近日，國際研究機構(gòu)Gartner?發(fā)布了《如何建設(shè)實施網(wǎng)絡(luò)檢測與響應(yīng)》（How to Architect Network Detection and Response Implementation）報告。報告旨在為安全技術(shù)人員提供有關(guān)網(wǎng)絡(luò)檢測和響應(yīng)（NDR）實施計劃的架構(gòu)指導(dǎo)，其概述了一個結(jié)構(gòu)化的方法，供安全架構(gòu)師有效規(guī)劃和準(zhǔn)備NDR實施。報告列舉了全球29家NDR代表廠商（representative NDR vendors），騰訊云憑借旗下NDR產(chǎn)品的多層檢測引擎、全流量分析建模、長周期威脅回溯等核心能力，入選全球代表廠商之列。

在報告中，Gartner對NDR的定義為：“網(wǎng)絡(luò)檢測和響應(yīng)（NDR）產(chǎn)品通過將行為分析應(yīng)用于網(wǎng)絡(luò)流量數(shù)據(jù)來檢測異常系統(tǒng)行為，它們不斷分析內(nèi)部網(wǎng)絡(luò)（東西向）和內(nèi)部和外部網(wǎng)絡(luò)（南北向）之間的原始網(wǎng)絡(luò)數(shù)據(jù)包或流量元數(shù)據(jù)?！?/p>

報告表示，“網(wǎng)絡(luò)檢測和響應(yīng)（NDR）通常被用作補充工具，以解決更廣泛的安全武器庫中的能力差距。然而，盡管NDR技術(shù)具有強大的優(yōu)勢，但其實施的復(fù)雜性對其采用構(gòu)成了挑戰(zhàn)。” 

“資源分配不足加上非最佳架構(gòu)是NDR實施中的一個常見陷阱?！?Gartner指出。因此，在報告中，Gartner提出NDR實施的指導(dǎo)框架，包括一個準(zhǔn)備階段和三個不同的步驟。

準(zhǔn)備階段：與利益相關(guān)者合作，確定能力差距和相關(guān)NDR用例。

步驟1-架構(gòu)師：根據(jù)確定的用例和網(wǎng)絡(luò)拓?fù)湓O(shè)計一個高級架構(gòu)。與網(wǎng)絡(luò)團(tuán)隊合作，為NDR制定流量攝入策略（例如負(fù)載平衡、直接路由、鏡像）。

步驟2-選擇：制定選擇標(biāo)準(zhǔn)并進(jìn)行POC，以評估產(chǎn)品尺寸和運營契合度。

步驟3-規(guī)劃：通過分配網(wǎng)絡(luò)和人力資源來準(zhǔn)備基礎(chǔ)設(shè)施，并為實施和未來的增強制定路線圖。

騰訊云NDR是騰訊自研的高級威脅檢測（APT檢測）、分析、溯源和響應(yīng)一體化解決方案，具備檢測場景全、響應(yīng)快、檢測能力強、阻斷率高（可達(dá)99.99%）四大優(yōu)勢。其符合Gartner在“網(wǎng)絡(luò)檢測和響應(yīng)市場指南”的“市場描述”部分中強調(diào)的定義和要求，因而入選本次報告的代表供應(yīng)商列表，且連續(xù)三次獲得Gartner《指南》的認(rèn)可和推薦。

具體而言，在檢測場景方面，騰訊云NDR基于云端協(xié)同的全流量檢測，覆蓋公有云上、線下機房全流量檢測場景，勒索病毒、郵件安全、密碼安全等九大安全專題，開箱即用，通過安全專題將威脅聚焦，結(jié)合可視化分析幫助客戶針對性解決風(fēng)險問題；在檢測能力方面，AI算法+威脅情報+哈勃沙箱+規(guī)則引擎+全流量溯源五大領(lǐng)先利器，強力對抗攻擊繞過和0day漏洞；在響應(yīng)速度上，騰訊云NDR具備全面的互聯(lián)網(wǎng)漏洞檢測機制及國內(nèi)領(lǐng)先的威脅情報庫，能實現(xiàn)實時聯(lián)動，快速響應(yīng)最新漏洞和事件；在阻斷效果上，騰訊云NDR采用非侵入式旁路阻斷攻擊行為，閉環(huán)處置事件，阻斷成功率高達(dá)99.99%。

同時，在多云和復(fù)雜的IT環(huán)境、人工智能的應(yīng)用、與其他產(chǎn)品集成中，騰訊云NDR均有創(chuàng)新舉措與應(yīng)用案例。

針對多云和復(fù)雜的IT環(huán)境，騰訊云NDR支持在公有云原生接入鏡像流量和線下機房。提供對互聯(lián)網(wǎng)出口流量、負(fù)載均衡、NAT網(wǎng)關(guān)等南北向流量，和子網(wǎng)內(nèi)、容器間等東西向流量做檢測，實時發(fā)現(xiàn)資產(chǎn)風(fēng)險、入侵事件、內(nèi)部滲透攻擊事件等能力。同時，留存原始報文和流量日志方便事后做溯源分析。通過云沙箱和靜態(tài)文件檢測能力，騰訊云NDR能發(fā)現(xiàn)惡意文件傳輸，洞察惡意文件的一切行為，發(fā)現(xiàn)未知威脅。

在部署方式上，騰訊云NDR兼容了不同企業(yè)IT環(huán)境的需求，能根據(jù)客戶流量規(guī)模的需求，結(jié)合企業(yè)自身的IT架構(gòu)進(jìn)行靈活部署。騰訊云NDR一方面與騰訊云做強結(jié)合，在服務(wù)好云上客戶的同時，在技術(shù)層面上更多地與云底層去結(jié)合，提供多云、混合云場景的流量安全運營體系和部署方案。

在AI的應(yīng)用上，NDR根據(jù)正常流量創(chuàng)建了用戶行為基線模型，通過機器學(xué)習(xí)等方式，幫助企業(yè)在海量數(shù)據(jù)里發(fā)現(xiàn)偏離模型的異常流量，發(fā)現(xiàn)潛在高危威脅。與單純基于統(tǒng)計或設(shè)置閾值的檢測方法相比，無監(jiān)督的AI模型可以更完美地貼合客戶的環(huán)境，并且不需要操作人員通過長期的閾值報警觀察來手動調(diào)整報警閾值。另外，通過有監(jiān)督的檢測模型，提升SQL注入、XSS攻擊、Webshell傳輸?shù)裙羰址ǖ臋z出率，有效應(yīng)對變種攻擊。

在與其他產(chǎn)品集成上，NDR提供幾十個開放API和便捷的數(shù)據(jù)獲取方式，方便用戶根據(jù)自己的需要，快速做接入聯(lián)動和數(shù)據(jù)分析，融入當(dāng)前已有的運營流程。目前NDR阻斷能力API已被國內(nèi)多家主流檢測廠商和客戶接入，形成自動化檢測響應(yīng)流程，大幅提升企業(yè)的威脅處置效率和能力。

目前，騰訊云NDR已經(jīng)擴(kuò)展到多個新的應(yīng)用場景，成功為工業(yè)、政務(wù)、金融、關(guān)基單位在重保期間的網(wǎng)絡(luò)安全保駕護(hù)航，幫助客戶快速發(fā)現(xiàn)網(wǎng)絡(luò)威脅、響應(yīng)安全事件，智能化部署網(wǎng)絡(luò)安全防御體系。在2024年的大型攻防演練中，騰訊云NDR幫助某大型銀行阻斷了近20億次攻擊，保障了100多個系統(tǒng)、近6000個服務(wù)器正常運轉(zhuǎn)，實現(xiàn)演練零事故。