全流量威脅檢測與響應NDR(Network Detection and Response),是一款公用云云原生網路檢測與響應產品,通過旁路鏡像網路流量,使用流量過濾、全流量留存、關聯溯源、威脅分析等能力,可以快速檢測和響應進階網路威脅,補齊雲上環境業務資產流量安全的最後一道防線。
功能概述
資產管理與風險管理
自動識別雲環境資產上層商務服務,支援Web服務、資料庫服務、郵件服務、檔案管理服務、遠端控制服務等豐富的服務類別及服務識別,基於網路全流量優勢精準定位雲上資產對外暴露盲區,及時發現每日存在高危連接埠暴露、弱口令登入的資產,針對網路中的敏感性資料AK(AccessKey)、SK(Secret Access Key)、明文傳輸、弱口令、個人識別資訊等暴露問題進行情境化專項治理。
攻擊報文自動留存
NDR會自動留存攻擊警示事件及攻擊發生期間的原始流量,沒有產生風險和警示的流量則不會留存,無需人工手動操作,協助您最大化節約人力與儲存成本,具有極高的性價比,同時提供線上有效載荷(Payload)分析解讀能力,用於營運人員後續溯源分析與攻擊研判,方便安全技術人員及時發現內網中存在的攻擊問題,更加適用於重保、強對抗等特殊情境下,針對APT等進階威脅的營運分析,而傳統防護裝置不具備攻擊報文自動留存的能力,安全服務團隊在事後分析時也會感到束手無策。
雙向非同步全流量威脅檢測
NDR會針對雙向全流量進行流量鏡像,從而進行非同步威脅檢測。
通過雙向檢測技術,加強攻擊確認和降低誤判。有些惡意行為只是掃描探測,通過對響應報文的二次檢測,可確認攻擊是否成功。某些攻擊請求的攻擊特徵會分布在多個報文中,單個報文的攻擊特徵非常弱,如果只檢測單個報文很難發現其惡意行為,需要將多個報文中的特徵進行關聯檢測,而雙向全流量檢測可以有效檢出這類惡意威脅,彌補傳統安全裝置單向流量的檢測盲點,極大增強攻擊確認能力,避免漏報造成安全隱患。
多檢測引擎關聯分析
NDR支援特徵規則、威脅情報、檔案沙箱、行為分析、暴露分析等多種檢測分析引擎,並可以將各個檢測模組的結果進行關聯分析。
例如當某一流量中的惡意行為特徵命中IDS規則(Intrusion Detection System Rules)時,NDR還會繼續利用威脅情報、行為分析、檔案還原等技術,對該流量進行檢測,關聯舉證極大增加了警示的準確性,即使一些隱蔽性較強的惡意行為繞過靜態規則檢測,或僅命中威脅程度較弱的規則,也會被其他檢測引擎發現,而傳統防護裝置不具備多維度檢測能力,一旦規則未命中或舉證力度不足則會允許存取,容易被營運人員所忽略,從而造成更大的安全風險。
協議日誌檢索過濾與投遞
NDR可以實現對防護資產協議日誌的即時採集、查詢、分析、加工和消費等一站式服務,具備秒級投遞日誌能力,協助您深入監控和保護網路資產安全,滿足等保合規及流量審計要求。