疫情肆虐全球的上半年，網(wǎng)絡(luò)釣魚(yú)攻擊增加了600%，勒索軟件攻擊增加了148%，F(xiàn)BI報(bào)告的網(wǎng)絡(luò)犯罪暴增了300%。而企業(yè)的檢測(cè)與響應(yīng)能力和速度，卻并沒(méi)有成比例增加，這也使得各種DR解決方案成為當(dāng)下企業(yè)的安全投資熱點(diǎn)。

網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)解決方案能夠幫助企業(yè)增強(qiáng)威脅響應(yīng)能力，提高網(wǎng)絡(luò)安全的可見(jiàn)性和威脅免疫力。

要為業(yè)務(wù)選擇合適的網(wǎng)絡(luò)檢測(cè)和響應(yīng)解決方案，企業(yè)需要考慮的因素有很多，以下，我們整理了幾位網(wǎng)絡(luò)安全專(zhuān)家對(duì)NDR選型給出的建議供企業(yè)參考。

[[340320]]

Mike Hamilton，CI Security首席技術(shù)官

選擇網(wǎng)絡(luò)檢測(cè)和響應(yīng)解決方案包含一系列技術(shù)和崗位人員，對(duì)于不同的企業(yè)來(lái)說(shuō)，技術(shù)與人員的組合都是高度定制化的，這里有三種不同路徑：

• 托管。托管的檢測(cè)和響應(yīng)服務(wù)結(jié)合多種技術(shù)從網(wǎng)絡(luò)中收集信息，例如檢測(cè)分析以識(shí)別異?；顒?dòng)，以及相關(guān)分析人員根據(jù)預(yù)定義的操作手冊(cè)進(jìn)行調(diào)查、確認(rèn)和執(zhí)行響應(yīng)操作，這些都已服務(wù)的方式提供。
• 運(yùn)營(yíng)。您擁有NDR的技術(shù)、操作人員以及響應(yīng)、恢復(fù)和記錄保存的流程。這就是許多企業(yè)的發(fā)展路徑，但是這條路往往是越走越難。
• 自動(dòng)化。最先進(jìn)的技術(shù)就是自動(dòng)化：SOAR和其他方法可以利用您的預(yù)防和檢測(cè)控制工具與措施，并將其集成起來(lái)，并由技術(shù)來(lái)自動(dòng)響應(yīng)和行動(dòng)。

要確定是通過(guò)托管、操作還是自動(dòng)化來(lái)提供最佳服務(wù)，請(qǐng)?jiān)儐?wèn)供應(yīng)商：

• 部署的速度/便捷程度如何?
• 解決方案是否收集并分析所有數(shù)據(jù)源?
• 對(duì)于運(yùn)營(yíng)模式，資源成本是多少，包括將資源分配給網(wǎng)絡(luò)安全的機(jī)會(huì)成本對(duì)項(xiàng)目會(huì)構(gòu)成何種影響?
• 對(duì)于托管模式，提供商如何尋找和保留威脅獵人和分析師?
• 對(duì)于自動(dòng)化模式，誤報(bào)的最壞情況是什么?

Rahul Kashyap，Awake Security首席執(zhí)行官

選擇網(wǎng)絡(luò)檢測(cè)和響應(yīng)解決方案(NDR)可以防御非惡意軟件威脅，包括內(nèi)部攻擊、證書(shū)濫用、橫向移動(dòng)和數(shù)據(jù)泄露等。NDR使企業(yè)可以更清楚地了解網(wǎng)絡(luò)的實(shí)際狀況以及所發(fā)生的活動(dòng)。但是，并非所有NDR解決方案都是平等的。為了使價(jià)值最大化，建議用戶(hù)考慮以下三個(gè)關(guān)鍵參數(shù)：

