去年，Gartner發(fā)布了網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)市場(chǎng)指南，指出將機(jī)器學(xué)習(xí)等分析技術(shù)應(yīng)用于網(wǎng)絡(luò)流量的NDR技術(shù)能夠幫助企業(yè)檢測(cè)其他安全工具檢測(cè)不到的安全威脅，手動(dòng)和自動(dòng)響應(yīng)功能是這個(gè)進(jìn)入門檻較低的市場(chǎng)的競(jìng)爭(zhēng)焦點(diǎn)。

[[392444]]

NDR以前被稱為網(wǎng)絡(luò)流量分析，它不僅在幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)識(shí)別威脅方面發(fā)揮了重要作用，而且還使這些團(tuán)隊(duì)能夠應(yīng)對(duì)/響應(yīng)威脅。

從“網(wǎng)絡(luò)流量分析”到NDR的名稱變化意味著：網(wǎng)絡(luò)數(shù)據(jù)在阻止威脅方面變得越來(lái)越重要，同時(shí)也是多層安全態(tài)勢(shì)和縱深防御的關(guān)鍵組成部分。

對(duì)于企業(yè)的安全團(tuán)隊(duì)來(lái)說(shuō)，在2021年余下的時(shí)間中，NDR對(duì)網(wǎng)絡(luò)安全的未來(lái)意味著什么?

網(wǎng)絡(luò)犯罪分子的頭號(hào)目標(biāo)依然是人員

隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)安全專業(yè)人員開(kāi)發(fā)出了更復(fù)雜的技術(shù)來(lái)阻止攻擊，但事實(shí)仍然是：人員仍然是一個(gè)大問(wèn)題，甚至可以說(shuō)，人員仍然是最大的問(wèn)題。

根據(jù)Fortinet最近發(fā)表的報(bào)告《FortiGuard實(shí)驗(yàn)室全球威脅態(tài)勢(shì)報(bào)告》，社會(huì)工程和網(wǎng)絡(luò)釣魚仍是發(fā)動(dòng)攻擊的主要手段。無(wú)數(shù)調(diào)查表明，針對(duì)性的即時(shí)攻擊依然是利用“人的漏洞”的非常有效的方法，網(wǎng)絡(luò)犯罪分子能夠輕松利用人員漏洞來(lái)以較低的成本和技術(shù)門檻來(lái)獲取更大的利益。

后新冠時(shí)代，由于遠(yuǎn)程工作的人數(shù)有所增加(并且大部分時(shí)間處于歷史最高水平)，企業(yè)需要為隨時(shí)可能的遠(yuǎn)程辦公做好IT準(zhǔn)備，因此人員和IT系統(tǒng)的漏洞和攻擊面也在不斷擴(kuò)大。2020年的多項(xiàng)安全調(diào)查都驗(yàn)證了這一點(diǎn)，網(wǎng)絡(luò)犯罪和數(shù)據(jù)泄漏激增并創(chuàng)下歷史新高。

自適應(yīng)安全：來(lái)自業(yè)務(wù)端的重大安全變革

NDR的網(wǎng)絡(luò)安全變革的“推手”不是安全廠商而是企業(yè)用戶。根據(jù)《福布斯》的報(bào)告，由于網(wǎng)絡(luò)流量分析已轉(zhuǎn)向NDR(很大程度上是由于機(jī)器學(xué)習(xí)的改進(jìn))，因此很多企業(yè)已經(jīng)開(kāi)始醞釀和規(guī)劃網(wǎng)絡(luò)安全的重大變革。

《福布斯》的調(diào)查顯示，有96%的企業(yè)高管計(jì)劃調(diào)整其網(wǎng)絡(luò)安全策略，55%的企業(yè)高管計(jì)劃增加網(wǎng)絡(luò)安全預(yù)算。幾乎所有企業(yè)面臨的最大的挑戰(zhàn)是：新的安全策略將越來(lái)越依賴“自動(dòng)、自適應(yīng)的網(wǎng)絡(luò)安全”。

