近日，全球權威IT研究與咨詢機構Gartner發布了2020年《NDR全球市場指南》，山石網科連續兩年成為中國唯一入選廠商。這一新聞引發了業界對NDR（網絡威脅檢測及響應）技術的新一輪關注熱潮。無論用戶還是廠商，都迫切地想要了解NDR技術何以被視為“NTA 2.0版本”？NDR產品能給用戶帶來哪些價值？NDR技術在等保2.0中有無用武之地？

接下來，就讓山石網科帶你回顧NDR技術的升級之路，深入淺出地為你解讀NDR技術的創新之處和巨大價值，讓你在最短的時間內搞懂NDR。

?

Question 1：NDR技術對用戶的價值體現在哪里？

Answer：NDR技術產品對于用戶的網絡安全建設將是一個非常重要的補充，也是網絡威脅防護能力的一個提升。

利用NDR技術，能夠幫助用戶盡早地、有效地檢測發現一些穿透網絡邊界防護進入到到內部網絡，或是通過BYOD帶入等其他途徑進入到內部網絡的新型變種威脅。

因為新型變種威脅從出現，到安全廠商經過研究、特征提取、納入特征庫，再到用戶完成特征庫的升級更新往往需要一個較長的時間周期，很多網絡威脅也正是利用了這個安全防護的空檔期進行網絡威脅的傳播擴散，這種能力滯后所帶來的安全風險是致命的。

所以NDR技術對于用戶的安全價值就體現在，能夠有效、盡早地發現新型變種威脅，并且能夠根據業務情況和安全等級，在第一時間完成風險和異常的響應處置，避免威脅的持續傳播和擴散。

?

Question 2：NDR產品和傳統的IDS產品的部署方式很相似，它們的差別體現在哪里？
Answer：DR產品與IDS產品在部署方式和應用場景方面是比較類似的，主要的差別還是體現在安全檢測技術的運用方面。

IDS產品技術主要是依賴于簽名指紋匹配的檢測方式，主要是針對當前已知的網絡攻擊進行檢測。同時為了平衡威脅檢出率和威脅檢測效率的問題，IDS特征庫往往會根據業務和資產情況進行不同程度的裁剪，這就意味著IDS產品的檢測技術不僅僅是無法檢測新型變種威脅，對于一些已知威脅也可能存在漏檢的情況。同時對于安全管理員來說，一方面要求安全管理員具備非常全面安全背景和威脅分析能力，另一方面也要求安全管理員能夠根據業務和資產的變化，即時調整IDS特征庫開啟策略。

所以NDR技術產品和IDS產品的差別就在于對于新型威脅的檢出能力和安全運維效率方面，NDR技術不依賴于特征庫，也不基于某個特定業務或資產對象，而是通過對于流量變化的監測來發現風險和異常，不需要安全管理員經常性的調整安全策略，極大的提高了安全運維效率，減少了人為操作所帶來的安全隱患。

?

Question 3：能不能簡單解釋一下NDR技術，它的哪些功能是必須的？

Answer：Gartner對于NDR技術給出了較為明確清晰的定義，這也是Gartner在選擇NDR技術推薦廠商及產品的嚴格標準，NDR技術主要強調新型網絡威脅和高級網絡威脅的檢測和即時響應能力。

首先是對分析對象和實時性要求。NDR技術能夠自主采集穿過邊界的南北向流量和內網的東西向流量，不依賴于防火墻、SIEM等其他產品組件，并且能夠針對原始網絡流量進行實時或接近實時的分析，以檢測發現流量中的風險和異常，再通過分析結果和取證信息，定位到風險和異常的主機對象。

然后是流量分析技術的要求。NDR技術不能夠只是依賴于簽名指紋匹配的傳統網絡威脅檢測技術，而是針對原始網絡流量一定時間的學習、訓練和優化，形成相對準確且能動態調整的網絡流量行為模型，以行為模型作為網絡風險和異常判定的標準基線，在配合其他網絡威脅檢測技術，進行精細化溯源定位。

最后是威脅處置方面的要求。承載NDR技術的網絡安全產品需要具備和其他安全產品的聯動能力，解決分布在不同區域的網絡風險和異常問題，并且能夠根據客戶的業務情況和安全等級，由客戶自由選擇自動或手動進行威脅及異常響應處置。

?

