日前,全球IT研究與咨詢機(jī)構(gòu)Gartner®發(fā)布了2022年《Market Guide for Network Detection and Response》(《網(wǎng)絡(luò)檢測和響應(yīng)(NDR)全球市場指南》)(以下簡稱《指南》),斗象科技被列入該指南。
斗象科技PRS-NTA全流量安全計(jì)算分析平臺(簡稱PRS),以旁路方式實(shí)時采集、協(xié)議解析和存儲網(wǎng)絡(luò)全流量日志,基于大數(shù)據(jù)和人工智能等技術(shù),構(gòu)建新一代以數(shù)據(jù)計(jì)算分析為核心的威脅檢測與響應(yīng)平臺,對潛在的異常行為與隱蔽風(fēng)險(xiǎn)進(jìn)行檢測、分析和回溯取證,助力企業(yè)提升安全運(yùn)營效率,降低運(yùn)營成本。
▲PRS功能架構(gòu)圖
《指南》中指出:“網(wǎng)絡(luò)流量檢測和響應(yīng)(NDR)市場仍以22.5%的速度增長,并擴(kuò)展到IaaS基礎(chǔ)設(shè)施等新的應(yīng)用場景。安全和風(fēng)險(xiǎn)管理者應(yīng)優(yōu)先考慮將NDR作為威脅檢測工具的補(bǔ)充,重點(diǎn)關(guān)注其他控制措施未涵蓋的漏報(bào)、誤報(bào)和異常檢測。”
在《指南》中,Gartner表示有競爭力的NDR解決方案必須包含以下能力:
1、支持實(shí)時或近實(shí)時的原始網(wǎng)絡(luò)流量包或協(xié)議日志分析(例如網(wǎng)絡(luò)會話IPFIX、協(xié)議日志/元數(shù)據(jù));
2、監(jiān)聽和分析南北向流量(客戶端與服務(wù)器之間的流量),與東西向流量(當(dāng)它在整個網(wǎng)絡(luò)中橫向移動產(chǎn)生的流量);
3、能夠識別正常網(wǎng)絡(luò)流量,并高亮顯示南北向和東西向流量中超出正常范圍的可疑流量;
4、提供行為檢測技術(shù)(非基于簽名的檢測),如檢測網(wǎng)絡(luò)異常的機(jī)器學(xué)習(xí)或者高級分析技術(shù);
5、聚合結(jié)構(gòu)化事件中的單個告警(事件的聚合分析),來提升威脅調(diào)查效率;
6、對檢測到的可疑流量提供自動或手動的響應(yīng)能力。
除了符合以上能力外
面對內(nèi)外部威脅和大規(guī)模網(wǎng)絡(luò)流量時
斗象科技PRS是怎么做的呢?
斗象科技一直注重NDR/NTA產(chǎn)品的研發(fā)與應(yīng)用,我們結(jié)合企業(yè)常態(tài)化安全運(yùn)營管理需求,通過對網(wǎng)絡(luò)元數(shù)據(jù)存儲、建模計(jì)算和分析,構(gòu)建企業(yè)網(wǎng)絡(luò)安全運(yùn)營管理的核心,以“識別” => “檢測” => “分析調(diào)查” => “響應(yīng)” => “溯源取證”的過程實(shí)現(xiàn)完整閉環(huán),核心能力如下:
全流量采集與協(xié)議日志解析
PRS基于多NUMA包處理分析框架,實(shí)時對網(wǎng)絡(luò)雙向通信報(bào)文全文會話級采集、解析和存儲,性能達(dá)到40Gbps。
協(xié)議解析支持包括全量HTTP日志、DNS查詢?nèi)罩尽ySQL操作日志、登錄日志、郵件日志等50多種協(xié)議日志數(shù)據(jù),日志具備結(jié)構(gòu)化、輕量化、可機(jī)讀等特性,更適合安全檢測、調(diào)查分析和合規(guī)要求。
PB/EB級復(fù)合元數(shù)據(jù)存儲與秒級檢索技術(shù)
PRS基于大數(shù)據(jù)流處理引擎,支持百萬級EPS實(shí)時過濾、富化、關(guān)聯(lián)和分析,用戶可根據(jù)網(wǎng)絡(luò)區(qū)域、業(yè)務(wù)系統(tǒng)、存儲空間和周期等因素,對網(wǎng)絡(luò)會話、協(xié)議日志、文件和圖片等內(nèi)容進(jìn)行按需解析和存儲,幫助用戶實(shí)現(xiàn)高性能、低開銷、低成本的原始數(shù)據(jù)完整留存需求。
另外,PRS基于高速全文索引技術(shù),滿足PB級數(shù)據(jù)量級下的秒級檢索,不僅可以實(shí)現(xiàn)無延遲的實(shí)時安全檢測,還可以高效完成非實(shí)時性的跨周期深度調(diào)查和溯源取證工作。