根據(jù)451 Research的企業(yè)自適應(yīng)安全ADE指數(shù)，到2022年，在客戶體驗(yàn)、自動(dòng)化、創(chuàng)新生態(tài)和數(shù)字商業(yè)等諸多高優(yōu)先級(jí)的IT投資中，自適應(yīng)網(wǎng)絡(luò)安全將引領(lǐng)并成為企業(yè)IT投資的重中之重(下圖)。

而NDR正是構(gòu)建自適應(yīng)安全的基礎(chǔ)：獲取網(wǎng)絡(luò)流量元數(shù)據(jù)，并使用機(jī)器學(xué)習(xí)和/或人工智能快速識(shí)別威脅并自動(dòng)做出響應(yīng)。這是個(gè)好消息，因?yàn)槔_網(wǎng)絡(luò)安全的人員問(wèn)題，不僅僅存在于檢測(cè)環(huán)節(jié)，還存在于響應(yīng)環(huán)節(jié)，也就是網(wǎng)絡(luò)攻擊發(fā)生后的應(yīng)對(duì)效率。

突破人員瓶頸

在一個(gè)給定的網(wǎng)絡(luò)安全平臺(tái)中，隨著誤報(bào)次數(shù)的增加，查看這些警報(bào)的安全運(yùn)營(yíng)人員將忽略或錯(cuò)過(guò)真實(shí)威脅的可能性也會(huì)增加。這只是一個(gè)簡(jiǎn)單的數(shù)學(xué)問(wèn)題，因?yàn)槿祟惔罅繑z取數(shù)據(jù)必然會(huì)增加過(guò)勞幾率，隨后噪音會(huì)接管一切，誤報(bào)和漏報(bào)率同時(shí)上升。

為了解決此問(wèn)題，網(wǎng)絡(luò)和安全團(tuán)隊(duì)需要一個(gè)系統(tǒng)為他們提供最少的警報(bào)，并提供上下文以幫助了解威脅的性質(zhì)和嚴(yán)重性。

對(duì)于SIEM(安全信息和事件管理)這樣的日志聚合系統(tǒng)而言，以上問(wèn)題尤為突出，因?yàn)槿罩緮?shù)據(jù)雖然提供了真實(shí)的信息，但是卻無(wú)法解讀其含義。通常，人們需要深入研究其他系統(tǒng)才能找到答案。這加劇了該問(wèn)題，因?yàn)镮T團(tuán)隊(duì)的正常工作時(shí)間有限，深入挖掘多個(gè)系統(tǒng)來(lái)發(fā)現(xiàn)問(wèn)題可能會(huì)給團(tuán)隊(duì)增加工作負(fù)擔(dān)，同時(shí)也增加了工作的盲目性。

一個(gè)可行的方法或者說(shuō)趨勢(shì)是，企業(yè)的網(wǎng)絡(luò)和安全團(tuán)隊(duì)?wèi)?yīng)該緊密集成，在同一個(gè)(NDR)系統(tǒng)中共享有價(jià)值的網(wǎng)絡(luò)數(shù)據(jù)，該系統(tǒng)不僅誤報(bào)更少(大多數(shù)NDR供應(yīng)商會(huì)說(shuō)他們可以做到這一點(diǎn))，而且還可以對(duì)攻擊進(jìn)行上下文洞察。NDR還可啟用自動(dòng)響應(yīng)，但是安全和網(wǎng)絡(luò)專業(yè)人員可能需要一些時(shí)間才能讓機(jī)器學(xué)習(xí)算法確定何時(shí)進(jìn)行網(wǎng)絡(luò)更改或隔離網(wǎng)絡(luò)上的設(shè)備。

在智能化之前，NDR系統(tǒng)將首先提供一個(gè)自動(dòng)化平臺(tái)，緩解人類面臨的挑戰(zhàn)：更快速、更準(zhǔn)確、更有效地檢測(cè)和響應(yīng)網(wǎng)絡(luò)威脅。

2021年將成為NDR元年，這意味著未來(lái)人員問(wèn)題將不再是網(wǎng)絡(luò)安全的瓶頸。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文