黄网在线观看免_先锋影音欧美在线_97zyz超碰最新总站_国产中文无码日韩

隨著數(shù)字化轉(zhuǎn)型的浪潮，各種組織越來越多地發(fā)現(xiàn)自己受到了網(wǎng)絡(luò)攻擊，勒索軟件、欺詐、證書盜竊、個(gè)人身份信息盜竊和知識(shí)產(chǎn)權(quán)盜竊每天都在全球發(fā)生。IT團(tuán)隊(duì)通常會(huì)使用和部署眾多的網(wǎng)絡(luò)安全工具來組建安全堆棧從而降低風(fēng)險(xiǎn)。安全架構(gòu)的許多組件都是大家耳熟能詳?shù)?，比如防火墻、VPN、IDS/IPS、終端檢測(cè)和響應(yīng)、安全事件和事件管理（SIEM）等。在過去的十年中，安全專業(yè)人員已經(jīng)轉(zhuǎn)向如何檢測(cè)攻擊和其他惡意活動(dòng)，而不是僅僅專注于預(yù)防。SIEM和IDS曾經(jīng)被認(rèn)為是檢測(cè)的最佳解決方案，但它們很快就耗盡了潛在的用途，需要進(jìn)一步的演進(jìn)，所以又衍生出更多的檢測(cè)類技術(shù)和產(chǎn)品，IDS、IPS、EDR、NDR…很多朋友被這些不斷更新的安全技術(shù)和產(chǎn)品弄暈了頭，今天我們來聊聊這些安全產(chǎn)品的區(qū)別以及演進(jìn)變化。

什么是IDS&IPS？

入侵檢測(cè)系統(tǒng) (IDS) 和入侵防御系統(tǒng)(IPS) 會(huì)持續(xù)監(jiān)控網(wǎng)絡(luò)，識(shí)別異常形成告警和log，阻止安全事件發(fā)生，并向安全管理員報(bào)告這些事件。

IDS/IPS主要基于特征或簽名檢測(cè)技術(shù)，對(duì)已知威脅和漏洞進(jìn)行實(shí)時(shí)檢測(cè)和在線阻斷(IPS)，成本低效率高。

什么是EDR？

EDR全稱是終端檢測(cè)與響應(yīng)（Endpoint Detection and Response），它主要作用于主機(jī)側(cè)，會(huì)在發(fā)現(xiàn)威脅時(shí)觸發(fā)告警并自動(dòng)響應(yīng)，并處理掉相關(guān)威脅。通過部署在終端上的軟件代理，EDR列出檢測(cè)端點(diǎn)上已知的惡意軟件和可疑活動(dòng)的清單，如注冊(cè)表更改和密鑰文件操作。

什么是NDR？

NDR全稱是網(wǎng)絡(luò)檢測(cè)和響應(yīng)（Network Detection & Response），利用網(wǎng)絡(luò)流量進(jìn)行作業(yè)，提供威脅檢測(cè)與預(yù)警能力，并提供威脅響應(yīng)。NDR解決方案旨在幫助安全分析師在網(wǎng)絡(luò)上和/或云中發(fā)現(xiàn)正在進(jìn)行或已經(jīng)發(fā)生的惡意活動(dòng)的證據(jù)。NDR是攻擊專業(yè)化和定向化趨勢(shì)下出現(xiàn)的主動(dòng)防御產(chǎn)品，側(cè)重在基于實(shí)時(shí)或歷史流量做異常檢測(cè)和主動(dòng)的威脅狩獵。

從某種意義上說，NDR工具是有效的“下一代IDS”。NDR和舊的IDS工具之間的一個(gè)很大的區(qū)別是：它主要使用威脅情報(bào)、機(jī)器學(xué)習(xí)等非簽名技術(shù)來檢測(cè)網(wǎng)絡(luò)中的可疑流量。NDR工具通常會(huì)使用多種機(jī)器學(xué)習(xí)（Machine Learning）技術(shù)來識(shí)別正常的基線和異常流量，而不是靜態(tài)規(guī)則或IDS簽名。從歷史上看，IDS的主要缺點(diǎn)是操作費(fèi)時(shí)費(fèi)力，效率有限，并且可能產(chǎn)生大量的誤報(bào)。

