产品定位决定了NDR不能替代IDPS
NDR需要产品团队具备高度复合能力
-
传统的特征检测能力是否已经过时或者说已经商品化?
-
现在国内多数NDR产品集成了开源规则引擎,看似这部分能力相对商品化,技术门槛并不高,但实则大家可能低估了它的价值和难度,对此所需的持续运营也未予以足够的重视。比如检测引擎层面,应用协议检测如何处理灵活性和深度?规则引擎的签名是否体系化?公司是否投入足够的资源持续运营优化规则引擎和规则? -
NDR核心能力侧重在准实时和长时的异常检测
-
不同于早期基于正常流量基线的异常检测技术,NDR是基于失陷的假设,以威胁为中心、依赖安全分析师威胁狩猎经验构建相关异常模型,这其中机器学习在NDR产品技术发展中变得日益重要。但结合Darktrace等厂商经验来看,机器学习并非直接用于产生告警,而是基于专家知识构建核心统计模型,然后通过AI/机器学习用于告警优先级排序。此外,NDR响应过程需要专业化人员,NDR还会通过机器学习将事件调查和响应工作流程中重复且耗时的任务进行自动化,提升效率。
-
NDR主要是基于网络元数据的检测
-
NDR的发展,也伴随业内意识到PCAP存在的成本问题以及在非实时和长时流量分析上的技术困难后,思路转向网络元数据。基于NetFlow、PCAP以及元数据的对比参见下表,我们发现保存网络元数据,能够较好地平衡安全分析/威胁狩猎所需的数据丰富性以及性价比:丰富的网络元数据采集和文件捕获具有较优的威胁检测和事件调查价值,可以较易且更快发现异常,同时计算和存储成本低。集中的元数据、加上捕获的文件甚至某些选定时间段的全包捕获数据,足以代替留存全流量数据。
原文始发于微信公众号(Viola后花园):IDPS vs. NDR update
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论