疫情肆虐全球的上半年，網(wǎng)絡(luò)釣魚攻擊增加了600%，勒索軟件攻擊增加了148%，F(xiàn)BI報(bào)告的網(wǎng)絡(luò)犯罪暴增了300%。而企業(yè)的檢測與響應(yīng)能力和速度，卻并沒有成比例增加，這也使得各種DR解決方案成為當(dāng)下企業(yè)的安全投資熱點(diǎn)。

網(wǎng)絡(luò)檢測和響應(yīng)(NDR)解決方案能夠幫助企業(yè)增強(qiáng)威脅響應(yīng)能力，提高網(wǎng)絡(luò)安全的可見性和威脅免疫力。

要為業(yè)務(wù)選擇合適的網(wǎng)絡(luò)檢測和響應(yīng)解決方案，企業(yè)需要考慮的因素有很多，以下，我們整理了幾位網(wǎng)絡(luò)安全專家對NDR選型給出的建議供企業(yè)參考。

[[340320]]

Mike Hamilton，CI Security首席技術(shù)官

選擇網(wǎng)絡(luò)檢測和響應(yīng)解決方案包含一系列技術(shù)和崗位人員，對于不同的企業(yè)來說，技術(shù)與人員的組合都是高度定制化的，這里有三種不同路徑：

• 托管。托管的檢測和響應(yīng)服務(wù)結(jié)合多種技術(shù)從網(wǎng)絡(luò)中收集信息，例如檢測分析以識別異?；顒樱约跋嚓P(guān)分析人員根據(jù)預(yù)定義的操作手冊進(jìn)行調(diào)查、確認(rèn)和執(zhí)行響應(yīng)操作，這些都已服務(wù)的方式提供。
• 運(yùn)營。您擁有NDR的技術(shù)、操作人員以及響應(yīng)、恢復(fù)和記錄保存的流程。這就是許多企業(yè)的發(fā)展路徑，但是這條路往往是越走越難。
• 自動化。最先進(jìn)的技術(shù)就是自動化：SOAR和其他方法可以利用您的預(yù)防和檢測控制工具與措施，并將其集成起來，并由技術(shù)來自動響應(yīng)和行動。

要確定是通過托管、操作還是自動化來提供最佳服務(wù)，請?jiān)儐柟?yīng)商：

• 部署的速度/便捷程度如何?
• 解決方案是否收集并分析所有數(shù)據(jù)源?
• 對于運(yùn)營模式，資源成本是多少，包括將資源分配給網(wǎng)絡(luò)安全的機(jī)會成本對項(xiàng)目會構(gòu)成何種影響?
• 對于托管模式，提供商如何尋找和保留威脅獵人和分析師?
• 對于自動化模式，誤報(bào)的最壞情況是什么?

Rahul Kashyap，Awake Security首席執(zhí)行官

選擇網(wǎng)絡(luò)檢測和響應(yīng)解決方案(NDR)可以防御非惡意軟件威脅，包括內(nèi)部攻擊、證書濫用、橫向移動和數(shù)據(jù)泄露等。NDR使企業(yè)可以更清楚地了解網(wǎng)絡(luò)的實(shí)際狀況以及所發(fā)生的活動。但是，并非所有NDR解決方案都是平等的。為了使價(jià)值最大化，建議用戶考慮以下三個(gè)關(guān)鍵參數(shù)：

• 數(shù)據(jù)：尋找能夠解析整個(gè)數(shù)據(jù)包而不是局限于NetFlow或IDS警報(bào)的解決方案。這提供了更大的可見度，使解決方案能夠識別更多相關(guān)威脅。
• 機(jī)器學(xué)習(xí)和AI：避免使用主要依賴無監(jiān)督機(jī)器學(xué)習(xí)并充當(dāng)黑匣子的解決方案。這類產(chǎn)品的誤報(bào)會產(chǎn)生大量的運(yùn)營開銷，并且不能向分析師提供解釋問題被標(biāo)記的原因的信息。
• 用例：能否替換現(xiàn)有的網(wǎng)絡(luò)取證、威脅搜尋等解決方案來減少工具泛濫。這有助于鞏固和現(xiàn)代化你的安全運(yùn)營，從而提高安全團(tuán)隊(duì)效率。

像任何其他安全解決方案一樣，僅獲取新的NDR工具并不能提高安全性。以我的經(jīng)驗(yàn)，購買者在決定技術(shù)堆棧時(shí)必須考慮對運(yùn)營的影響，這一點(diǎn)至關(guān)重要。

Igor Mezic，MixMode首席技術(shù)官

選擇網(wǎng)絡(luò)檢測和響應(yīng)解決方案選擇NDR解決方案時(shí)，應(yīng)詢問有關(guān)基礎(chǔ)方法的一些關(guān)鍵問題：

