微步在线TDP:拯救被IDS折磨的安全人员

农业文明时代,当生产力提高,粮食可以养活更多人之后,就有一部分人可以不去种地,去研究其他事物,于是后来就有了手工业,社会得以发展。

当一个安全人员,每天被一些琐碎的、低效的事务牢牢绑定,没有时间和精力研究安全问题的时候,这也是明显不合理的,NDR(Network Detection and Response)技术作为一种能解放安全人员的方案,正在成为许多企业安全架构中的必选项。

一位被IDPS折磨的安全人员

小明是公司的安全人员,他那屡屡失守的发际线和永不退色的黑眼圈,使得这位二十多岁的年轻人比同龄人多了几分沧桑。

每天,从上班那一刻起,小明就要马上查看一下企业网络的安全状况,比如主机是否被黑,如果有状况则会马上开始大面积排查并处置,或断网,或重做系统,做完以后还得想想怎么甩锅。如果完成了应急,小明还需要做溯源,弄清楚到底是哪里出了问题再去解决。

除了解决问题,小明还需要关注网络中的隐患。比如杀毒软件的特征库有没有及时更新,机器的系统漏洞有没有及时打补丁,等等。作为安全人员,小明需要用到IDPS(入侵检测和防御系统)方案,IDS(入侵检测系统)负责发现问题,IPS(入侵防御系统)负责解决问题,IDS主要针对已发生的攻击事件或异常行为进行处理,它可以提醒小明进行防范和应对。

但问题是,IDS每天会产生数以万计的报警信息,小明即使996也看不完。最令他崩溃的是,这些信息不仅数量多,准确性还低,还经常误报、漏报,真实威胁经常看不见。小明最终选择不看IDS,于是IPS也一样变成了摆设。

小明也听说,很多人都不打算用IDPS了,现在流行的是NDR(网络威胁检测与响应),同行也说:

NDR不仅能发现已知的安全威胁,还能通过机器学习模型发现新的安全威胁,更重要的是,它对威胁的认知更深入,能大大降低误报、漏报的概率。同时,它还能对安全问题进行处置,很多人都认为NDR将取代IDPS。

描述很美好,小明决定自己也试试NDR,在这之前,他对NDR进行了一番研究。

被企业用户认可,NDR发展正当时

2020年,Gartner发布《Market Guide for Network Detection and Response》(《NDR市场指南》)报告,而在2019年,这个市场指南还叫做《NTA市场指南》。NDR主要是利用机器学习等分析技术来检测网络可疑流量的技术,持续分析流量数据来构建模型,当检测到可疑流量模式后就报警。从NTA切换到NDR,体现出的是从“分析”到“检测与响应”的变化,市场的需求更趋向于实战。

国际上有许多NDR厂商,在中国,微步在线是较早开始涉足NDR领域的安全厂商,包括奇安信、深信服、安恒信息以及中睿、东巽、安赛也在做NDR。微步在线的产品NDR产品叫做TDP(威胁感知平台),微步在线TDP业务线负责人赵林林表示,NDR与以往的NTA的一个非常大不同点就在于响应(Response-R)方面。

在他看来,响应不该只是阻断、联防联动这些处置操作,还应知道更多背后信息,比如,究竟感染了多少台机器,如何评估其影响和危害,如何对威胁进行定位和溯源等等,企业在被攻击后,应该积累针对性的应对措施。

赵林林认为,NDR对于企业的安全建设非常重要,它是企业安全非常关键的基础设施,既是拴在屋子里防盗的铃铛,也是照亮屋子的灯,能让企业看清楚到底发生了什么。

有媒体认为,2021年将成为NDR元年。Gartner在市场研究报告(《Emerging Technologies: Adoption Growth Insights for Network Detection and Response》)中指出,“尽管疫情大流行造成了影响,但NDR仍然是一个快速增长的市场。

