全流量威胁检测与响应NDR(Network Detection and Response),是云上环境业务资产流量安全的最后一道防线。本文介绍NDR的应用场景。
重保防护与威胁溯源场景
问题与挑战
在重大保障期间,网络安全防护的重要性尤为突出,攻击者可能会利用这一时机发起APT攻击、零日攻击、隐蔽式攻击等高级攻击,试图破坏正常秩序或窃取敏感信息。这种强对抗的形式下,安全运营人员不仅是发现告警,还要基于攻击流量进行溯源,分析攻击者的攻击路径与手法,进而提前采取针对性高效防御手段进行应对。但当前边界防护设备往往只进行安全事件告警,并不提供原始攻击流量的存储,导致安全运营人员缺少原始攻击流量做攻击回溯,无法进一步确认异常流量具体问题,带来极大安全隐患。
解决方案
利用NDR的威胁分析与多检测引擎能力不仅可以覆盖更广泛的威胁类型,还可以在产生告警的同时留存攻击事件报文及攻击发生前后原始流量,助力安全运营团队进行攻击回溯,了解攻击者使用的技术与工具,识别入侵路径、确认攻击者身份与攻击目的,必要时进行强力举证追究攻击者法律责任,在满足溯源需求的同时兼顾成本投入,避免无用流量带来高昂的存储费用。
资产风险梳理与敏感数据泄露检测场景
问题与挑战
很多金融、医疗等行业客户,由于行业的特殊属性,其业务中存在大量敏感高价值的数据,攻击者往往想尽办法窃取这些数据进行非法牟利或用于其他商业竞争用途,因此企业内部业务端口违规开放、敏感数据暴露和资产弱口令等风险问题很容易被攻击者入侵利用,一旦泄露将给企业带来巨大的经济损失与负面影响。
解决方案
当要进行企业资产与数据保护的时候,前提是要知道有哪些业务资产存在风险,利用NDR的资产管理与风险管理能力,可以自动梳理当前云上资产类型及服务种类,快速发现资产服务存在的端口违规开放、弱口令登录及敏感数据暴露问题,从而识别风险资产区域,标注存在敏感数据传输的业务接口。
强监管日志合规与流量审计场景
问题与挑战
有些行业客户内部业务对日志审计要求很高,本地业务日志都集中到自建的SIEM、SOC平台管理,但云上缺乏全流量威胁分析的有效途径,存在七层双向业务日志不全、检索与投递操作复杂等问题,希望能对云上资产访问行为进行全面流量分析和审计。
解决方案
NDR可以对云上双向全流量进行有效检测,利用协议日志检索、过滤与投递能力,可以按需生成全面丰富的日志信息,并可在NDR控制台进行日志信息可视化分析与检索,同时支持自定义选择协议类型与具体字段投递至线下SIEM等平台集中审计。