• AI NDR智能檢測響應(yīng)系統(tǒng)是否部分或完全取決于規(guī)則?如果是這樣，與調(diào)整和維護(hù)規(guī)則集相關(guān)的開銷是多少?在現(xiàn)代安全環(huán)境中，攻擊媒介正在迅速變化，大大超過了規(guī)則開發(fā)的工作量?；谝?guī)則的信息可以用作上下文，但不能用作主要信息源。機(jī)器學(xué)習(xí)系統(tǒng)的核心應(yīng)適應(yīng)新的網(wǎng)絡(luò)條件，因此應(yīng)獨(dú)立于靜態(tài)規(guī)則。
• 檢測的誤報(bào)率中假陽性占比多少?假陰性占比是多少?NDR的響應(yīng)功能高度依賴檢測的質(zhì)量。因誤報(bào)關(guān)閉子網(wǎng)可能會破壞正常的網(wǎng)絡(luò)運(yùn)行。在基于規(guī)則的系統(tǒng)和使用基于標(biāo)簽的監(jiān)督學(xué)習(xí)方法的系統(tǒng)中，會有大量誤報(bào)(包括假陽性和假陰性)?；诰垲惡拓惾~斯方法的無監(jiān)督系統(tǒng)通常也有較高的“假陽性”誤報(bào)率。
• 當(dāng)我們向網(wǎng)絡(luò)添加新的子網(wǎng)或路由器時(shí)會發(fā)生什么?NDR系統(tǒng)是否必須重新學(xué)習(xí)一切?在現(xiàn)成的機(jī)器學(xué)習(xí)系統(tǒng)中學(xué)習(xí)可能需要6到24個(gè)月的時(shí)間。如果每次將新組件添加到網(wǎng)絡(luò)時(shí)都要重復(fù)該循環(huán)，那么該方案就存在較大的局限性。AI系統(tǒng)必須在不增加額外學(xué)習(xí)時(shí)間的情況下適應(yīng)網(wǎng)絡(luò)上的新狀況。
• 檢測系統(tǒng)是否容易被欺騙?眾所周知，非生成式機(jī)器學(xué)習(xí)方法很容易通過注入損壞的數(shù)據(jù)樣本來欺騙，從而使系統(tǒng)無法識別特定的攻擊。

史蒂夫·米勒(Steve Miller)，F(xiàn)ireEye首席應(yīng)用安全研究員

網(wǎng)絡(luò)檢測和響應(yīng)解決方案(NDR)應(yīng)當(dāng)支持多種形式的安全操作和行動。

檢測事件必須區(qū)分為不同的優(yōu)先級類別。事件優(yōu)先級或嚴(yán)重性劃分可以確保重要的，合格的網(wǎng)絡(luò)檢測事件位居任務(wù)列表的頂部。您的安全團(tuán)隊(duì)可以優(yōu)先處理“頭部”檢測事件，并對受影響的資產(chǎn)進(jìn)行更加謹(jǐn)慎和快速的響應(yīng)。

網(wǎng)絡(luò)活動必須有歷史記錄。這可以是在一段時(shí)間內(nèi)存儲的完整數(shù)據(jù)包捕獲，也可以只是在每個(gè)網(wǎng)絡(luò)檢測事件之前和之后5分鐘的“時(shí)間片段”中捕獲數(shù)據(jù)包。解決方案應(yīng)包括抽象的網(wǎng)絡(luò)日志記錄，例如Netflow和HTTP事件日志記錄。日志記錄越多，調(diào)查就越容易。

解決方案必須啟用行動警報(bào)自動化。分析警報(bào)時(shí)，分析人員會執(zhí)行例行動作來收集有助于確認(rèn)和響應(yīng)方式的信息。解決方案必須啟用與警報(bào)關(guān)聯(lián)的自動數(shù)據(jù)收集，以備分析人員檢查，從而減少手動操作。

從功能上講，NDR解決方案必須輕松集成和收集來自其他技術(shù)堆棧的上下文數(shù)據(jù)，例如：DHCP租用、被動DNS解析、威脅參與者或惡意軟件關(guān)聯(lián)，以及可能通過隔離、阻止或操縱數(shù)據(jù)包來緩解或減少惡意事件影響的網(wǎng)絡(luò)/資產(chǎn)“處理”系統(tǒng)。自動提供上下文數(shù)據(jù)和“處理”選項(xiàng)是采取行動的基礎(chǔ)，而行動通常是人類工作流程中最費(fèi)力的部分。

JyothishVarma，Nuspire產(chǎn)品管理總監(jiān)

當(dāng)企業(yè)準(zhǔn)備投資檢測與響應(yīng)托管服務(wù)(MDR)時(shí)，他們應(yīng)考慮投資那些能夠檢測可繞過現(xiàn)有安全控制措施的攻擊的解決方案。對于那些具有靜態(tài)檢測機(jī)制的解決方案，如果黑客使用的漏洞沒有觸發(fā)預(yù)設(shè)的規(guī)則，那么沒人會知道攻擊已經(jīng)發(fā)生。

因此，企業(yè)必須依靠那些通過高級威脅檢測和響應(yīng)解決方案，以及訓(xùn)練有素的安全分析人員來增強(qiáng)安全控制能力的解決方案或托管服務(wù)，這些分析人員應(yīng)經(jīng)過系統(tǒng)培訓(xùn)，能夠主動發(fā)現(xiàn)威脅。

企業(yè)選擇的MDR方案還應(yīng)當(dāng)可以實(shí)時(shí)檢測攻擊，并且有專家全天候工作，以調(diào)查和響應(yīng)可能被技術(shù)漏掉的警報(bào)。MDR服務(wù)商需要提供24/7/365安全運(yùn)營中心的服務(wù)，其中配備了安全分析人員，可確保您可以充分利用專家資源來檢測攻擊，并根據(jù)需要協(xié)調(diào)事件響應(yīng)計(jì)劃。通過與擁有24/7全天候安全運(yùn)營中心的提供商合作，現(xiàn)有的企業(yè)安全團(tuán)隊(duì)將提高工作效率，并減少因誤報(bào)而浪費(fèi)的時(shí)間。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文