• 數(shù)據(jù)：尋找能夠解析整個(gè)數(shù)據(jù)包而不是局限于NetFlow或IDS警報(bào)的解決方案。這提供了更大的可見(jiàn)度，使解決方案能夠識(shí)別更多相關(guān)威脅。
• 機(jī)器學(xué)習(xí)和AI：避免使用主要依賴(lài)無(wú)監(jiān)督機(jī)器學(xué)習(xí)并充當(dāng)黑匣子的解決方案。這類(lèi)產(chǎn)品的誤報(bào)會(huì)產(chǎn)生大量的運(yùn)營(yíng)開(kāi)銷(xiāo)，并且不能向分析師提供解釋問(wèn)題被標(biāo)記的原因的信息。
• 用例：能否替換現(xiàn)有的網(wǎng)絡(luò)取證、威脅搜尋等解決方案來(lái)減少工具泛濫。這有助于鞏固和現(xiàn)代化你的安全運(yùn)營(yíng)，從而提高安全團(tuán)隊(duì)效率。

像任何其他安全解決方案一樣，僅獲取新的NDR工具并不能提高安全性。以我的經(jīng)驗(yàn)，購(gòu)買(mǎi)者在決定技術(shù)堆棧時(shí)必須考慮對(duì)運(yùn)營(yíng)的影響，這一點(diǎn)至關(guān)重要。

Igor Mezic，MixMode首席技術(shù)官

選擇網(wǎng)絡(luò)檢測(cè)和響應(yīng)解決方案選擇NDR解決方案時(shí)，應(yīng)詢(xún)問(wèn)有關(guān)基礎(chǔ)方法的一些關(guān)鍵問(wèn)題：

• AI NDR智能檢測(cè)響應(yīng)系統(tǒng)是否部分或完全取決于規(guī)則?如果是這樣，與調(diào)整和維護(hù)規(guī)則集相關(guān)的開(kāi)銷(xiāo)是多少?在現(xiàn)代安全環(huán)境中，攻擊媒介正在迅速變化，大大超過(guò)了規(guī)則開(kāi)發(fā)的工作量?；谝?guī)則的信息可以用作上下文，但不能用作主要信息源。機(jī)器學(xué)習(xí)系統(tǒng)的核心應(yīng)適應(yīng)新的網(wǎng)絡(luò)條件，因此應(yīng)獨(dú)立于靜態(tài)規(guī)則。
• 檢測(cè)的誤報(bào)率中假陽(yáng)性占比多少?假陰性占比是多少?NDR的響應(yīng)功能高度依賴(lài)檢測(cè)的質(zhì)量。因誤報(bào)關(guān)閉子網(wǎng)可能會(huì)破壞正常的網(wǎng)絡(luò)運(yùn)行。在基于規(guī)則的系統(tǒng)和使用基于標(biāo)簽的監(jiān)督學(xué)習(xí)方法的系統(tǒng)中，會(huì)有大量誤報(bào)(包括假陽(yáng)性和假陰性)?；诰垲?lèi)和貝葉斯方法的無(wú)監(jiān)督系統(tǒng)通常也有較高的“假陽(yáng)性”誤報(bào)率。
• 當(dāng)我們向網(wǎng)絡(luò)添加新的子網(wǎng)或路由器時(shí)會(huì)發(fā)生什么?NDR系統(tǒng)是否必須重新學(xué)習(xí)一切?在現(xiàn)成的機(jī)器學(xué)習(xí)系統(tǒng)中學(xué)習(xí)可能需要6到24個(gè)月的時(shí)間。如果每次將新組件添加到網(wǎng)絡(luò)時(shí)都要重復(fù)該循環(huán)，那么該方案就存在較大的局限性。AI系統(tǒng)必須在不增加額外學(xué)習(xí)時(shí)間的情況下適應(yīng)網(wǎng)絡(luò)上的新?tīng)顩r。
• 檢測(cè)系統(tǒng)是否容易被欺騙?眾所周知，非生成式機(jī)器學(xué)習(xí)方法很容易通過(guò)注入損壞的數(shù)據(jù)樣本來(lái)欺騙，從而使系統(tǒng)無(wú)法識(shí)別特定的攻擊。