微步在线的市场发展也验证了这一点,赵林林表示,目前TDP是微步在线的主打产品,TDP的付费客户已经有200多家。

微步在线的NDR方法论:抓得准,看得见,搞得定

众所周知,微步在线的长处是威胁情报,所以,微步在线用情报驱动NDR看似剑走偏锋,实则成效显著。

在网络安全领域,黑客们共享自己的攻击方法、工具、漏洞,而作为防御者则经常处于各自为战的状态,威胁情报能够扭转防御者的局势,化被动为主动。微步在线运营着亚洲最大的情报共享社区,拥有完整的情报生产和流转机制,拥有能秒级更新的一手情报,能做到一点发现,全网共享,多点联防,而这一优势在TDP产品中得到了体现。

最直接的体现就是威胁检测的准确率奇高。准确率对于NDR检测报警环节非常重要。无法准确检测,就无法正确响应。微步在线的TDP结合威胁情报、特征分析、人工智能技术,精准发现问题,避免真实报警被误报淹没的困境,聚焦于真实的威胁。因此微步在线TDP的监测准确率远高于业内普遍水平,其误报率只有0.03%~0.05%,而业内误报率能达到3%~5%的也凤毛麟角。

开启统揽全局的上帝视角。微步在线的TDP看重NDR在资产检测方面的价值,它可以帮企业解决流量层面能解决的所有问题,能通过分析协议来识别不同的资产,从而实现被动资产发现,能照顾到企业所有的资产,开启上帝视角。

更自动化的处置闭环。NDR的R作为响应环节,就是要避免此前NTA技术的“管杀不管埋”的问题,对发现的问题进行处置。当攻击自动化程度越来越高时,防御者自然也希望能自动化的处理,手工防御效率低成本高,而自动化的处置闭环也显得非常有必要。微步在线的TDP可根据根据情报、攻击判定,自动阻断后续攻击,还可以联动第三方安全设备,打通处置流程。与TDP Agent配合,还可以自动化定位恶意程序和执行过程。

更丰富的检测能力。赵林林认为NDR可以做的有很多,他认为检测既要有漏洞检测,也要有规则检测,还要有情报检测,还可以不断加入新的算法模型增加检测维度,从而检测出更多信息,比如,可以分辨是内部攻击还是外部攻击,是什么导致的报警等等。微步在线的TDP构建了云+端+流量全面检测能力,不再依赖单视角检测,能让Webshell、反弹后门等高级威胁无处遁形。

此外,在微步在线的产品矩阵中,流量和终端可以协同检测分析和响应。OneEDR是微步在线推出的主机威胁检测与响应平台,在TDP和OneEDR配合中,TDP只能做流量分析,而有了OneEDR之后,微步在线可以端和流量的信息结合起来做分析,增加新的维度后能更准确地判断主机的安全状态,这种提升对于TDP和OneEDR都非常重要。

有了微步在线TDP后的新生活

转变发生的有点快,如今,做为微步在线TDP用户,小明的生活发生了翻天覆地的变化,光是外形看起来就年轻了好几岁。

作为国内市场上比较成熟的NDR解决方案,微步在线的TDP真正做到了有问题才报警,没有问题就不报警,正是这看似简单的一点,将小明从IDPS浩如烟海的报警中走了出来,光凭这一点,小明就少了很多无意义的加班。

发现问题后,自然就能进行处理了,微步在线的TDP能对许多安全威胁进行自动化的处置,自动拯救失陷的主机,大大提高了工作效率。

但这还远没有结束,在解决问题之余,TDP还能帮助小明对安全问题进行溯源,查清楚问题的来龙去脉,偶尔还能发现更隐蔽的攻击和潜伏的安全威胁,知其然,知其所以然,对安全的认知也在逐步提升。

作为一款成熟的NDR方案解决方案,微步在线的TDP还能帮助小明清楚地看见公司内部的各种安全资产,对公司整体的安全态势有更清晰准确的认识,TDP精准告警和全面的资产发现能力让小明觉得很安心,再也不用整天提心吊胆的上班了。

总之,NDR的出现大大提高了小明这样的安全人员的安全守护能力,摆脱琐碎的日常工作,聚焦于更多安全本身的问题。