信息化觀察網(wǎng)

去年，Gartner發(fā)布了網(wǎng)絡(luò)檢測和響應(yīng)（NDR）市場指南，指出將機(jī)器學(xué)習(xí)等分析技術(shù)應(yīng)用于網(wǎng)絡(luò)流量的NDR技術(shù)能夠幫助企業(yè)檢測其他安全工具檢測不到的安全威脅，手動和自動響應(yīng)功能是這個進(jìn)入門檻較低的市場的競爭焦點。

NDR以前被稱為網(wǎng)絡(luò)流量分析，它不僅在幫助網(wǎng)絡(luò)安全團(tuán)隊識別威脅方面發(fā)揮了重要作用，而且還使這些團(tuán)隊能夠應(yīng)對/響應(yīng)威脅。

從“網(wǎng)絡(luò)流量分析”到NDR的名稱變化意味著：

網(wǎng)絡(luò)數(shù)據(jù)在阻止威脅方面變得越來越重要，同時也是多層安全態(tài)勢和縱深防御的關(guān)鍵組成部分。

對于企業(yè)的安全團(tuán)隊來說，在2021年余下的時間中，NDR對網(wǎng)絡(luò)安全的未來意味著什么？

網(wǎng)絡(luò)犯罪分子的頭號目標(biāo)依然是人員

隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)安全專業(yè)人員開發(fā)出了更復(fù)雜的技術(shù)來阻止攻擊，但事實仍然是：人員仍然是一個大問題，甚至可以說，人員仍然是最大的問題。

根據(jù)Fortinet最近發(fā)表的報告《FortiGuard實驗室全球威脅態(tài)勢報告》，社會工程和網(wǎng)絡(luò)釣魚仍是發(fā)動攻擊的主要手段。無數(shù)調(diào)查表明，針對性的即時攻擊依然是利用“人的漏洞”的非常有效的方法，網(wǎng)絡(luò)犯罪分子能夠輕松利用人員漏洞來以較低的成本和技術(shù)門檻來獲取更大的利益。

后新冠時代，由于遠(yuǎn)程工作的人數(shù)有所增加（并且大部分時間處于歷史最高水平），企業(yè)需要為隨時可能的遠(yuǎn)程辦公做好IT準(zhǔn)備，因此人員和IT系統(tǒng)的漏洞和攻擊面也在不斷擴(kuò)大。2020年的多項安全調(diào)查都驗證了這一點，網(wǎng)絡(luò)犯罪和數(shù)據(jù)泄漏激增并創(chuàng)下歷史新高。

自適應(yīng)安全：來自業(yè)務(wù)端的重大安全變革

NDR的網(wǎng)絡(luò)安全變革的“推手”不是安全廠商而是企業(yè)用戶。根據(jù)《福布斯》的報告，由于網(wǎng)絡(luò)流量分析已轉(zhuǎn)向NDR（很大程度上是由于機(jī)器學(xué)習(xí)的改進(jìn)），因此很多企業(yè)已經(jīng)開始醞釀和規(guī)劃網(wǎng)絡(luò)安全的重大變革。

《福布斯》的調(diào)查顯示，有96％的企業(yè)高管計劃調(diào)整其網(wǎng)絡(luò)安全策略，55％的企業(yè)高管計劃增加網(wǎng)絡(luò)安全預(yù)算。幾乎所有企業(yè)面臨的最大的挑戰(zhàn)是：新的安全策略將越來越依賴“自動、自適應(yīng)的網(wǎng)絡(luò)安全”。

根據(jù)451 Research的企業(yè)自適應(yīng)安全ADE指數(shù)，到2022年，在客戶體驗、自動化、創(chuàng)新生態(tài)和數(shù)字商業(yè)等諸多高優(yōu)先級的IT投資中，自適應(yīng)網(wǎng)絡(luò)安全將引領(lǐng)并成為企業(yè)IT投資的重中之重（下圖）。

而NDR正是構(gòu)建自適應(yīng)安全的基礎(chǔ)：獲取網(wǎng)絡(luò)流量元數(shù)據(jù)，并使用機(jī)器學(xué)習(xí)和/或人工智能快速識別威脅并自動做出響應(yīng)。這是個好消息，因為困擾網(wǎng)絡(luò)安全的人員問題，不僅僅存在于檢測環(huán)節(jié)，還存在于響應(yīng)環(huán)節(jié)，也就是網(wǎng)絡(luò)攻擊發(fā)生后的應(yīng)對效率。

突破人員瓶頸

在一個給定的網(wǎng)絡(luò)安全平臺中，隨著誤報次數(shù)的增加，查看這些警報的安全運營人員將忽略或錯過真實威脅的可能性也會增加。這只是一個簡單的數(shù)學(xué)問題，因為人類大量攝取數(shù)據(jù)必然會增加過勞幾率，隨后噪音會接管一切，誤報和漏報率同時上升。

為了解決此問題，網(wǎng)絡(luò)和安全團(tuán)隊需要一個系統(tǒng)為他們提供最少的警報，并提供上下文以幫助了解威脅的性質(zhì)和嚴(yán)重性。

對于SIEM（安全信息和事件管理）這樣的日志聚合系統(tǒng)而言，以上問題尤為突出，因為日志數(shù)據(jù)雖然提供了真實的信息，但是卻無法解讀其含義。通常，人們需要深入研究其他系統(tǒng)才能找到答案。這加劇了該問題，因為IT團(tuán)隊的正常工作時間有限，深入挖掘多個系統(tǒng)來發(fā)現(xiàn)問題可能會給團(tuán)隊增加工作負(fù)擔(dān)，同時也增加了工作的盲目性。

一個可行的方法或者說趨勢是，企業(yè)的網(wǎng)絡(luò)和安全團(tuán)隊?wèi)?yīng)該緊密集成，在同一個（NDR）系統(tǒng)中共享有價值的網(wǎng)絡(luò)數(shù)據(jù)，該系統(tǒng)不僅誤報更少（大多數(shù)NDR供應(yīng)商會說他們可以做到這一點），而且還可以對攻擊進(jìn)行上下文洞察。NDR還可啟用自動響應(yīng)，但是安全和網(wǎng)絡(luò)專業(yè)人員可能需要一些時間才能讓機(jī)器學(xué)習(xí)算法確定何時進(jìn)行網(wǎng)絡(luò)更改或隔離網(wǎng)絡(luò)上的設(shè)備。

在智能化之前，NDR系統(tǒng)將首先提供一個自動化平臺，緩解人類面臨的挑戰(zhàn)：更快速、更準(zhǔn)確、更有效地檢測和響應(yīng)網(wǎng)絡(luò)威脅。

2021年將成為NDR元年，這意味著未來人員問題將不再是網(wǎng)絡(luò)安全的瓶頸。