去年，Gartner發(fā)布了網(wǎng)絡(luò)檢測和響應(yīng)(NDR)市場指南，指出將機(jī)器學(xué)習(xí)等分析技術(shù)應(yīng)用于網(wǎng)絡(luò)流量的NDR技術(shù)能夠幫助企業(yè)檢測其他安全工具檢測不到的安全威脅，手動和自動響應(yīng)功能是這個進(jìn)入門檻較低的市場的競爭焦點(diǎn)。

[[392444]]

NDR以前被稱為網(wǎng)絡(luò)流量分析，它不僅在幫助網(wǎng)絡(luò)安全團(tuán)隊(duì)識別威脅方面發(fā)揮了重要作用，而且還使這些團(tuán)隊(duì)能夠應(yīng)對/響應(yīng)威脅。

從“網(wǎng)絡(luò)流量分析”到NDR的名稱變化意味著：網(wǎng)絡(luò)數(shù)據(jù)在阻止威脅方面變得越來越重要，同時也是多層安全態(tài)勢和縱深防御的關(guān)鍵組成部分。

對于企業(yè)的安全團(tuán)隊(duì)來說，在2021年余下的時間中，NDR對網(wǎng)絡(luò)安全的未來意味著什么?

網(wǎng)絡(luò)犯罪分子的頭號目標(biāo)依然是人員

隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)安全專業(yè)人員開發(fā)出了更復(fù)雜的技術(shù)來阻止攻擊，但事實(shí)仍然是：人員仍然是一個大問題，甚至可以說，人員仍然是最大的問題。

根據(jù)Fortinet最近發(fā)表的報告《FortiGuard實(shí)驗(yàn)室全球威脅態(tài)勢報告》，社會工程和網(wǎng)絡(luò)釣魚仍是發(fā)動攻擊的主要手段。無數(shù)調(diào)查表明，針對性的即時攻擊依然是利用“人的漏洞”的非常有效的方法，網(wǎng)絡(luò)犯罪分子能夠輕松利用人員漏洞來以較低的成本和技術(shù)門檻來獲取更大的利益。

后新冠時代，由于遠(yuǎn)程工作的人數(shù)有所增加(并且大部分時間處于歷史最高水平)，企業(yè)需要為隨時可能的遠(yuǎn)程辦公做好IT準(zhǔn)備，因此人員和IT系統(tǒng)的漏洞和攻擊面也在不斷擴(kuò)大。2020年的多項(xiàng)安全調(diào)查都驗(yàn)證了這一點(diǎn)，網(wǎng)絡(luò)犯罪和數(shù)據(jù)泄漏激增并創(chuàng)下歷史新高。

自適應(yīng)安全：來自業(yè)務(wù)端的重大安全變革

NDR的網(wǎng)絡(luò)安全變革的“推手”不是安全廠商而是企業(yè)用戶。根據(jù)《福布斯》的報告，由于網(wǎng)絡(luò)流量分析已轉(zhuǎn)向NDR(很大程度上是由于機(jī)器學(xué)習(xí)的改進(jìn))，因此很多企業(yè)已經(jīng)開始醞釀和規(guī)劃網(wǎng)絡(luò)安全的重大變革。

《福布斯》的調(diào)查顯示，有96%的企業(yè)高管計劃調(diào)整其網(wǎng)絡(luò)安全策略，55%的企業(yè)高管計劃增加網(wǎng)絡(luò)安全預(yù)算。幾乎所有企業(yè)面臨的最大的挑戰(zhàn)是：新的安全策略將越來越依賴“自動、自適應(yīng)的網(wǎng)絡(luò)安全”。

根據(jù)451 Research的企業(yè)自適應(yīng)安全ADE指數(shù)，到2022年，在客戶體驗(yàn)、自動化、創(chuàng)新生態(tài)和數(shù)字商業(yè)等諸多高優(yōu)先級的IT投資中，自適應(yīng)網(wǎng)絡(luò)安全將引領(lǐng)并成為企業(yè)IT投資的重中之重(下圖)。

而NDR正是構(gòu)建自適應(yīng)安全的基礎(chǔ)：獲取網(wǎng)絡(luò)流量元數(shù)據(jù)，并使用機(jī)器學(xué)習(xí)和/或人工智能快速識別威脅并自動做出響應(yīng)。這是個好消息，因?yàn)槔_網(wǎng)絡(luò)安全的人員問題，不僅僅存在于檢測環(huán)節(jié)，還存在于響應(yīng)環(huán)節(jié)，也就是網(wǎng)絡(luò)攻擊發(fā)生后的應(yīng)對效率。

突破人員瓶頸

在一個給定的網(wǎng)絡(luò)安全平臺中，隨著誤報次數(shù)的增加，查看這些警報的安全運(yùn)營人員將忽略或錯過真實(shí)威脅的可能性也會增加。這只是一個簡單的數(shù)學(xué)問題，因?yàn)槿祟惔罅繑z取數(shù)據(jù)必然會增加過勞幾率，隨后噪音會接管一切，誤報和漏報率同時上升。

為了解決此問題，網(wǎng)絡(luò)和安全團(tuán)隊(duì)需要一個系統(tǒng)為他們提供最少的警報，并提供上下文以幫助了解威脅的性質(zhì)和嚴(yán)重性。

對于SIEM(安全信息和事件管理)這樣的日志聚合系統(tǒng)而言，以上問題尤為突出，因?yàn)槿罩緮?shù)據(jù)雖然提供了真實(shí)的信息，但是卻無法解讀其含義。通常，人們需要深入研究其他系統(tǒng)才能找到答案。這加劇了該問題，因?yàn)镮T團(tuán)隊(duì)的正常工作時間有限，深入挖掘多個系統(tǒng)來發(fā)現(xiàn)問題可能會給團(tuán)隊(duì)增加工作負(fù)擔(dān)，同時也增加了工作的盲目性。

一個可行的方法或者說趨勢是，企業(yè)的網(wǎng)絡(luò)和安全團(tuán)隊(duì)?wèi)?yīng)該緊密集成，在同一個(NDR)系統(tǒng)中共享有價值的網(wǎng)絡(luò)數(shù)據(jù)，該系統(tǒng)不僅誤報更少(大多數(shù)NDR供應(yīng)商會說他們可以做到這一點(diǎn))，而且還可以對攻擊進(jìn)行上下文洞察。NDR還可啟用自動響應(yīng)，但是安全和網(wǎng)絡(luò)專業(yè)人員可能需要一些時間才能讓機(jī)器學(xué)習(xí)算法確定何時進(jìn)行網(wǎng)絡(luò)更改或隔離網(wǎng)絡(luò)上的設(shè)備。

在智能化之前，NDR系統(tǒng)將首先提供一個自動化平臺，緩解人類面臨的挑戰(zhàn)：更快速、更準(zhǔn)確、更有效地檢測和響應(yīng)網(wǎng)絡(luò)威脅。

2021年將成為NDR元年，這意味著未來人員問題將不再是網(wǎng)絡(luò)安全的瓶頸。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文