NDR的出現(xiàn)是為了發(fā)現(xiàn)和補(bǔ)救某些類型的攻擊。高級(jí)持續(xù)威脅（Advanced Persistent Threat APT）通常由國家情報(bào)機(jī)構(gòu)的行為者實(shí)施，目的是收集外國公司和機(jī)構(gòu)的情報(bào)、盜取知識(shí)產(chǎn)權(quán)或破壞。APT的行為者可能還包括資金充足但不道德的公司和黑客組織。他們的目標(biāo)通常是長(zhǎng)期駐留在受害者的數(shù)字資產(chǎn)上，因此使用了“持久（Persistent）”這個(gè)詞。APT組織歷來是最可能使用零日漏洞的，這使它們不容易被IDS、EDR檢測(cè)到。在過去的幾年里，網(wǎng)絡(luò)犯罪集團(tuán)已經(jīng)開始使用APT策略和戰(zhàn)術(shù)來對(duì)付他們的受害者：獲取資源，竊取數(shù)據(jù)，然后引爆勒索軟件。部署適當(dāng)?shù)腘DR工具可以更好地發(fā)現(xiàn)從初始失陷設(shè)備向組織內(nèi)其他目標(biāo)資產(chǎn)的橫向移動(dòng)，失陷的特權(quán)憑證的使用，以及數(shù)據(jù)泄露行為。

NDR工具也被部署在OT/ICS/IIoT環(huán)境中提供可見性，在這些環(huán)境中通常由于系統(tǒng)無法安裝端點(diǎn)代理而無法部署EDR解決方案。企業(yè)經(jīng)常將OT/ICS/IIoT設(shè)備與自己的通用IT網(wǎng)絡(luò)隔離，以達(dá)到遏制的目的。這樣的網(wǎng)絡(luò)劃分確實(shí)很有用，這些專門網(wǎng)絡(luò)和通用網(wǎng)絡(luò)以及后端網(wǎng)絡(luò)之間的控制點(diǎn)是部署NDR的邏輯位置。

有什么區(qū)別？

傳統(tǒng)上，IPS多數(shù)部署在網(wǎng)絡(luò)邊界，對(duì)已知威脅和漏洞進(jìn)行高效攔截，但難以發(fā)現(xiàn)APT攻擊且難以事后取證，回顧IDS/IPS的使用歷史，它們的主要缺點(diǎn)是操作費(fèi)時(shí)費(fèi)力，效率有限，并且可能產(chǎn)生大量的誤報(bào)。EDR主要用來監(jiān)控和緩解端點(diǎn)攻擊，這些攻擊通常集中在計(jì)算機(jī)和服務(wù)器上。NDR監(jiān)控南北向和東西向的網(wǎng)絡(luò)流量，能夠在相對(duì)更廣的視角上為組織提供全網(wǎng)絡(luò)范圍的實(shí)時(shí)可見性。

傳統(tǒng)的網(wǎng)絡(luò)安全解決方案專注于發(fā)現(xiàn)安全威脅，這種方法確實(shí)適用于試圖訪問網(wǎng)絡(luò)的活動(dòng)威脅。防火墻和終端安全等傳統(tǒng)工具可以阻止有害數(shù)據(jù)進(jìn)入網(wǎng)絡(luò)，但對(duì)已經(jīng)入侵系統(tǒng)的有害數(shù)據(jù)卻無能為力，因此組織還需要檢測(cè)當(dāng)前駐留在網(wǎng)絡(luò)中的惡意軟件和有害行為者。在已駐留威脅和新型的威脅發(fā)現(xiàn)方面，由于不斷監(jiān)控網(wǎng)絡(luò)流量和利用了威脅情報(bào)、機(jī)器學(xué)習(xí)等新技術(shù)，NDR相對(duì)于IDS/IPS是更可靠、準(zhǔn)確和全面的數(shù)據(jù)來源。但在已知威脅的檢測(cè)和防護(hù)上，由于IDS/IPS已經(jīng)是非常成熟的技術(shù)，性價(jià)比更高。所以，NDR并不是IDS/IPS完全的替代關(guān)系，而是互補(bǔ)的關(guān)系。

