應(yīng)用場景
全流量威脅檢測與響應(yīng)NDR(Network Detection and Response),是云上環(huán)境業(yè)務(wù)資產(chǎn)流量安全的最后一道防線。本文介紹NDR的應(yīng)用場景。
重保防護(hù)與威脅溯源場景
問題與挑戰(zhàn)
在重大保障期間,網(wǎng)絡(luò)安全防護(hù)的重要性尤為突出,攻擊者可能會(huì)利用這一時(shí)機(jī)發(fā)起APT攻擊、零日攻擊、隱蔽式攻擊等高級攻擊,試圖破壞正常秩序或竊取敏感信息。這種強(qiáng)對抗的形式下,安全運(yùn)營人員不僅是發(fā)現(xiàn)告警,還要基于攻擊流量進(jìn)行溯源,分析攻擊者的攻擊路徑與手法,進(jìn)而提前采取針對性高效防御手段進(jìn)行應(yīng)對。但當(dāng)前邊界防護(hù)設(shè)備往往只進(jìn)行安全事件告警,并不提供原始攻擊流量的存儲,導(dǎo)致安全運(yùn)營人員缺少原始攻擊流量做攻擊回溯,無法進(jìn)一步確認(rèn)異常流量具體問題,帶來極大安全隱患。
解決方案
利用NDR的威脅分析與多檢測引擎能力不僅可以覆蓋更廣泛的威脅類型,還可以在產(chǎn)生告警的同時(shí)留存攻擊事件報(bào)文及攻擊發(fā)生前后原始流量,助力安全運(yùn)營團(tuán)隊(duì)進(jìn)行攻擊回溯,了解攻擊者使用的技術(shù)與工具,識別入侵路徑、確認(rèn)攻擊者身份與攻擊目的,必要時(shí)進(jìn)行強(qiáng)力舉證追究攻擊者法律責(zé)任,在滿足溯源需求的同時(shí)兼顧成本投入,避免無用流量帶來高昂的存儲費(fèi)用。
資產(chǎn)風(fēng)險(xiǎn)梳理與敏感數(shù)據(jù)泄露檢測場景
問題與挑戰(zhàn)
很多金融、醫(yī)療等行業(yè)客戶,由于行業(yè)的特殊屬性,其業(yè)務(wù)中存在大量敏感高價(jià)值的數(shù)據(jù),攻擊者往往想盡辦法竊取這些數(shù)據(jù)進(jìn)行非法牟利或用于其他商業(yè)競爭用途,因此企業(yè)內(nèi)部業(yè)務(wù)端口違規(guī)開放、敏感數(shù)據(jù)暴露和資產(chǎn)弱口令等風(fēng)險(xiǎn)問題很容易被攻擊者入侵利用,一旦泄露將給企業(yè)帶來巨大的經(jīng)濟(jì)損失與負(fù)面影響。
解決方案
當(dāng)要進(jìn)行企業(yè)資產(chǎn)與數(shù)據(jù)保護(hù)的時(shí)候,前提是要知道有哪些業(yè)務(wù)資產(chǎn)存在風(fēng)險(xiǎn),利用NDR的資產(chǎn)管理與風(fēng)險(xiǎn)管理能力,可以自動(dòng)梳理當(dāng)前云上資產(chǎn)類型及服務(wù)種類,快速發(fā)現(xiàn)資產(chǎn)服務(wù)存在的端口違規(guī)開放、弱口令登錄及敏感數(shù)據(jù)暴露問題,從而識別風(fēng)險(xiǎn)資產(chǎn)區(qū)域,標(biāo)注存在敏感數(shù)據(jù)傳輸?shù)臉I(yè)務(wù)接口。
強(qiáng)監(jiān)管日志合規(guī)與流量審計(jì)場景
問題與挑戰(zhàn)
有些行業(yè)客戶內(nèi)部業(yè)務(wù)對日志審計(jì)要求很高,本地業(yè)務(wù)日志都集中到自建的SIEM、SOC平臺管理,但云上缺乏全流量威脅分析的有效途徑,存在七層雙向業(yè)務(wù)日志不全、檢索與投遞操作復(fù)雜等問題,希望能對云上資產(chǎn)訪問行為進(jìn)行全面流量分析和審計(jì)。
解決方案
NDR可以對云上雙向全流量進(jìn)行有效檢測,利用協(xié)議日志檢索、過濾與投遞能力,可以按需生成全面豐富的日志信息,并可在NDR控制臺進(jìn)行日志信息可視化分析與檢索,同時(shí)支持自定義選擇協(xié)議類型與具體字段投遞至線下SIEM等平臺集中審計(jì)。