全流量威脅檢測與響應NDR(Network Detection and Response),是雲上環境業務資產流量安全的最後一道防線。本文介紹NDR的應用情境。
重保防護與威脅溯源情境
問題與挑戰
在重大保障期間,網路安全防護的重要性尤為突出,攻擊者可能會利用這一時機發起APT攻擊、零日漏洞攻擊、隱蔽式攻擊等進階攻擊,試圖破壞正常秩序或竊取敏感資訊。這種強對抗的形式下,安全營運人員不僅是發現警示,還要基於攻擊流量進行溯源,分析攻擊者的攻擊路徑與手法,進而提前採取針對性高效防禦手段進行應對。但當前邊界防護裝置往往只進行安全事件警示,並不提供原始攻擊流量的儲存,導致安全營運人員缺少原始攻擊流量做攻擊回溯,無法進一步確認異常流量具體問題,帶來極大安全隱患。
解決方案
利用NDR的威脅分析與多檢測引擎能力不僅可以覆蓋更廣泛的威脅類型,還可以在產生警示的同時留存攻擊事件報文及攻擊發生前後原始流量,助力安全營運團隊進行攻擊回溯,瞭解攻擊者使用的技術與工具,識別入侵路徑、確認攻擊者身份與攻擊目的,必要時進行強力舉證追究攻擊者法律責任,在滿足溯源需求的同時兼顧成本投入,避免無用流量帶來高昂的儲存費用。
資產風險梳理與敏感性資料泄露檢測情境
問題與挑戰
很多金融、醫學等行業客戶,由於行業的特殊屬性,其業務中存在大量敏感高價值的資料,攻擊者往往想盡辦法竊取這些資料進行非法牟利或用於其他商業競爭用途,因此企業內部業務連接埠違規開放、敏感性資料暴露和資產弱口令等風險問題很容易被攻擊者入侵利用,一旦泄露將給企業帶來巨大的經濟損失與負面影響。
解決方案
當要進行企業資產與資料保護的時候,前提是要知道有哪些業務資產存在風險,利用NDR的資產管理與風險管理能力,可以自動梳理當前雲上資產類型及服務種類,快速發現資產服務存在的連接埠違規開放、弱口令登入及敏感性資料暴露問題,從而識別風險資產地區,標註存在敏感性資料傳輸的業務介面。
強監管日誌合規與流量審計情境
問題與挑戰
有些行業客戶內部業務對日誌審計要求很高,本地業務日誌都集中到自建的SIEM、SOC平台管理,但云上缺乏全流量威脅分析的有效途徑,存在七層雙向業務日誌不全、檢索與投遞操作複雜等問題,希望能對雲上資產訪問行為進行全面流量分析和審計。
解決方案
NDR可以對雲上雙向全流量進行有效檢測,利用協議日誌檢索、過濾與投遞能力,可以按需產生全面豐富的日誌資訊,並可在NDR控制台進行日誌資訊可視化分析與檢索,同時支援自訂選擇協議類型與具體欄位投遞至線下SIEM等平台集中審計。