近日,第三方調(diào)研機(jī)構(gòu)數(shù)世咨詢發(fā)布《威脅檢測與響應(yīng)(TDR)市場指南》報(bào)告,從規(guī)模、技術(shù)能力與應(yīng)用場景等多角度對(duì)國內(nèi)TDR市場進(jìn)行了梳理。數(shù)世咨詢通過點(diǎn)陣圖的方式,在技術(shù)創(chuàng)新力與市場執(zhí)行力兩個(gè)維度對(duì)現(xiàn)有國內(nèi)安全廠商進(jìn)行評(píng)測,科來的流量檢測與分析技術(shù)代表國內(nèi)最高水平。
威脅檢測與響應(yīng)(TDR)是指以全流量檢測與分析技術(shù)為核心,結(jié)合威脅情報(bào)、脆弱性檢測、加密流量解析、日志分析 、EDR、SOAR、沙箱、專家服務(wù)等功能模塊,以網(wǎng)絡(luò)攻防對(duì)抗為主要場景的一體化解決方案。
全流量是指對(duì)網(wǎng)絡(luò)全部流量的采集與保存、全行為建模與分析以及全流量回溯,是結(jié)合大數(shù)據(jù)、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等技術(shù),實(shí)現(xiàn)網(wǎng)絡(luò)監(jiān)控?zé)o死角。通過對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)的可回溯、可追溯、可攔截,賦能用戶對(duì)網(wǎng)絡(luò)全方向未知威脅的感知能力。
TDR包含對(duì)網(wǎng)絡(luò)威脅的檢測、分析與處置,而“無法感知的未知威脅才是最大的威脅”,尤其在現(xiàn)今攻擊力量規(guī)模化、手法與手段更加隱匿及多樣化的情況下,網(wǎng)絡(luò)安全工作需要更前置、更主動(dòng)。
科來致力于針對(duì)威脅的檢測與分析工作,將全流量數(shù)據(jù)標(biāo)準(zhǔn)化、開放化,與各廠商進(jìn)行能力疊加,共同幫助用戶提升網(wǎng)絡(luò)安全門檻。科來通過網(wǎng)絡(luò)全流量分析技術(shù)對(duì)網(wǎng)絡(luò)中全部流量進(jìn)行全量記錄、實(shí)時(shí)深度檢測分析,為用戶提供“上帝視角”,洞察一切網(wǎng)絡(luò)情況,做到對(duì)未知威脅的及時(shí)發(fā)現(xiàn)、及時(shí)響應(yīng),整體提升網(wǎng)絡(luò)安全的主動(dòng)性和時(shí)效性。
網(wǎng)絡(luò)全流量分析技術(shù)的主要應(yīng)用場景
在威脅檢測場景中,網(wǎng)絡(luò)全流量檢測與分析技術(shù)能夠?qū)Y產(chǎn)進(jìn)行全面盤點(diǎn),實(shí)現(xiàn)收斂攻擊暴露面;對(duì)于可能存在的未知威脅,通過全流量采集、網(wǎng)絡(luò)協(xié)議解碼和元數(shù)據(jù)提取等步驟,能夠建立完整的協(xié)議及數(shù)據(jù)包索引,并逐步形成流量協(xié)議、通聯(lián)關(guān)系、行為統(tǒng)計(jì)等特征基線,為后續(xù)的關(guān)聯(lián)分析提供數(shù)據(jù)基礎(chǔ)。
在接下來的攻擊行為分析場景中,很多安全企業(yè)更愿將威脅情報(bào)前置,通過流量檢測環(huán)節(jié)即可判定檢測對(duì)象是否惡意,提升告警的準(zhǔn)確度,降低誤報(bào)率,為接下來的響應(yīng)溯源環(huán)節(jié)提供準(zhǔn)確線索;在對(duì)歷史流量日志進(jìn)行回溯分析時(shí),發(fā)現(xiàn)可能長期潛藏的未知高級(jí)威脅。
在近年來連續(xù)開展的網(wǎng)絡(luò)攻防演練中,科來通過網(wǎng)絡(luò)全流量分析技術(shù)在0day分析、未知威脅分析、追蹤與溯源、擴(kuò)線分析、攻擊研判與驗(yàn)證、資產(chǎn)梳理、策略梳理、暴露面梳理等方面為防守方提供技術(shù)和方法支撐,助力用戶取得優(yōu)異成績。
基于流量的檢測響應(yīng)技術(shù)成為安全領(lǐng)域最重要的安全防護(hù)手段
近幾年,IT與互聯(lián)網(wǎng)應(yīng)用的快速發(fā)展,各種新型攻擊的持續(xù)發(fā)生。隨著國家各項(xiàng)政策規(guī)范的制定以及重大網(wǎng)安活動(dòng)的推動(dòng),基于通信流量的檢測響應(yīng)技術(shù)勢必成為安全領(lǐng)域最重要的安全防護(hù)手段。
目前國內(nèi)的TDR應(yīng)用主要集中在運(yùn)營商、金融、能源等行業(yè),共同特點(diǎn)是信息化程度較高、對(duì)網(wǎng)絡(luò)攻擊敏感度高且市場相對(duì)成熟。可推斷未來隨著各行業(yè)信息化發(fā)展和市場成熟度的不斷提升,將對(duì)TDR的需求呈現(xiàn)明顯增長態(tài)勢。
