2020年,Gartner首次提出了NDR的概念--Network Detection and Response,即网络检测与响应。到2029年,Gartner预测云网络中超过50%的网络安全事件将由NDR技术首次发现,云环境中基于全流量进行威胁发现的能力愈发重要。
在数字化转型的浪潮中,企业纷纷将业务迁移到云端,以期获得更高的灵活性、可扩展性和成本效益。然而,随之而来的安全挑战也日益严峻,伴随云上攻防技术的快速发展,相关攻击特征更加隐蔽,部分高级可持续性攻击入侵云环境,亟需全流量威胁检测与分析能力,判定和溯源此类威胁。
日前,在FreeBuf主办的第十届WitAwards中国网络安全行业年度评选活动上,阿里云全流量威胁检测与响应NDR荣获2024年度创新安全产品TOP10。获奖的背后,正是阿里云安全团队基于云平台侧多年的内部防护经验,转换为面向用户开放的产品,实现了流量防御能力升级,为云上流量防护提供了新视角。
应对网络安全新挑战阿里云NDR全面焕新
痛点1:部署NDR产品,业务中断or受影响怎么办?
客户1:业务非常重要,对连续性要求非常高,不能有延迟、更不能断,一直不敢上安全防护设备,但又担心遭到攻击却不知道,这该如何是好?
客户2:检测之前需要安装很多Agent引流,我都担心这些Agent出现问题影响业务,安装阻力大、配置复杂、后期维护也很麻烦,有没有云上接入的“纯净模式”啊!
客户3:每天运维那么多设备,不想上线新设备,安装部署又得熬夜搞,活太多干不完啊!!
能力1:旁路部署,业务“零”感
不同于串联部署的安全产品,阿里云NDR的旁路镜像接入分析方式以及和云底座深度融合的特性,能实现无需部署、一键接入云服务资产流量,操作简单、降低学习成本的同时也可满足高时效性、高敏感性业务的客户需求。
公网NDR可在云网络出口接入公网资产南北向流量,与WAF、云防火墙等直路产品形成互补,利用可以留存原始报文的能力,重在检测跨报文跨流的威胁分析。
- 私网NDR可通过原生化流量镜像接入私网资产VPC之间和VPC内部流量,解决内部网络中威胁横向扩散与未授权敏感数据传输检测的难题,帮助用户提高内网安全性,快速定位失陷资产。
痛点2:网络流量信息获取不全面,高级威胁发现困难
客户1: 在云边界的网络出口如何捕获所有的4-7层网络流量而确保没有遗漏?能否联动SOC/SIEM产品进一步关联分析?
客户2: 高级持续性威胁往往攻击特征较弱,一旦渗透到内网,在VPC内的ECS间,跨VPC都可能横向移动扩散,如何第一时间发现和止损?
能力2:多引擎关联,全流量分析
- 针对高等级APT攻击特征较弱、直路检测产品难以直接阻断的现状,阿里云NDR结合其旁路镜像缓存用户原始流量的能力,多维度检测,采用5大引擎关联分析(4-7层攻击特征+云端精准IOC+恶意文件沙箱+行为分析+暴露分析的多引擎检测),能快速识别异常告警,并支持将流量检测后生成各类协议日志投递到SLS,进而可以在云安全中心统一分析解决以往云上流量检测困难、日志字段缺失等审计难点问题。
- NDR基于双向报文、跨流、跨协议等上下文关联分析能力识别攻击成功与失陷。控制台支持快速筛选攻击成功、失陷的攻击,帮助安全运营人员及时发现受攻击资产并及时止血和隔离,降低“告警噪音”。
痛点3:溯源留存,成本居高不下
客户1: 重保期间用户主机侧曾多次出现恶意命令执行告警,但由于缺少原始流量无法确认攻击入口,造成极大安全隐患。
客户2: 我斥巨资留下来的流量,基本全都是正常流量,攻击流量看不到几条,这买卖真是亏大了!
能力3:想你所想,只留攻击
- 传统NDR100%留存全部流量的方案费用高昂,用户除非有强合规需求,一般不需要全部留存所有原始流量。而根据现网实测统计,攻击流量往往只占全部流量的1/10000。
- 阿里云NDR采用创新自动留存技术,仅自动留存攻击事件前后5分钟流量,且全程无需人工参与。不仅满足客户攻击异常行为的复现溯源和取证需求,还能避免无用流量带来高昂的存储费用,兼顾留存需要与成本投入。
- 阿里云NDR通过自动留存技术与风险管理关联,还可以与告警事件、资产信息进行关联,能够帮助用户快速定位所受攻击的具体IP和上层应用,并通过留存的报文取证和进一步分析攻击原始特征,帮助用户发现攻击源头,在重保等强对抗场景中获得先机。
产品公测
最后给大家放送一波福利,针对公共云客户,阿里云全流量威胁检测与响应NDR即日起为您提供免费试用机会,期间您可接入全流量进行深度检测,助力云上资产暴露面与场景化风险管理,提供云上全流量的威胁溯源与取证,感兴趣的话,您可以扫描下方二维码参与试用,或联系售前安全解决方案工程师开启,或点击“阅读原文”申请免费公测资格。
*最终解释权归阿里云安全产品团队所有。