針對PCAP原始數(shù)據(jù)包留存需求,PRS采用自研高性能存儲架構(gòu),對PCAP數(shù)據(jù)進(jìn)行塊狀壓縮存儲,通過會話標(biāo)記、文件偏移量計(jì)算等方式實(shí)現(xiàn)PCAP數(shù)據(jù)微秒級的快速解壓讀取能力。另外采用高壓縮比技術(shù),實(shí)現(xiàn)原始流量壓縮比小于60%,節(jié)省存儲費(fèi)用支出。
基于數(shù)據(jù)計(jì)算框架,內(nèi)置豐富的安全模型
PRS成熟應(yīng)用了大數(shù)據(jù)計(jì)算框架和流計(jì)算平臺技術(shù),內(nèi)置數(shù)十種開箱即用的安全檢測和分析模型。通過對海量正/負(fù)樣本、專家特征選取以及算法,建立場景化安全模型,以長期真實(shí)數(shù)據(jù)的模型運(yùn)營優(yōu)化,實(shí)現(xiàn)針對高級網(wǎng)絡(luò)攻擊、0day漏洞利用、無特征攻擊等高級威脅進(jìn)行有效監(jiān)測,構(gòu)建可演進(jìn)的動態(tài)威脅監(jiān)控體系。
安全模型即服務(wù)
PRS首創(chuàng)“安全模型即服務(wù)”理念和功能,支持自定義擴(kuò)展,豐富數(shù)據(jù)挖掘安全分析場景??苫跀?shù)據(jù)湖進(jìn)行自定義建模分析,以SAI-模型運(yùn)營平臺為基座,實(shí)現(xiàn)數(shù)據(jù)集選取、特征工程、算法選擇、模型運(yùn)行管理等功能。
提升檢測規(guī)則有效性,強(qiáng)化安全能力自運(yùn)營
PRS基于大數(shù)據(jù)計(jì)算分析能力,使用已發(fā)布特征規(guī)則、自定義特征模型對歷史協(xié)議日志數(shù)據(jù)進(jìn)行離線回溯檢測,挖掘歷史流量中隱蔽的攻擊行為。
PRS支持對各類檢測特征和模型的統(tǒng)計(jì)分析,包括各特征的檢出率、誤報(bào)率等,驗(yàn)證規(guī)則有效性,滿足企業(yè)能力提升安全運(yùn)營,更適應(yīng)企業(yè)的實(shí)際運(yùn)行環(huán)境。
場景化阻斷實(shí)現(xiàn)威脅精準(zhǔn)處置
PRS支持TCP阻斷和HTTP重定向兩種模式,支持自定義多種阻斷場景,可針對關(guān)鍵業(yè)務(wù)隔離、攻擊抑制等場景配置策略,最大程度保障客戶業(yè)務(wù)可用性,縮短風(fēng)險(xiǎn)處置時間,遏制攻擊者對網(wǎng)絡(luò)的進(jìn)一步威脅。
體系化、常態(tài)化的網(wǎng)絡(luò)安全防護(hù)體系成為應(yīng)對新型網(wǎng)絡(luò)威脅的根本要求,有效的流量分析技術(shù)已經(jīng)是網(wǎng)絡(luò)戰(zhàn)中重要的攻防手段,流量側(cè)的威脅檢測與響應(yīng)能力也將成為提升實(shí)戰(zhàn)化能力的關(guān)鍵因素。斗象科技過去和未來都堅(jiān)持深耕技術(shù)全面發(fā)展,圍繞著支撐用戶“可持續(xù)安全運(yùn)營”技術(shù)理念,不斷提高自身研發(fā)能力與技術(shù)水平,更好地滿足網(wǎng)絡(luò)安全領(lǐng)域的需求。我們認(rèn)為,此次被列入Gartner網(wǎng)絡(luò)檢測和響應(yīng)(NDR)全球市場指南是對斗象科技技術(shù)實(shí)力和產(chǎn)品能力持續(xù)進(jìn)步、不斷超越的又一肯定。
參考資料:Gartner, Market Guide for Network Detection and Response, December 2022.
免責(zé)聲明:Gartner未在其報(bào)告中支持任何廠商、產(chǎn)品或服務(wù),也并不建議技術(shù)用戶只選擇有最高評分或其它特征的廠商。Gartner研究出版物代表的是Gartner研究機(jī)構(gòu)的意見,不應(yīng)解釋為對事實(shí)的陳述。Gartner對與本研究有關(guān)的所有明示或暗示的保證概不負(fù)責(zé),包括對適銷性或特定用途的適用性的任何保證。Gartner是Gartner 有限公司和/或其附屬公司在美國及全球的注冊商標(biāo)和服務(wù)商標(biāo),經(jīng)許可在此使用。保留所有權(quán)利。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )