去誤報、高精度，NDR讓企業安全防護上一個臺階

農業文明時代，當生產力提高，糧食可以養活更多人之后，就有一部分人可以不去種地，去研究其他事物，于是后來就有了手工業，社會得以發展。

當一個安全人員，每天被一些瑣碎的、低效的事務牢牢綁定，沒有時間和精力研究安全問題的時候，這也是明顯不合理的，NDR（Network Detection and Response）技術作為一種能解放安全人員的方案，正在成為許多企業安全架構中的必選項。

一位被IDPS折磨的安全人員

小明是公司的安全人員，他那屢屢失守的發際線和永不退色的黑眼圈，使得這位二十多歲的年輕人比同齡人多了幾分滄桑。

每天，從上班那一刻起，小明就要馬上查看一下企業網絡的安全狀況，比如主機是否被黑，如果有狀況則會馬上開始大面積排查并處置，或斷網，或重做系統，做完以后還得想想怎么甩鍋。如果完成了應急，小明還需要做溯源，弄清楚到底是哪里出了問題再去解決。

除了解決問題，小明還需要關注網絡中的隱患。比如殺毒軟件的特征庫有沒有及時更新，機器的系統漏洞有沒有及時打補丁，等等。作為安全人員，小明需要用到IDPS（入侵檢測和防御系統）方案，IDS（入侵檢測系統）負責發現問題，IPS（入侵防御系統）負責解決問題，IDS主要針對已發生的攻擊事件或異常行為進行處理，它可以提醒小明進行防范和應對。

但問題是，IDS每天會產生數以萬計的報警信息，小明即使996也看不完。最令他崩潰的是，這些信息不僅數量多，準確性還低，還經常誤報、漏報，真實威脅經?？床灰?。小明最終選擇不看IDS，于是IPS也一樣變成了擺設。

小明也聽說，很多人都不打算用IDPS了，現在流行的是NDR（網絡威脅檢測與響應），同行也說：

NDR不僅能發現已知的安全威脅，還能通過機器學習模型發現新的安全威脅，更重要的是，它對威脅的認知更深入，能大大降低誤報、漏報的概率。同時，它還能對安全問題進行處置，很多人都認為NDR將取代IDPS。

描述很美好，小明決定自己也試試NDR，在這之前，他對NDR進行了一番研究。

被企業用戶認可，NDR發展正當時

2020年，Gartner發布《Market Guide for Network Detection and Response》（《NDR市場指南》）報告，而在2019年，這個市場指南還叫做《NTA市場指南》。NDR主要是利用機器學習等分析技術來檢測網絡可疑流量的技術，持續分析流量數據來構建模型，當檢測到可疑流量模式后就報警。從NTA切換到NDR，體現出的是從“分析”到“檢測與響應”的變化，市場的需求更趨向于實戰。

國際上有許多NDR廠商，在中國，微步在線是較早開始涉足NDR領域的安全廠商，包括奇安信、深信服、安恒信息以及中睿、東巽、安賽也在做NDR。微步在線的產品NDR產品叫做TDP（威脅感知平臺），微步在線TDP業務線負責人趙林林表示，NDR與以往的NTA的一個非常大不同點就在于響應（Response-R）方面。

在他看來，響應不該只是阻斷、聯防聯動這些處置操作，還應知道更多背后信息，比如，究竟感染了多少臺機器，如何評估其影響和危害，如何對威脅進行定位和溯源等等，企業在被攻擊后，應該積累針對性的應對措施。

趙林林認為，NDR對于企業的安全建設非常重要，它是企業安全非常關鍵的基礎設施，既是拴在屋子里防盜的鈴鐺，也是照亮屋子的燈，能讓企業看清楚到底發生了什么。

有媒體認為，2021年將成為NDR元年。Gartner在市場研究報告（《Emerging Technologies: Adoption Growth Insights for Network Detection and Response》）中指出，“盡管疫情大流行造成了影響，但NDR仍然是一個快速增長的市場。

微步在線的市場發展也驗證了這一點，趙林林表示，目前TDP是微步在線的主打產品，TDP的付費客戶已經有200多家。

微步在線的NDR方法論：抓得準，看得見，搞得定

眾所周知，微步在線的長處是威脅情報，所以，微步在線用情報驅動NDR看似劍走偏鋒，實則成效顯著。

在網絡安全領域，黑客們共享自己的攻擊方法、工具、漏洞，而作為防御者則經常處于各自為戰的狀態，威脅情報能夠扭轉防御者的局勢，化被動為主動。微步在線運營著亞洲最大的情報共享社區，擁有完整的情報生產和流轉機制，擁有能秒級更新的一手情報，能做到一點發現，全網共享，多點聯防，而這一優勢在TDP產品中得到了體現。

最直接的體現就是威脅檢測的準確率奇高。準確率對于NDR檢測報警環節非常重要。無法準確檢測，就無法正確響應。微步在線的TDP結合威脅情報、特征分析、人工智能技術，精準發現問題，避免真實報警被誤報淹沒的困境，聚焦于真實的威脅。因此微步在線TDP的監測準確率遠高于業內普遍水平，其誤報率只有0.03%~0.05%，而業內誤報率能達到3%~5%的也鳳毛麟角。

開啟統攬全局的上帝視角。微步在線的TDP看重NDR在資產檢測方面的價值，它可以幫企業解決流量層面能解決的所有問題，能通過分析協議來識別不同的資產，從而實現被動資產發現，能照顧到企業所有的資產，開啟上帝視角。

更自動化的處置閉環。NDR的R作為響應環節，就是要避免此前NTA技術的“管殺不管埋”的問題，對發現的問題進行處置。當攻擊自動化程度越來越高時，防御者自然也希望能自動化的處理，手工防御效率低成本高，而自動化的處置閉環也顯得非常有必要。微步在線的TDP可根據根據情報、攻擊判定，自動阻斷后續攻擊，還可以聯動第三方安全設備，打通處置流程。與TDP Agent配合，還可以自動化定位惡意程序和執行過程。

更豐富的檢測能力。趙林林認為NDR可以做的有很多，他認為檢測既要有漏洞檢測，也要有規則檢測，還要有情報檢測，還可以不斷加入新的算法模型增加檢測維度，從而檢測出更多信息，比如，可以分辨是內部攻擊還是外部攻擊，是什么導致的報警等等。微步在線的TDP構建了云+端+流量全面檢測能力，不再依賴單視角檢測，能讓Webshell、反彈后門等高級威脅無處遁形。

此外，在微步在線的產品矩陣中，流量和終端可以協同檢測分析和響應。OneEDR是微步在線推出的主機威脅檢測與響應平臺，在TDP和OneEDR配合中，TDP只能做流量分析，而有了OneEDR之后，微步在線可以端和流量的信息結合起來做分析，增加新的維度后能更準確地判斷主機的安全狀態，這種提升對于TDP和OneEDR都非常重要。

有了微步在線TDP后的新生活

轉變發生的有點快，如今，做為微步在線TDP用戶，小明的生活發生了翻天覆地的變化，光是外形看起來就年輕了好幾歲。

作為國內市場上比較成熟的NDR解決方案，微步在線的TDP真正做到了有問題才報警，沒有問題就不報警，正是這看似簡單的一點，將小明從IDPS浩如煙海的報警中走了出來，光憑這一點，小明就少了很多無意義的加班。

發現問題后，自然就能進行處理了，微步在線的TDP能對許多安全威脅進行自動化的處置，自動拯救失陷的主機，大大提高了工作效率。

但這還遠沒有結束，在解決問題之余，TDP還能幫助小明對安全問題進行溯源，查清楚問題的來龍去脈，偶爾還能發現更隱蔽的攻擊和潛伏的安全威脅，知其然，知其所以然，對安全的認知也在逐步提升。

作為一款成熟的NDR方案解決方案，微步在線的TDP還能幫助小明清楚地看見公司內部的各種安全資產，對公司整體的安全態勢有更清晰準確的認識，TDP精準告警和全面的資產發現能力讓小明覺得很安心，再也不用整天提心吊膽的上班了。

總之，NDR的出現大大提高了小明這樣的安全人員的安全守護能力，擺脫瑣碎的日常工作，聚焦于更多安全本身的問題。