立德立言，無問西東——擁有美好的德行和與人有益的言辭，才有環(huán)顧四周、舍我其誰的青春豪氣和資本。在網(wǎng)絡(luò)安全領(lǐng)域，誰能將南北(流量)、東西(流量)“參透”，誰才能擁有橫刀立馬的底氣和勇氣，從容對戰(zhàn)高級威脅。

————瀚思科技周奕

NTA=高級威脅解決之道

網(wǎng)絡(luò)流量分析(NTA)的概念是Gartner于2013年首次提出的，位列五種檢測高級威脅的手段之一。它融合了傳統(tǒng)的基于規(guī)則的檢測技術(shù)，以及機器學(xué)習(xí)和其他高級分析技術(shù)，用以檢測企業(yè)網(wǎng)絡(luò)中的可疑行為，尤其是失陷后的痕跡。Gartner強調(diào)，NTA是一種功能或能力，而非純粹的產(chǎn)品。

目前，市場上大多數(shù)NTA產(chǎn)品的分析對象是東西流量，因為解決北南流量問題的產(chǎn)品已經(jīng)有很多，包括IDS、WAF、防火墻等。但是有一個現(xiàn)象值得引起注意，即在今年遍及全國的實戰(zhàn)攻防對抗中，NTA產(chǎn)品成了企業(yè)用戶最關(guān)注且需求最迫切的安全產(chǎn)品之一。究其原因，很多用戶雖然部署了各種南北向的設(shè)備，但是仍然希望通過NTA再次檢驗或者印證一下南北流量防護(hù)的有效性。

傳統(tǒng)的“預(yù)防加檢測”逐漸失效，“持續(xù)檢測與響應(yīng)”才能應(yīng)對今天不斷變化的威脅局面。Gartner的最新報告指出：NTA解決方案正在逐步演變?yōu)橥ㄟ^采集網(wǎng)絡(luò)分析以外的更多數(shù)據(jù)，實現(xiàn)更大范圍的威脅檢測。

從2013年NTA概念誕生，到2016年NTA開始在中國萌芽，再到近期廣泛關(guān)注，雖然人們對NTA的熟悉程度逐漸加深，但NTA并非是一個高度標(biāo)準(zhǔn)化的市場，不同的廠商對NTA的理解不同、設(shè)計和開發(fā)NTA產(chǎn)品的切入點也不同，導(dǎo)致了在應(yīng)用層面的差異，甚至是誤解。

基于此，瀚思科技近期將與Gartner聯(lián)合發(fā)布權(quán)威白皮書《與HanSight NTA一同探索網(wǎng)絡(luò)的真知灼見》，為實現(xiàn)NTA的場景化應(yīng)用指點迷津。

NTA為何如此重要?

《與HanSight NTA一同探索網(wǎng)絡(luò)的真知灼見》白皮書中提到NTA融合了多種安全分析技術(shù)，可以針對各種不同的應(yīng)用場景。最初，一些大數(shù)據(jù)廠商的解決方案中都包含一個NTA功能模塊，用于檢測網(wǎng)絡(luò)流量異常。如今，市場上既有單獨銷售的NTA產(chǎn)品，也有與廠商大數(shù)據(jù)安全平臺整合在一起的NTA。瀚思科技就屬于后一類，它提供All-in-One的NTA產(chǎn)品，集所有流量檢測技術(shù)于一身。

可以將NTA比作瀚思全場景安全平臺的“傳感器”，它為其后的分析提供了高質(zhì)量的數(shù)據(jù)來源。HanSight NTA綜合了多種分析技術(shù)來檢測企業(yè)網(wǎng)絡(luò)上的可疑活動，易于部署，能夠指導(dǎo)調(diào)查與響應(yīng)，還實現(xiàn)了與現(xiàn)有SOC(安全運營中心)平臺的整合。對于眾多安全團隊而言，HanSight NTA是一款非常具有吸引力的工具。

瀚思科技全場景安全平臺

NTA為何如此重要?所有檢測和響應(yīng)技術(shù)面臨的一個重大挑戰(zhàn)就是數(shù)據(jù)源的質(zhì)量。當(dāng)SIEM或其他檢測與響應(yīng)解決方案從第三方收集日志和事件信息時，所收集數(shù)據(jù)的質(zhì)量是無法預(yù)測和控制的。通過監(jiān)控網(wǎng)絡(luò)流量和獲取用于安全分析的正確遙測數(shù)據(jù)，NTA檢測能夠成為現(xiàn)有網(wǎng)絡(luò)安全解決方案檢測結(jié)果的補充。HanSight NTA解碼網(wǎng)絡(luò)流量，解析到NetFlow(網(wǎng)絡(luò)流)和各種應(yīng)用日志格式中，并保存到大數(shù)據(jù)平臺。

