2020年，Gartner首次提出了NDR的概念--Network Detection and Response，即网络检测与响应。到2029年，Gartner预测云网络中超过50%的网络安全事件将由NDR技术首次发现，云环境中基于全流量进行威胁发现的能力愈发重要。

在数字化转型的浪潮中，企业纷纷将业务迁移到云端，以期获得更高的灵活性、可扩展性和成本效益。然而，随之而来的安全挑战也日益严峻，伴随云上攻防技术的快速发展，相关攻击特征更加隐蔽，部分高级可持续性攻击入侵云环境，亟需全流量威胁检测与分析能力，判定和溯源此类威胁。

日前，在FreeBuf主办的第十届WitAwards中国网络安全行业年度评选活动上，阿里云全流量威胁检测与响应NDR荣获2024年度创新安全产品TOP10。获奖的背后，正是阿里云安全团队基于云平台侧多年的内部防护经验，转换为面向用户开放的产品，实现了流量防御能力升级，为云上流量防护提供了新视角。

应对网络安全新挑战

阿里云NDR全面焕新

能力1

旁路部署，业务“零”感

• 不同于串联部署的安全产品，阿里云NDR的旁路镜像接入分析方式以及和云底座深度融合的特性，能实现无需部署、一键接入云服务资产流量，操作简单、降低学习成本的同时也可满足高时效性、高敏感性业务的客户需求。

• 公网NDR可在云网络出口接入公网资产南北向流量，与WAF、云防火墙等直路产品形成互补，利用可以留存原始报文的能力，重在检测跨报文跨流的威胁分析。

• 私网NDR可通过原生化流量镜像接入私网资产VPC之间和VPC内部流量，解决内部网络中威胁横向扩散与未授权敏感数据传输检测的难题，帮助用户提高内网安全性，快速定位失陷资产。

能力2

多引擎关联，全流量分析

• 针对高等级APT攻击特征较弱、直路检测产品难以直接阻断的现状，阿里云NDR结合其旁路镜像缓存用户原始流量的能力，多维度检测，采用5大引擎关联分析（4-7层攻击特征+云端精准IOC+恶意文件沙箱+行为分析+暴露分析的多引擎检测），能快速识别异常告警，并支持将流量检测后生成各类协议日志投递到SLS，进而可以在云安全中心统一分析解决以往云上流量检测困难、日志字段缺失等审计难点问题。

• NDR基于双向报文、跨流、跨协议等上下文关联分析能力识别攻击成功与失陷。控制台支持快速筛选攻击成功、失陷的攻击，帮助安全运营人员及时发现受攻击资产并及时止血和隔离，降低“告警噪音”。

能力3

想你所想，只留攻击

• 传统NDR100%留存全部流量的方案费用高昂，用户除非有强合规需求，一般不需要全部留存所有原始流量。而根据现网实测统计，攻击流量往往只占全部流量的1/10000。

• 阿里云NDR采用创新自动留存技术，仅自动留存攻击事件前后5分钟流量，且全程无需人工参与。不仅满足客户攻击异常行为的复现溯源和取证需求，还能避免无用流量带来高昂的存储费用，兼顾留存需要与成本投入。

• 阿里云NDR通过自动留存技术与风险管理关联，还可以与告警事件、资产信息进行关联，能够帮助用户快速定位所受攻击的具体IP和上层应用，并通过留存的报文取证和进一步分析攻击原始特征，帮助用户发现攻击源头，在重保等强对抗场景中获得先机。

产品公测

最后给大家放送一波福利，针对公共云客户，阿里云全流量威胁检测与响应NDR即日起为您提供免费试用机会，期间您可接入全流量进行深度检测，助力云上资产暴露面与场景化风险管理，提供云上全流量的威胁溯源与取证，感兴趣的话，您可以扫描下方二维码参与试用，或联系售前安全解决方案工程师开启，或点击“阅读原文”申请免费公测资格。

*最终解释权归阿里云安全产品团队所有。

阿里云安全  

国际领先的云安全解决方案提供方，零信任SASE、数据安全、流量安全等8大安全域百余项核心能力，助力百行百业在云上构建生于云架构，具备高度一体化、智能化、自我进化特征的原生安全保护体系。

阿里云安全能力获权威机构认可：在2023年Forrester《基础设施即服务平台原生安全Wave™》报告中，阿里云荣升强劲表现者象限，容器安全等标准中获得最高分；在IDC《中国公有云网络安全即服务市场份额，2022》报告中，阿里云市场份额位居第一；在Gartner®发布的网络防火墙魔力象限《Magic Quadrant™ for Network Firewalls，2022》中，阿里云连续2年进入“挑战者”象限。

云原生安全技术的引领探索和实践者，通过安全能力与云紧耦合，实现双向技术的变革式突破，安全能效数倍提升，高弹高可用、稳定与协同；云服务内置天然免疫基因，与用户一起共同守护云上数字原生世界安全。