采用NTA 打赢高级威胁之战
2019-12-22郭涛
本刊记者 郭涛
NTA=高级威胁解决之道
网络流量分析(NTA)的概念是Gartner 于2013 年首次提出的,位列五种检测高级威胁的手段之一。它融合了传统的基于规则的检测技术,以及机器学习和其他高级分析技术,用以检测企业网络中的可疑行为,尤其是失陷后的痕迹。Gartner强调,NTA 是一种功能或能力,而非纯粹的产品。
目前,市场上大多数NTA产品的分析对象是东西流量,因为解决南北流量问题的产品已经有很多,包括IDS、WAF、防火墙等。但是有一个现象值得引起注意,近期NTA 产品成了企业用户最关注且需求最迫切的安全产品之一。究其原因,很多用户虽然部署了各种南北向的设备,但是仍然希望通过NTA再次检验或者印证一下南北流量防护的有效性。
传统的“预防加检测”逐渐失效,“持续检测与响应”才能应对今天不断变化的威胁局面。Gartner 的最新报告指出:NTA 解决方案正在逐步演变为通过采集网络分析以外的更多数据,实现更大范围的威胁检测。
基于此,瀚思科技近期将与Gartner 联合发布权威白皮书《与HanSight NTA 一同探索网络的真知灼见》,为实现NTA 的场景化应用指点迷津。
NTA 为何如此重要?
《与HanSight NTA 一 同探索网络的真知灼见》白皮书中提到NTA 融合了多种安全分析技术,可以针对各种不同的应用场景。最初,一些大数据厂商的解决方案中都包含一个NTA 功能模块,用于检测网络流量异常。如今,市场上既有单独销售的NTA 产品,也有与厂商大数据安全平台整合在一起的NTA。瀚思科技就属于后一类,它提 供All-in-One 的NTA 产品,集所有流量检测技术于一身。
可以将NTA 比作瀚思全场景安全平台的“传感器”,它为其后的分析提供了高质量的数据来源。HanSight NTA 综合了多种分析技术来检测企业网络上的可疑活动,易于部署,能够指导调查与响应,还实现了与现有SOC(安全运营中心)平台的整合。
NTA 为何如此重要?所有检测和响应技术面临的一个重大挑战就是数据源的质量。当SIEM 或其他检测与响应解决方案从第三方收集日志和事件信息时,所收集数据的质量是无法预测和控制的。通过监控网络流量和获取用于安全分析的正确遥测数据,NTA 检测能够成为现有网络安全解决方案检测结果的补充。HanSight NTA 解码网络流量,解析到NetFlow(网络流)和各种应用日志格式中,并保存到大数据平台。
HanSight NTA 是瀚思全场景安全平台不可缺少的模块,可以帮助客户检测和识别高级威胁,进行威胁调查和事件响应的取证,从而缩短总体的事件响应时间。HanSight NTA 与瀚思的企业级SIEM/UEBA 相结合,能够关联更多数据源,提供识别更多威胁模式的分析方法,并通过瀚思的企业级SIEM安全事件管理平台进行事件管理。
NTA 是一个发展非常快速的新的安全产品品类,但市场和应用远未成熟。通过广泛的调研,瀚思希望通过与Gartner 合作能进一步明确一个真正的NTA 到底应该具备哪些基本的能力,以及NTA 如何在具体的业务场景中落地。
对于企业客户的安全检测和运营来说,NTA 是不可或缺的,是客户在采购和部署安全整体套件时必须重点考虑的部分。NTA 可以和企业的大数据安全平台进行有效整合。不可否认,对于NTA的能力和使用,许多企业还在这样或那样的认识误区。瀚思科技与Gartner 联合推出此白皮书,也是想正确、清晰地向企业客户传递NTA 的功能和价值。
NTA 未来会走向哪里?
在攻防对抗中,以银行为代表的众多行业客户非常看重安全产品的检测能力,这也是NTA 受到关注的一个重要原因。对于大多数企业用户来说,NTA 是一个普遍适用的安全产品。NTA 与IDS、WAF 等产品从功能上看既有交叉,又有区别。用户其实并不会太介意产品之间的“模糊性”,只要是对于提升安全性有实质帮助的产品,用户都有兴趣尝试。
实际上,有效的网络安全分析并不是只应用一种技术。Gartner 认为,为保持超前于高级威胁的发展,网络检测、响应和取证解决方案必须要综合多种方法,也就是说,要综合运用多重检测技术,以场景为导向,用不同的技术有针对性地解决不同的问题。现代网络流量分析法的基础建立在将网络流量正确解析成多种格式,利用基于安全用例的跨时代分析技术,保存正确的数据,从而实现完整的取证调查。同时,将全球威胁情报作为补充,洞悉恶意活动,并将可疑行为匹配到确认的威胁,从而提高检测结果的保真度。
NTA 厂商的一个角力点是如何提高威胁检测的广度。Gartner 指出,聚焦“客户价值”的理念将区分出各厂商的竞争定位。NTA 解决方案通过获取网络分析以外的更多数据,可以实现更大范围的威胁检测。各厂商的NTA 解决方案在广度、地点和类型上存在差异,而且收集更多威胁数据的方法也不同。像机器学习这样的数据科学技术正成为NTA 厂商突出重围的关键点。从NTA 自身的能力来看,它必须具备上下文信息的分析能力。为实现在网络分析之外更广更强的威胁检测,数据收集和分析也会有所变化,这将改变NTA 解决方案的顶层价值主张。
了解NTA,实现快速的检测、调查与整治,打赢高级威胁之战。