Question 4：在當前全民抗疫的大背景下，能不能結合新冠病毒的防控，給我們講講NDR技術在新型網絡病毒防控中的作用，它有哪些創新點，有哪些不可替代性？
Answer：今年新冠病毒的全面爆發，給全世界人民帶來了生活、收入和健康等方面的巨大影響，有些人甚至付出了生命的代價。新冠病毒之所以能夠引發如此嚴重的全球疫情，主要就是因為“新型”這兩個字。這是一種在人類社會和醫學界中從未出現過的病毒，人類對此一無所知，沒有疫苗，沒有特效藥，再加上其強大的傳播擴散能力，導致新冠病毒難以有效地預防和快速治愈。

和新冠病毒一樣，網絡病毒隨著信息技術的發展，也在不斷進化出很多新型的病毒。再經過采集、分析、提煉病毒樣本并形成病毒特征和專殺工具以前，網絡病毒可能已經在網絡中大范圍擴散了。如果這個新型病毒還在不斷地衍生變種，傳播途徑和速度又非常快，同樣也會引發全球網絡的“疫情”。

在中國新冠病毒爆發初期，只經過少數病例的研究之后，再結合SARS的過往經歷，相對于全球其他國家來說，非常快地就將這種流行性冠狀病毒定義為新型冠狀病毒，快速地采取防控措施，以至于中國現在成為了全球最安全的國家之一。

類比利用NDR技術進行新型網絡病毒的檢測，基于正常的流量行為模型基線，判別網絡中存在風險及異常，在結合歷史經驗和威脅情報完成風險及異常的確認，最后通過聯動及時的完成響應處置。因此，在應對新型網絡病毒的過程中，NDR技術就扮演了中國應對新冠疫情時的“吹哨人”和“鐘南山”的角色。

?

Question 5：Gartner去年發布的是《NTA全球市場指南》，今年變成了《NDR全球市場指南》，請問是什么原因引發了這個變化？

Answer：NTA技術是NDR技術的前身，NDR技術在繼承NTA技術的威脅檢測能力的同時，又突出強調了影響處置能力。這個變化最本質的驅動力還是來自于客戶，因為對于客戶來說，無論部署什么安全產品，使用什么安全技術，最終的目的還是為了解決網絡安全問題，同時還能最大程度的降低安全運維的成本，降低對網絡安全管理員的能力要求，緩解其安全運維工作壓力。

玩笑式地舉個例子，去年的NTA技術相當于你去醫院，醫生只告訴你：“上呼吸道感染導致氣管、支氣管黏膜或胸膜受炎癥；異物、物理或化學性刺激引起聲門關閉、呼吸肌收縮、肺內壓升高，聲門張開，肺內空氣噴射而出，并伴隨聲音；出現體內陰陽平衡失調。感受外邪，機能活動亢進，出現陽盛陰衰的熱證證候。”求此刻你的心理陰影面積。

而今年的NDR技術相當于你去醫院，醫生告訴你：“感冒、上火、吃點感冒藥多喝熱水。” 如此說來，是什么引起這種變化就顯而易見了。

?

Question 6：最后談個接地氣的話題。今年我們正式進入了等保2.0時代，相比等保1.0，等保2.0在防護思路上有著巨大的進步，那么NDR這樣的技術在等保2.0中有用武之地嗎？

Answer：這個答案是肯定的，在網絡威脅檢測及防范方面，等保2.0相比于等保1.0特別強調了新型網絡攻擊的行為分析能力，這也表明等保2.0要求各單位在進行網絡安全建設時，要突破傳統網絡安全技術的限制，利用新型的網絡安全技術去應對新型的網絡攻擊。

在等保2.0中，安全區域邊界-入侵防范的控制項明確要求三級等保單位應具備以下能力：1.應在關鍵網絡節點處檢測、防止或限制從外部發起的網絡攻擊行為；2.應在關鍵網絡節點處檢測、防止或限制從內部發起的網絡攻擊行為；3.應采取技術措施對網絡行為進行分析，實現對網絡攻擊特別是新型網絡攻擊行為的分析；4.當檢測到攻擊行為時，記錄攻擊源IP、攻擊類型、攻擊目標、攻擊時間，在發生嚴重入侵時間時應提供報警。

NDR技術能夠完全覆蓋這個控制項要求，在針對新型網絡威脅的檢測發現、溯源取證和響應處置方面的能力甚至超過了這個控制的要求。

相關閱讀：

山石網科：山石網科成為連續兩年唯一入選Gartner《NDR全球市場指南》中國品牌?zhuanlan.zhihu.com

• https://zhuanlan.zhihu.com/p/158551182

山石智源智能安全運營系統 | 山石網科?www.hillstonenet.com.cn

• https://www.hillstonenet.com.cn/product-and-service/operation-and-analysis/isouce/

總結

以上是生活随笔為你收集整理的NDR（网络威胁检测及响应）与NTA的区别（网络流量检测）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。