去误报、高精度，NDR让企业安全防护上一个层次

发布时间：2021-11-10 13:13 所属栏目：53 来源：互联网

导读：农业文明时代，当生产力提高，粮食可以养活更多人之后，就有一部分人可以不去种地，去研究其他事物，于是后来就有了手工业，社会得以发展。当一个安全人员，每天被一些琐碎的、低效的事务牢牢绑定，没有时间和精力研究安全问题的时候，这也是明显不合理的，N

农业文明时代，当生产力提高，粮食可以养活更多人之后，就有一部分人可以不去种地，去研究其他事物，于是后来就有了手工业，社会得以发展。

当一个安全人员，每天被一些琐碎的、低效的事务牢牢绑定，没有时间和精力研究安全问题的时候，这也是明显不合理的，NDR技术作为一种能解放安全人员的方案，正在成为许多企业安全架构中的必选项。

一位被IDPS折磨的安全人员

小明是公司的安全人员，他那屡屡失守的发际线和永不退色的黑眼圈，使得这位二十多岁的年轻人比同龄人多了几分沧桑。

每天，从上班那一刻起，小明就要马上查看一下企业网络的安全状况，比如主机是否被黑，如果有状况则会马上开始大面积排查并处置，或断网，或重做系统，做完以后还得想想怎么甩锅。如果完成了应急，小明还需要做溯源，弄清楚到底是哪里出了问题再去解决。

除了解决问题，小明还需要关注网络中的隐患。比如杀毒软件的特征库有没有及时更新，机器的系统漏洞有没有及时打补丁，等等。作为安全人员，小明需要用到IDPS（入侵检测和防御系统）方案，IDS（入侵检测系统）负责发现问题，IPS（入侵防御系统）负责解决问题，IDS主要针对已发生的攻击事件或异常行为进行处理，它可以提醒小明进行防范和应对。

但问题是，IDS每天会产生数以万计的报警信息，小明即使996也看不完。最令他崩溃的是，这些信息不仅数量多，准确性还低，还经常误报、漏报，真实威胁经常看不见。小明最终选择不看IDS，于是IPS也一样变成了摆设。

小明也听说，很多人都不打算用IDPS了，现在流行的是NDR（网络威胁检测与响应），同行也说：

NDR不仅能发现已知的安全威胁，还能通过机器学习模型发现新的安全威胁，更重要的是，它对威胁的认知更深入，能大大降低误报、漏报的概率。同时，它还能对安全问题进行处置，很多人都认为NDR将取代IDPS。

描述很美好，小明决定自己也试试NDR，在这之前，他对NDR进行了一番研究。

被企业用户认可，NDR发展正当时

2020年，Gartner发布《Market Guide for Network Detection and Response》（《NDR市场指南》）报告，而在2019年，这个市场指南还叫做《NTA市场指南》。NDR主要是利用机器学习等分析技术来检测网络可疑流量的技术，持续分析流量数据来构建模型，当检测到可疑流量模式后就报警。从NTA切换到NDR，体现出的是从“分析”到“检测与响应”的变化，市场的需求更趋向于实战。

国际上有许多NDR厂商，在中国，微步在线是较早开始涉足NDR领域的安全厂商，包括奇安信、深信服、安恒信息以及中睿、东巽、安赛也在做NDR。微步在线的产品NDR产品叫做TDP（威胁感知平台），微步在线TDP业务线负责人赵林林表示，NDR与以往的NTA的一个非常大不同点就在于响应（Response-R）方面。

（编辑：ASP站长网）