迹。Gartner强调,NTA是一种功能或能力,而非纯粹的产品。
目前,市场上大多数NTA产品的分析对象是东西流量,因为解决北南流量问题的产品已经有很多,包括IDS、WAF、防火墙等。但是有一个现象值得引起注意,即在今年遍及全国的实战攻防对抗中,NTA产品成了企业用户最关注且需求最迫切的安全产品之一。究其原因,很多用户虽然部署了各种南北向的设备,但是仍然希望通过NTA再次检验或者印证一下南北流量防护的有效性。
传统的“预防加检测”逐渐失效,“持续检测与响应”才能应对今天不断变化的威胁局面。Gartner的最新报告指出:NTA解决方案正在逐步演变为通过采集网络分析以外的更多数据,实现更大范围的威胁检测。
从2013年NTA概念诞生,到2016年NTA开始在中国萌芽,再到近期广泛关注,虽然人们对NTA的熟悉程度逐渐加深,但NTA并非是一个高度标准化的市场,不同的厂商对NTA的理解不同、设计和开发NTA产品的切入点也不同,导致了在应用层面的差异,甚至是误解。
基于此,瀚思科技近期将与Gartner联合发布权威白皮书《与HanSight NTA一同探索网络的真知灼见》,为实现NTA的场景化应用指点迷津。
NTA为何如此重要?
《与HanSight NTA一同探索网络的真知灼见》白皮书中提到NTA融合了多种安全分析技术,可以针对各种不同的应用场景。最初,一些大数据厂商的解决方案中都包含一个NTA功能模块,用于检测网络流量异常。如今,市场上既有单独销售的NTA产品,也有与厂商大数据安全平台整合在一起的NTA。瀚思科技就属于后一类,它提供All-in-One的NTA产品,集所有流量检测技术于一身。
可以将NTA比作瀚思全场景安全平台的“传感器”,它为其后的分析提供了高质量的数据来源。HanSight NTA综合了多种分析技术来检测企业网络上的可疑活动,易于部署,能够指导调查与响应,还实现了与现有SOC(安全运营中心)平台的整合。对于众多安全团队而言,HanSight NTA是一款非常具有吸引力的工具。
瀚思科技全场景安全平台
NTA为何如此重要?所有检测和响应技术面临的一个重大挑战就是数据源的质量。当SIEM或其他检测与响应解决方案从第三方收集日志和事件信息时,所收集数据的质量是无法预测和控制的。通过监控网络流量和获取用于安全分析的正确遥测数据,NTA检测能够成为现有网络安全解决方案检测结果的补充。HanSight NTA解码网络流量,解析到NetFlow(网络流)和各种应用日志格式中,并保存到大数据平台。
HanSight NTA是瀚思全场景安全平台不可缺少的模块,可以帮助客户检测和识别高级威胁,进行威胁调查和事件响应的取证,从而缩短总体的事件响应时间。HanSight NTA与瀚思的企业级SIEM/UEBA相结合,能够关联更多数据源,提供识别更多威胁模式的分析方法,并通过瀚思的企业级SIEM安全事件管理平台进行事件管理。
NTA是一个发展非常快速的新的安全产品品类,但市场和应用远未成熟。通过广泛的调研,瀚思希望通过与Gartner合作能进一步明确一个真正的NTA到底应该具备哪些基本的能力,以及NTA如何在具体的业务场景中落地。
对于企业客户的安全检测和运营来说,NTA是不可或缺的,是客户在采购和部署安全整体套件时必须重点考虑的部分。NTA可以和企业的大数据安全平台进行有效整合。不可否认,对于NTA的能力和使用,许多企业还在这样或那样的认识误区。瀚思科技与Gartner联合推出此白皮书,也是想正确、清晰地向企业客户传递NTA的功能和价值。
NTA未来会走向哪里?
在攻防对抗中,以银行为代表的众多行业客户非常看重安全产品的检测能力,这也是NTA受到关注的一个重要原因。对于大多数企业用户来说,NTA是一个普遍适用的安全产品。NTA与IDS、WAF等产品从功能上看既有交叉,又有区别。用户其实并不会太介意产品之间的“模糊性”,只要是对于提升安全性有实质帮助的产品,用户都有兴趣尝试。
实际上,有效的网络安全分析并不是只应用一种技术。Gartner认为,为保持超前于高级威胁的发展,网络检测、响应和取证解决方案必须要综合多种方法,也就是说,要综合运用多重检测技术,以场景为导向,用不同的技术有针对性地解决不同的问题。现代网络流量分析法的基础建立在将网络流量正确解析成多种格式,利用基于安全用例的跨时代分析技术,保存正确的数据,从而实现完整的取证调查。同时,将全球威胁情报作为补充,洞悉恶意活动,并将可疑行为匹配到确认的威胁,从而提高检测结果的保真度。
NTA厂商的一个角力点是如何提高威胁检测的广度。Gartner指出,聚焦“客户价值”的理念将区分出各厂商的竞争定位。NTA解决方案通过获取网络分析以外的更多数据,可以实现更大范围的威胁检测。各厂商的NTA解决方案在广度、地点和类型上存在差异,而且收集更多威胁数据的方法也不同。像机器学习这样的数据科学技术正成为NTA厂商突出重围的关键点。从NTA自身的能力来看,它必须具备上下文信息的分析能力。为实现在网络分析之外更广更强的威胁检测,数据收集和分析也会有所变化,这将改变NTA解决方案的顶层价值主张。
《与HanSight NTA一同探索网络的真知灼见(中文版)》是由Gartner与瀚思科技合作发布的白皮书,深入浅出地介绍了如何借助NTA实现快速的检测、调查与整治,打赢高级威胁之战。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。
