立德立言,无问西东——拥有美好的德行和与人有益的言辞,才有环顾四周、舍我其谁的青春豪气和资本。在网络安全领域,谁能将南北(流量)、东西(流量)“参透”,谁才能拥有横刀立马的底气和勇气,从容对战高级威胁。
————瀚思科技周奕
NTA=高级威胁解决之道
网络流量分析(NTA)的概念是Gartner于2013年首次提出的,位列五种检测高级威胁的手段之一。它融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用以检测企业网络中的可疑行为,尤其是失陷后的痕迹。Gartner强调,NTA是一种功能或能力,而非纯粹的产品。
目前,市场上大多数NTA产品的分析对象是东西流量,因为解决北南流量问题的产品已经有很多,包括IDS、WAF、防火墙等。但是有一个现象值得引起注意,即在今年遍及全国的实战攻防对抗中,NTA产品成了企业用户最关注且需求最迫切的安全产品之一。究其原因,很多用户虽然部署了各种南北向的设备,但是仍然希望通过NTA再次检验或者印证一下南北流量防护的有效性。
传统的“预防加检测”逐渐失效,“持续检测与响应”才能应对今天不断变化的威胁局面。Gartner的最新报告指出:NTA解决方案正在逐步演变为通过采集网络分析以外的更多数据,实现更大范围的威胁检测。
从2013年NTA概念诞生,到2016年NTA开始在中国萌芽,再到近期广泛关注,虽然人们对NTA的熟悉程度逐渐加深,但NTA并非是一个高度标准化的市场,不同的厂商对NTA的理解不同、设计和开发NTA产品的切入点也不同,导致了在应用层面的差异,甚至是误解。
基于此,瀚思科技近期将与Gartner联合发布权威白皮书《与HanSight NTA一同探索网络的真知灼见》,为实现NTA的场景化应用指点迷津。
NTA为何如此重要?
《与HanSight NTA一同探索网络的真知灼见》白皮书中提到NTA融合了多种安全分析技术,可以针对各种不同的应用场景。最初,一些大数据厂商的解决方案中都包含一个NTA功能模块,用于检测网络流量异常。如今,市场上既有单独销售的NTA产品,也有与厂商大数据安全平台整合在一起的NTA。瀚思科技就属于后一类,它提供All-in-One的NTA产品,集所有流量检测技术于一身。
可以将NTA比作瀚思全场景安全平台的“传感器”,它为其后的分析提供了高质量的数据来源。HanSight NTA综合了多种分析技术来检测企业网络上的可疑活动,易于部署,能够指导调查与响应,还实现了与现有SOC(安全运营中心)平台的整合。对于众多安全团队而言,HanSight NTA是一款非常具有吸引力的工具。
瀚思科技全场景安全平台
NTA为何如此重要?所有检测和响应技术面临的一个重大挑战就是数据源的质量。当SIEM或其他检测与响应解决方案从第三方收集日志和事件信息时,所收集数据的质量是无法预测和控制的。通过监控网络流量和获取用于安全分析的正确遥测数据,NTA检测能够成为现有网络安全解决方案检测结果的补充。HanSight NTA解码网络流量,解析到NetFlow(网络流)和各种应用日志格式中,并保存到大数据平台。
HanSight NTA是瀚思全场景安全平台不可缺少的模块,可以帮助客户检测和识别高级威胁,进行威胁调查和事件响应的取证,从而缩短总体的事件响应时间。HanSight NTA与瀚思的企业级SIEM/UEBA相结合,能够关联更多数据源,提供识别更多威胁模式的分析方法,并通过瀚思的企业级SIEM安全事件管理平台进行事件管理。
NTA是一个发展非常快速的新的安全产品品类,但市场和应用远未成熟。通过广泛的调研,瀚思希望通过与Gartner合作能进一步明确一个真正的NTA到底应该具备哪些基本的能力,以及NTA如何在具体的业务场景中落地。
对于企业客户的安全检测和运营来说,NTA是不可或缺的,是客户在采购和部署安全整体套件时必须重点考虑的部分。NTA可以和企业的大数据安全平台进行有效整合。不可否认,对于NTA的能力和使用,许多企业还在这样或那样的认识误区。瀚思科技与Gartner联合推出此白皮书,也是想正确、清晰地向企业客户传递NTA的功能和价值。
NTA未来会走向哪里?
在攻防对抗中,以银行为代表的众多行业客户非常看重安全产品的检测能力,这也是NTA受到关注的一个重要原因。对于大多数企业用户来说,NTA是一个普遍适用的安全产品。NTA与IDS、WAF等产品从功能上看既有交叉,又有区别。用户其实并不会太介意产品之间的“模糊性”,只要是对于提升安全性有实质帮助的产品,用户都有兴趣尝试。
实际上,有效的网络安全分析并不是只应用一种技术。Gartner认为,为保持超前于高级威胁的发展,网络检测、响应和取证解决方案必须要综合多种方法,也就是说,要综合运用多重检测技术,以场景为导向,用不同的技术有针对性地解决不同的问题。现代网络流量分析法的基础建立在将网络流量正确解析成多种格式,利用基于安全用例的跨时代分析技术,保存正确的数据,从而实现完整的取证调查。同时,将全球威胁情报作为补充,洞悉恶意活动,并将可疑行为匹配到确认的威胁,从而提高检测结果的保真度。
NTA厂商的一个角力点是如何提高威胁检测的广度。Gartner指出,聚焦“客户价值”的理念将区分出各厂商的竞争定位。NTA解决方案通过获取网络分析以外的更多数据,可以实现更大范围的威胁检测。各厂商的NTA解决方案在广度、地点和类型上存在差异,而且收集更多威胁数据的方法也不同。像机器学习这样的数据科学技术正成为NTA厂商突出重围的关键点。从NTA自身的能力来看,它必须具备上下文信息的分析能力。为实现在网络分析之外更广更强的威胁检测,数据收集和分析也会有所变化,这将改变NTA解决方案的顶层价值主张。
《与HanSight NTA一同探索网络的真知灼见(中文版)》是由Gartner与瀚思科技合作发布的白皮书,深入浅出地介绍了如何借助NTA实现快速的检测、调查与整治,打赢高级威胁之战。
