江苏龙网

  1. 首页 > 生活 > >

怎样评价网络流量分析 NTA 技术入选《Gartner:2017年11大顶尖信息安全技术》

NTA 的作用在于监测具备恶意的行为.
监测的目标是网络流量数据(traffic)、流信息(flows)、连接信息(connections)、可解析的元数据对象(objects)。
企业在需要基于网络识别(能够绕过基础安全措施的)高级攻击时可以考虑使用NTA来帮助识别、管理、辅助决策。


1. 如何评价 NTA 在安全领域的地位?

NTA 不是录像机,更像是具备金属识别、爆炸物识别、人脸识别、日志记录等等能力的综合安检仪。

作用:NTA 的作用在于监测具备恶意的行为.
监测的对象:网络流量数据(traffic)、流信息(flows)、连接信息(connections)、可解析的元数据对象(objects)。
Gartner的建议:企业在需要基于网络识别(能够绕过基础安全措施的)高级攻击时可以考虑使用NTA来支撑识别、管理、决策。

NTA 的核心功能是监测恶意行为;支撑用户进行恶意事件识别、管理、决策。监测是持续的、被动的防御措施。按照建设动态、综合防御体系在基础结构安全、被动防御、积极防御、威胁情报四个层次的要求, NTA 是一种被动防御手段、用以支撑用户建立积极防御能力、消费威胁情报(应对高级威胁)。

根据 Gartner 2017 这篇分析, NTA 是用以支撑 MDR 的技术之一。 当我们讲“全天候全方位的态势感知能力”,要考虑现有防护措施失效的问题,在“IPS+IDS+防火墙”的黑名单基础上做进一步补充,需要考虑使用 NTA 技术。

优秀的 NTA 产品需要具备两方面的能力,
第一方面基础技术能力:流量捕获能力;网络协议识别、解析的能力;海量数据记录的技术。
第二方面是对威胁的理解,要支撑用户识别威胁事件、管理威胁事件、决策响应手段,需要能够识别攻击者使用的载荷(文件)、行为、掌握的资源、使用的漏洞;提供攻击者相关的情报信息。

这里 沙箱不是必备的、AI 也不是必备的、机器学习也不是(最小可用)必备的。

沙箱的作用在揭示应用流量中文件的行为,特别是恶意代码激活后的网络行为,用于给 NTA 提供监测依据和分析线索。

2. 国外有哪些优秀的厂商和产品?

国外未见到特别优秀的单品,但既有的多种产品都提供了相关的能力。
典型的一类产品就是题主提到的,网络性能分析类的产品 Network Performance Monitoring and Diagnostics 。
相关的产品可以看 《Gartner’s 2017 Magic Quadrant For Network Performance Monitoring and Diagnostics》。



3. 国内有哪些优秀的厂商和产品?

国内以 360、安天 为代表的能力型厂商都有 NTA 类型的产品。
作为利益相关方,不方便评价哪个产品更优秀。

但部分产品对 NTA 的理解有偏颇。
有产品将分析范围扩展到了日志、增加了 SOC/SIEM 相关的功能,等于将 MDR 集成到了 NTA 里。国外代表 Cisco 主导的 OpenSOC/Metron,10节点整机柜交付。
有产品将沙箱集成到 IPS/IDS/UTM 里面当作自己是 NTA 产品。一众 Fireeye NX 模仿者,但 Fireeye NX 不是 NTA。

这种方式不利于客户安全防护能力的叠加演进,NTA 不是先有安全环节的替代品,而是可叠加实现 N+1 的增强。

当我们分析产品、技术的时候,需要立足于我们的国情、不能脱离于现实国情。

■网友
NTA=flow分析+payload分析+网络沙箱分析等
核心在于上述分析分析不是简单的基于规则匹配,而是高级的数据分析(Analytics),基于如ML和AI技术对流量进行画像,找到异常的流量。
从狭义上讲,UEBA主要偏主机侧的行为分析,NTA主要是偏网络侧的行为分析,当然广义的UEBA也包含NTA的。
国外做的好的如Darktrace,是英国一家创业公司,通过AI技术实现了网络流量的可视化和免疫防护。


推荐阅读


上一篇:程序员咋看待公司前台小妹收入只比你低1000的事实

下一篇:选择域名,一个选项是完整的拼音,但是比较长,另一个是稍加变造,短一些,从运营的角度,哪个更利于记忆,更利于推广