去年，Gartner發布了網絡檢測和響應(NDR)市場指南，指出將機器學習等分析技術應用于網絡流量的NDR技術能夠幫助企業檢測其他安全工具檢測不到的安全威脅，手動和自動響應功能是這個進入門檻較低的市場的競爭焦點。

[[392444]]

NDR以前被稱為網絡流量分析，它不僅在幫助網絡安全團隊識別威脅方面發揮了重要作用，而且還使這些團隊能夠應對/響應威脅。

從“網絡流量分析”到NDR的名稱變化意味著：網絡數據在阻止威脅方面變得越來越重要，同時也是多層安全態勢和縱深防御的關鍵組成部分。

對于企業的安全團隊來說，在2021年余下的時間中，NDR對網絡安全的未來意味著什么?

網絡犯罪分子的頭號目標依然是人員

隨著技術的發展，網絡安全專業人員開發出了更復雜的技術來阻止攻擊，但事實仍然是：人員仍然是一個大問題，甚至可以說，人員仍然是最大的問題。

根據Fortinet最近發表的報告《FortiGuard實驗室全球威脅態勢報告》，社會工程和網絡釣魚仍是發動攻擊的主要手段。無數調查表明，針對性的即時攻擊依然是利用“人的漏洞”的非常有效的方法，網絡犯罪分子能夠輕松利用人員漏洞來以較低的成本和技術門檻來獲取更大的利益。

后新冠時代，由于遠程工作的人數有所增加(并且大部分時間處于歷史最高水平)，企業需要為隨時可能的遠程辦公做好IT準備，因此人員和IT系統的漏洞和攻擊面也在不斷擴大。2020年的多項安全調查都驗證了這一點，網絡犯罪和數據泄漏激增并創下歷史新高。

自適應安全：來自業務端的重大安全變革

NDR的網絡安全變革的“推手”不是安全廠商而是企業用戶。根據《福布斯》的報告，由于網絡流量分析已轉向NDR(很大程度上是由于機器學習的改進)，因此很多企業已經開始醞釀和規劃網絡安全的重大變革。

《福布斯》的調查顯示，有96%的企業高管計劃調整其網絡安全策略，55%的企業高管計劃增加網絡安全預算。幾乎所有企業面臨的最大的挑戰是：新的安全策略將越來越依賴“自動、自適應的網絡安全”。

根據451 Research的企業自適應安全ADE指數，到2022年，在客戶體驗、自動化、創新生態和數字商業等諸多高優先級的IT投資中，自適應網絡安全將引領并成為企業IT投資的重中之重(下圖)。

而NDR正是構建自適應安全的基礎：獲取網絡流量元數據，并使用機器學習和/或人工智能快速識別威脅并自動做出響應。這是個好消息，因為困擾網絡安全的人員問題，不僅僅存在于檢測環節，還存在于響應環節，也就是網絡攻擊發生后的應對效率。

突破人員瓶頸

在一個給定的網絡安全平臺中，隨著誤報次數的增加，查看這些警報的安全運營人員將忽略或錯過真實威脅的可能性也會增加。這只是一個簡單的數學問題，因為人類大量攝取數據必然會增加過勞幾率，隨后噪音會接管一切，誤報和漏報率同時上升。

為了解決此問題，網絡和安全團隊需要一個系統為他們提供最少的警報，并提供上下文以幫助了解威脅的性質和嚴重性。

對于SIEM(安全信息和事件管理)這樣的日志聚合系統而言，以上問題尤為突出，因為日志數據雖然提供了真實的信息，但是卻無法解讀其含義。通常，人們需要深入研究其他系統才能找到答案。這加劇了該問題，因為IT團隊的正常工作時間有限，深入挖掘多個系統來發現問題可能會給團隊增加工作負擔，同時也增加了工作的盲目性。

一個可行的方法或者說趨勢是，企業的網絡和安全團隊應該緊密集成，在同一個(NDR)系統中共享有價值的網絡數據，該系統不僅誤報更少(大多數NDR供應商會說他們可以做到這一點)，而且還可以對攻擊進行上下文洞察。NDR還可啟用自動響應，但是安全和網絡專業人員可能需要一些時間才能讓機器學習算法確定何時進行網絡更改或隔離網絡上的設備。

在智能化之前，NDR系統將首先提供一個自動化平臺，緩解人類面臨的挑戰：更快速、更準確、更有效地檢測和響應網絡威脅。

2021年將成為NDR元年，這意味著未來人員問題將不再是網絡安全的瓶頸。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文