用戶對(duì)NDR的關(guān)注

Gartner在2019年《應(yīng)用網(wǎng)絡(luò)中心方法進(jìn)行威脅檢測(cè)和響應(yīng)》一文中提出了SOC可見性三位一體論，SOC應(yīng)該擁有自己的可見性核心SIEM/UEBA、NDR和EDR。SOC三位一體尋求顯著降低攻擊者在您的網(wǎng)絡(luò)上運(yùn)行足夠長(zhǎng)的時(shí)間以實(shí)現(xiàn)其目標(biāo)的機(jī)會(huì)。這些（SIEM/日志、網(wǎng)絡(luò)流量、端點(diǎn)數(shù)據(jù)）應(yīng)該被視為集成系統(tǒng)的數(shù)據(jù)源，從而實(shí)現(xiàn)基于行為的偵探分析、威脅狩獵以及取證調(diào)查。

來自ESG的關(guān)于威脅檢測(cè)和響應(yīng)的最大挑戰(zhàn)的調(diào)查報(bào)告顯示：

1、我們將大部分時(shí)間用于處理高優(yōu)先級(jí)/緊急威脅，而沒有足夠的時(shí)間用于更全面的戰(zhàn)略和改進(jìn)威脅檢測(cè)和響應(yīng)流程

2、由于無法部署代理，我們的網(wǎng)絡(luò)上存在“盲點(diǎn)”

3、很難關(guān)聯(lián)和組合來自不同安全控制的數(shù)據(jù)，這將影響威脅檢測(cè)和響應(yīng)功效/效率

4、很難跟蹤和衡量安全事件整個(gè)生命周期的進(jìn)展

5、網(wǎng)絡(luò)和安全之間很難協(xié)調(diào)任務(wù)

6、我們的攻擊面增長(zhǎng)太快，所以網(wǎng)絡(luò)安全團(tuán)隊(duì)很難跟上

7、安全警報(bào)沒有提供足夠的上下文或保真度，因此很難知道如何處理它們

從用戶對(duì)NDR的關(guān)注來看，主要集中在以下五個(gè)方面：

• 誤報(bào)

過多的誤報(bào)需要許多人力時(shí)間來驗(yàn)證，不同類型的算法會(huì)產(chǎn)出不同的結(jié)果，告警沒有足夠的上下文，缺乏對(duì)算法的可見性，因此無法查找事件的驗(yàn)證數(shù)據(jù)。此外許多機(jī)器學(xué)習(xí)有高算力要求，需要高質(zhì)量的數(shù)據(jù)和高技能的工程師。

• SIEM集成

SIEM軟件授權(quán)許可非常昂貴，維護(hù)和操作SIEM基礎(chǔ)設(shè)施的成本很高，并且需要太多的資源和時(shí)間。SIEM適合于檢測(cè)已知的威脅，但對(duì)于檢測(cè)未知的威脅不太有效，雖然經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全分析師可以從使用SIEM中受益，但資歷較淺的人除了查看基本的儀表板外，往往很難做其他事情。由于數(shù)據(jù)的不完整，SIEM不太適合某些用例。

• 網(wǎng)絡(luò)可見性

隨著組織試圖彌合SIEM和端點(diǎn)檢測(cè)和響應(yīng)工具之間的差距，整個(gè)安全行業(yè)迅速采用了NDR。但是，如果網(wǎng)絡(luò)中移動(dòng)的數(shù)據(jù)不是完全可見的，就像加密的流量一樣，完全保護(hù)是不可能的。需要優(yōu)化的NDR，如果你看不到問題，你就無法解決它。

• 威脅情報(bào)的質(zhì)量

威脅情報(bào)饋源有望改善態(tài)勢(shì)感知，增強(qiáng)網(wǎng)絡(luò)防御能力，并提供資源優(yōu)先級(jí)的數(shù)據(jù)。威脅情報(bào)要求精準(zhǔn)性和廣泛的覆蓋率，但并不是所有的威脅情報(bào)源都有很好質(zhì)量。情報(bào)信息的噪音有多大？情報(bào)的可信度有多高?他們是如何獲得情報(bào)？什么/誰是威脅的供應(yīng)商來源？提供的是感興趣的威脅？生成信息需要多長(zhǎng)時(shí)間？它的共享速度有多快？你能及時(shí)地利用這些信息做出行動(dòng)決策嗎？共享基礎(chǔ)設(shè)施是什么？你能自動(dòng)化訪問嗎？你能以自動(dòng)化的方式訪問和注入操作過程嗎？信息的使用和存在是否一致？