HanSight NTA是瀚思全場景安全平臺不可缺少的模塊，可以幫助客戶檢測和識別高級威脅，進(jìn)行威脅調(diào)查和事件響應(yīng)的取證，從而縮短總體的事件響應(yīng)時間。HanSight NTA與瀚思的企業(yè)級SIEM/UEBA相結(jié)合，能夠關(guān)聯(lián)更多數(shù)據(jù)源，提供識別更多威脅模式的分析方法，并通過瀚思的企業(yè)級SIEM安全事件管理平臺進(jìn)行事件管理。

NTA是一個發(fā)展非常快速的新的安全產(chǎn)品品類，但市場和應(yīng)用遠(yuǎn)未成熟。通過廣泛的調(diào)研，瀚思希望通過與Gartner合作能進(jìn)一步明確一個真正的NTA到底應(yīng)該具備哪些基本的能力，以及NTA如何在具體的業(yè)務(wù)場景中落地。

對于企業(yè)客戶的安全檢測和運營來說，NTA是不可或缺的，是客戶在采購和部署安全整體套件時必須重點考慮的部分。NTA可以和企業(yè)的大數(shù)據(jù)安全平臺進(jìn)行有效整合。不可否認(rèn)，對于NTA的能力和使用，許多企業(yè)還在這樣或那樣的認(rèn)識誤區(qū)。瀚思科技與Gartner聯(lián)合推出此白皮書，也是想正確、清晰地向企業(yè)客戶傳遞NTA的功能和價值。

NTA未來會走向哪里?

在攻防對抗中，以銀行為代表的眾多行業(yè)客戶非常看重安全產(chǎn)品的檢測能力，這也是NTA受到關(guān)注的一個重要原因。對于大多數(shù)企業(yè)用戶來說，NTA是一個普遍適用的安全產(chǎn)品。NTA與IDS、WAF等產(chǎn)品從功能上看既有交叉，又有區(qū)別。用戶其實并不會太介意產(chǎn)品之間的“模糊性”，只要是對于提升安全性有實質(zhì)幫助的產(chǎn)品，用戶都有興趣嘗試。

實際上，有效的網(wǎng)絡(luò)安全分析并不是只應(yīng)用一種技術(shù)。Gartner認(rèn)為，為保持超前于高級威脅的發(fā)展，網(wǎng)絡(luò)檢測、響應(yīng)和取證解決方案必須要綜合多種方法，也就是說，要綜合運用多重檢測技術(shù)，以場景為導(dǎo)向，用不同的技術(shù)有針對性地解決不同的問題。現(xiàn)代網(wǎng)絡(luò)流量分析法的基礎(chǔ)建立在將網(wǎng)絡(luò)流量正確解析成多種格式，利用基于安全用例的跨時代分析技術(shù)，保存正確的數(shù)據(jù)，從而實現(xiàn)完整的取證調(diào)查。同時，將全球威脅情報作為補充，洞悉惡意活動，并將可疑行為匹配到確認(rèn)的威脅，從而提高檢測結(jié)果的保真度。

NTA廠商的一個角力點是如何提高威脅檢測的廣度。Gartner指出，聚焦“客戶價值”的理念將區(qū)分出各廠商的競爭定位。NTA解決方案通過獲取網(wǎng)絡(luò)分析以外的更多數(shù)據(jù)，可以實現(xiàn)更大范圍的威脅檢測。各廠商的NTA解決方案在廣度、地點和類型上存在差異，而且收集更多威脅數(shù)據(jù)的方法也不同。像機器學(xué)習(xí)這樣的數(shù)據(jù)科學(xué)技術(shù)正成為NTA廠商突出重圍的關(guān)鍵點。從NTA自身的能力來看，它必須具備上下文信息的分析能力。為實現(xiàn)在網(wǎng)絡(luò)分析之外更廣更強的威脅檢測，數(shù)據(jù)收集和分析也會有所變化，這將改變NTA解決方案的頂層價值主張。

《與HanSight NTA一同探索網(wǎng)絡(luò)的真知灼見(中文版)》是由Gartner與瀚思科技合作發(fā)布的白皮書，深入淺出地介紹了如何借助NTA實現(xiàn)快速的檢測、調(diào)查與整治，打贏高級威脅之戰(zhàn)。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。