史蒂夫·米勒(Steve Miller)，F(xiàn)ireEye首席應(yīng)用安全研究員

網(wǎng)絡(luò)檢測(cè)和響應(yīng)解決方案(NDR)應(yīng)當(dāng)支持多種形式的安全操作和行動(dòng)。

檢測(cè)事件必須區(qū)分為不同的優(yōu)先級(jí)類(lèi)別。事件優(yōu)先級(jí)或嚴(yán)重性劃分可以確保重要的，合格的網(wǎng)絡(luò)檢測(cè)事件位居任務(wù)列表的頂部。您的安全團(tuán)隊(duì)可以?xún)?yōu)先處理“頭部”檢測(cè)事件，并對(duì)受影響的資產(chǎn)進(jìn)行更加謹(jǐn)慎和快速的響應(yīng)。

網(wǎng)絡(luò)活動(dòng)必須有歷史記錄。這可以是在一段時(shí)間內(nèi)存儲(chǔ)的完整數(shù)據(jù)包捕獲，也可以只是在每個(gè)網(wǎng)絡(luò)檢測(cè)事件之前和之后5分鐘的“時(shí)間片段”中捕獲數(shù)據(jù)包。解決方案應(yīng)包括抽象的網(wǎng)絡(luò)日志記錄，例如Netflow和HTTP事件日志記錄。日志記錄越多，調(diào)查就越容易。

解決方案必須啟用行動(dòng)警報(bào)自動(dòng)化。分析警報(bào)時(shí)，分析人員會(huì)執(zhí)行例行動(dòng)作來(lái)收集有助于確認(rèn)和響應(yīng)方式的信息。解決方案必須啟用與警報(bào)關(guān)聯(lián)的自動(dòng)數(shù)據(jù)收集，以備分析人員檢查，從而減少手動(dòng)操作。

從功能上講，NDR解決方案必須輕松集成和收集來(lái)自其他技術(shù)堆棧的上下文數(shù)據(jù)，例如：DHCP租用、被動(dòng)DNS解析、威脅參與者或惡意軟件關(guān)聯(lián)，以及可能通過(guò)隔離、阻止或操縱數(shù)據(jù)包來(lái)緩解或減少惡意事件影響的網(wǎng)絡(luò)/資產(chǎn)“處理”系統(tǒng)。自動(dòng)提供上下文數(shù)據(jù)和“處理”選項(xiàng)是采取行動(dòng)的基礎(chǔ)，而行動(dòng)通常是人類(lèi)工作流程中最費(fèi)力的部分。

JyothishVarma，Nuspire產(chǎn)品管理總監(jiān)

當(dāng)企業(yè)準(zhǔn)備投資檢測(cè)與響應(yīng)托管服務(wù)(MDR)時(shí)，他們應(yīng)考慮投資那些能夠檢測(cè)可繞過(guò)現(xiàn)有安全控制措施的攻擊的解決方案。對(duì)于那些具有靜態(tài)檢測(cè)機(jī)制的解決方案，如果黑客使用的漏洞沒(méi)有觸發(fā)預(yù)設(shè)的規(guī)則，那么沒(méi)人會(huì)知道攻擊已經(jīng)發(fā)生。

因此，企業(yè)必須依靠那些通過(guò)高級(jí)威脅檢測(cè)和響應(yīng)解決方案，以及訓(xùn)練有素的安全分析人員來(lái)增強(qiáng)安全控制能力的解決方案或托管服務(wù)，這些分析人員應(yīng)經(jīng)過(guò)系統(tǒng)培訓(xùn)，能夠主動(dòng)發(fā)現(xiàn)威脅。

企業(yè)選擇的MDR方案還應(yīng)當(dāng)可以實(shí)時(shí)檢測(cè)攻擊，并且有專(zhuān)家全天候工作，以調(diào)查和響應(yīng)可能被技術(shù)漏掉的警報(bào)。MDR服務(wù)商需要提供24/7/365安全運(yùn)營(yíng)中心的服務(wù)，其中配備了安全分析人員，可確保您可以充分利用專(zhuān)家資源來(lái)檢測(cè)攻擊，并根據(jù)需要協(xié)調(diào)事件響應(yīng)計(jì)劃。通過(guò)與擁有24/7全天候安全運(yùn)營(yíng)中心的提供商合作，現(xiàn)有的企業(yè)安全團(tuán)隊(duì)將提高工作效率，并減少因誤報(bào)而浪費(fèi)的時(shí)間。

【本文是51CTO專(zhuān)欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文