• 數(shù)據(jù)集

威脅檢測(cè)的數(shù)據(jù)源是事實(shí)來源，糟糕的數(shù)據(jù)會(huì)導(dǎo)致糟糕的分析結(jié)果。許多NDR是基于Netflow作為數(shù)據(jù)源并按需抓包，沒有充分的證據(jù)，無法回溯調(diào)查，只有基于連續(xù)包的捕獲和持續(xù)監(jiān)控的NDR，才能實(shí)現(xiàn)提前預(yù)警和回溯調(diào)查根源分析。

什么是高級(jí)NDR？

并不是每一種牛奶都叫特侖蘇，不同的NDR也一樣。區(qū)別于上一代的NDR解決方案，NETSCOUT公司推出的Omnis Cyber Intelligence（簡(jiǎn)稱OCI）威脅智能平臺(tái)是一種高級(jí)NDR，最大的不同在于所使用數(shù)據(jù)的質(zhì)量和通過ASI專利技術(shù)進(jìn)行智能數(shù)據(jù)分析能力。

高級(jí)NDR包括以下特點(diǎn)：

• 基于非采樣的全量數(shù)據(jù)包，而非Flow

NetFlow是NDR的一個(gè)常見數(shù)據(jù)源。用NetFlow來獲得整體的網(wǎng)絡(luò)可見性可能很好，但它太淺，信息數(shù)據(jù)不完整，無法提供針對(duì)原始報(bào)文的可見性，而原始報(bào)文對(duì)于檢測(cè)更高級(jí)的攻擊（如APT、隧道攻擊）是必需的。OCI這種高級(jí)NDR使用非采樣的全量數(shù)據(jù)包作為數(shù)據(jù)源，通過ASI專利技術(shù)進(jìn)行智能數(shù)據(jù)分析和威脅檢測(cè)。

• 線速捕獲和存儲(chǔ)原始數(shù)據(jù)包

通過其專門的網(wǎng)絡(luò)捕獲模塊，高級(jí)NDR在整個(gè)攻擊的生命周期中提供連續(xù)的線速的數(shù)據(jù)包捕獲和存儲(chǔ)。上一代NDR解決方案往往僅在觸發(fā)警報(bào)時(shí)進(jìn)行包捕獲，常常難以有效溯源調(diào)查，我們可以想象一種情況：如果一種新型威脅發(fā)生時(shí)，NDR并沒有產(chǎn)生告警，那這種威脅很可能被其漏過，NDR沒有捕獲和存儲(chǔ)與該威脅相關(guān)的數(shù)據(jù)包，我們要想對(duì)它進(jìn)行回溯取證就無從下手。

• 實(shí)時(shí)提取元數(shù)據(jù)的能力

高級(jí)NDR專用的網(wǎng)絡(luò)檢測(cè)引擎可以大規(guī)模地進(jìn)行深度包檢測(cè)（DPI技術(shù)），線速捕獲完整數(shù)據(jù)包并提取2-7層的高質(zhì)量、高價(jià)值和低容量的元數(shù)據(jù)。同時(shí)對(duì)這些元數(shù)據(jù)進(jìn)行威脅情報(bào)富化和分析，以實(shí)現(xiàn)實(shí)時(shí)和歷史威脅檢測(cè)。

• 本地存儲(chǔ)和分析

在本地保存完整的原始數(shù)據(jù)包和元數(shù)據(jù)（無需將它們發(fā)送到云），因此既不需要占用高額的存儲(chǔ)資源，也不會(huì)降低數(shù)據(jù)完整性，還可以利用索引技術(shù)快速訪問保存的原始數(shù)據(jù)包和元數(shù)據(jù)，以便進(jìn)行響應(yīng)性分析和長(zhǎng)期調(diào)查。

• 精心策劃的威脅情報(bào)

NETSCOUT的ASERT（Active Threat Level Analysis System）是一個(gè)全球安全響應(yīng)與威脅研究的精英團(tuán)隊(duì)，為當(dāng)今的企業(yè)和網(wǎng)絡(luò)運(yùn)營(yíng)商提供世界級(jí)的網(wǎng)絡(luò)安全研究和分析。ASERT擁有大量的研究DDoS、僵尸網(wǎng)絡(luò)和APT的安全專家，通過管道、逆向工程、蜜罐等方式研究全球的威脅情況，為客戶提供安全態(tài)勢(shì)和戰(zhàn)略情報(bào)，并通過ATLAS Intelligence Feed（簡(jiǎn)稱AIF）為NETSCOUT的安全產(chǎn)品和服務(wù)提供威脅情報(bào)，為客戶創(chuàng)造最大價(jià)值。

• 完全集成和數(shù)據(jù)輸出

完全融入現(xiàn)有的安全生態(tài)系統(tǒng)。例如，通過向SIEM/SOAR提供元數(shù)據(jù)和數(shù)據(jù)包輸出的能力，以便與其他數(shù)據(jù)（例如，EDR、SIEM日志或威脅情報(bào)）結(jié)合，以便用戶分析。

有了OCI這種高級(jí)NDR，能夠真正提升網(wǎng)絡(luò)團(tuán)隊(duì)和安全團(tuán)隊(duì)的協(xié)作有效性：為網(wǎng)絡(luò)團(tuán)隊(duì)提供安全視角快速判斷性能下降或通信故障是否由安全事件造成；安全團(tuán)隊(duì)獲得最高質(zhì)量的網(wǎng)絡(luò)數(shù)據(jù)用于事件分析與調(diào)查取證；基于同樣的網(wǎng)絡(luò)數(shù)據(jù)包的分析，網(wǎng)絡(luò)運(yùn)維團(tuán)隊(duì)與安全防護(hù)團(tuán)隊(duì)實(shí)現(xiàn)協(xié)同工作并能共享底層數(shù)據(jù)，避免重復(fù)投資。

這個(gè)長(zhǎng)期困擾管理、制造和IT人員的IIoT性能問題從而得到根本解決，使工廠運(yùn)營(yíng)恢復(fù)到可靠水平，這讓整個(gè)團(tuán)隊(duì)大大松了口氣。

30多年來，NETSCOUT的核心競(jìng)爭(zhēng)力一直是捕獲數(shù)據(jù)包和可擴(kuò)展的DPI深度包檢測(cè)技術(shù)。NETSCOUT的ASI自適應(yīng)服務(wù)智能專利技術(shù)將這些數(shù)據(jù)包轉(zhuǎn)換為豐富的獨(dú)特的2-7層元數(shù)據(jù)，我們稱之為智能數(shù)據(jù)。

NETSCOUT的Omnis Cyber Intelligence解決方案可以使用智能數(shù)據(jù)提供以下功能：

• 無邊界的可視性

Omnis CyberStream是一種高度可伸縮的數(shù)據(jù)包捕獲、分類和存儲(chǔ)的探針設(shè)備，提供on-prem和虛擬化部署方式，支持南北向和東西向流量監(jiān)控，為您提供跨越數(shù)據(jù)中心和云環(huán)境的360°全景可視性。

• 智能診斷

與持續(xù)的威脅情報(bào)源相結(jié)合，使您能夠隨時(shí)了解所有已知的威脅指標(biāo)；NETSCOUT提供多種類型的檢測(cè)，包括智能的網(wǎng)絡(luò)數(shù)據(jù)統(tǒng)計(jì)和行為分析，通過OCI使用威脅情報(bào)（AIF或第三方）來填補(bǔ)其他網(wǎng)絡(luò)安全工具留下的監(jiān)控盲點(diǎn)。

• 智能融合

NETSCOUT與Splunk、PaloAlto Networks和AWS Security Hub等多個(gè)合作伙伴產(chǎn)品的無縫集成，使您的整個(gè)安全堆棧更強(qiáng)大、更可靠。高級(jí)NDR不僅僅是“檢測(cè)”威脅：它還有助于阻止威脅。OCI與您的防火墻集成，以支持在邊界自動(dòng)阻斷威脅。NETSCOUT的智能數(shù)據(jù)可以輸出，并與您的其他數(shù)據(jù)來源相結(jié)合，填補(bǔ)可見性的空白，以提高事件調(diào)查效率，減少平均解決時(shí)間（MTTR）。