去误报、高精度，NDR让企业安全防护上一个台阶

去误报、高精度，NDR让企业安全防护上一个台阶-存储在线

农业文明时代，当生产力提高，粮食可以养活更多人之后，就有一部分人可以不去种地，去研究其他事物，于是后来就有了手工业，社会得以发展。

当一个安全人员，每天被一些琐碎的、低效的事务牢牢绑定，没有时间和精力研究安全问题的时候，这也是明显不合理的，NDR（Network Detection and Response）技术作为一种能解放安全人员的方案，正在成为许多企业安全架构中的必选项。

一位被IDPS折磨的安全人员

小明是公司的安全人员，他那屡屡失守的发际线和永不退色的黑眼圈，使得这位二十多岁的年轻人比同龄人多了几分沧桑。

每天，从上班那一刻起，小明就要马上查看一下企业网络的安全状况，比如主机是否被黑，如果有状况则会马上开始大面积排查并处置，或断网，或重做系统，做完以后还得想想怎么甩锅。如果完成了应急，小明还需要做溯源，弄清楚到底是哪里出了问题再去解决。

除了解决问题，小明还需要关注网络中的隐患。比如杀毒软件的特征库有没有及时更新，机器的系统漏洞有没有及时打补丁，等等。作为安全人员，小明需要用到IDPS（入侵检测和防御系统）方案，IDS（入侵检测系统）负责发现问题，IPS（入侵防御系统）负责解决问题，IDS主要针对已发生的攻击事件或异常行为进行处理，它可以提醒小明进行防范和应对。

但问题是，IDS每天会产生数以万计的报警信息，小明即使996也看不完。最令他崩溃的是，这些信息不仅数量多，准确性还低，还经常误报、漏报，真实威胁经常看不见。小明最终选择不看IDS，于是IPS也一样变成了摆设。

小明也听说，很多人都不打算用IDPS了，现在流行的是NDR（网络威胁检测与响应），同行也说：

NDR不仅能发现已知的安全威胁，还能通过机器学习模型发现新的安全威胁，更重要的是，它对威胁的认知更深入，能大大降低误报、漏报的概率。同时，它还能对安全问题进行处置，很多人都认为NDR将取代IDPS。

描述很美好，小明决定自己也试试NDR，在这之前，他对NDR进行了一番研究。

被企业用户认可，NDR发展正当时

2020年，Gartner发布《Market Guide for Network Detection and Response》（《NDR市场指南》）报告，而在2019年，这个市场指南还叫做《NTA市场指南》。NDR主要是利用机器学习等分析技术来检测网络可疑流量的技术，持续分析流量数据来构建模型，当检测到可疑流量模式后就报警。从NTA切换到NDR，体现出的是从“分析”到“检测与响应”的变化，市场的需求更趋向于实战。

国际上有许多NDR厂商，在中国，微步在线是较早开始涉足NDR领域的安全厂商，包括奇安信、深信服、安恒信息以及中睿、东巽、安赛也在做NDR。微步在线的产品NDR产品叫做TDP（威胁感知平台），微步在线TDP业务线负责人赵林林表示，NDR与以往的NTA的一个非常大不同点就在于响应（Response-R）方面。

在他看来，响应不该只是阻断、联防联动这些处置操作，还应知道更多背后信息，比如，究竟感染了多少台机器，如何评估其影响和危害，如何对威胁进行定位和溯源等等，企业在被攻击后，应该积累针对性的应对措施。

赵林林认为，NDR对于企业的安全建设非常重要，它是企业安全非常关键的基础设施，既是拴在屋子里防盗的铃铛，也是照亮屋子的灯，能让企业看清楚到底发生了什么。

有媒体认为，2021年将成为NDR元年。Gartner在市场研究报告（《Emerging Technologies: Adoption Growth Insights for Network Detection and Response》）中指出，“尽管疫情大流行造成了影响，但NDR仍然是一个快速增长的市场。

微步在线的市场发展也验证了这一点，赵林林表示，目前TDP是微步在线的主打产品，TDP的付费客户已经有200多家。

微步在线的NDR方法论：抓得准，看得见，搞得定

众所周知，微步在线的长处是威胁情报，所以，微步在线用情报驱动NDR看似剑走偏锋，实则成效显著。

在网络安全领域，黑客们共享自己的攻击方法、工具、漏洞，而作为防御者则经常处于各自为战的状态，威胁情报能够扭转防御者的局势，化被动为主动。微步在线运营着亚洲最大的情报共享社区，拥有完整的情报生产和流转机制，拥有能秒级更新的一手情报，能做到一点发现，全网共享，多点联防，而这一优势在TDP产品中得到了体现。

最直接的体现就是威胁检测的准确率奇高。准确率对于NDR检测报警环节非常重要。无法准确检测，就无法正确响应。微步在线的TDP结合威胁情报、特征分析、人工智能技术，精准发现问题，避免真实报警被误报淹没的困境，聚焦于真实的威胁。因此微步在线TDP的监测准确率远高于业内普遍水平，其误报率只有0.03%~0.05%，而业内误报率能达到3%~5%的也凤毛麟角。

开启统揽全局的上帝视角。微步在线的TDP看重NDR在资产检测方面的价值，它可以帮企业解决流量层面能解决的所有问题，能通过分析协议来识别不同的资产，从而实现被动资产发现，能照顾到企业所有的资产，开启上帝视角。

更自动化的处置闭环。NDR的R作为响应环节，就是要避免此前NTA技术的“管杀不管埋”的问题，对发现的问题进行处置。当攻击自动化程度越来越高时，防御者自然也希望能自动化的处理，手工防御效率低成本高，而自动化的处置闭环也显得非常有必要。微步在线的TDP可根据根据情报、攻击判定，自动阻断后续攻击，还可以联动第三方安全设备，打通处置流程。与TDP Agent配合，还可以自动化定位恶意程序和执行过程。

更丰富的检测能力。赵林林认为NDR可以做的有很多，他认为检测既要有漏洞检测，也要有规则检测，还要有情报检测，还可以不断加入新的算法模型增加检测维度，从而检测出更多信息，比如，可以分辨是内部攻击还是外部攻击，是什么导致的报警等等。微步在线的TDP构建了云+端+流量全面检测能力，不再依赖单视角检测，能让Webshell、反弹后门等高级威胁无处遁形。

此外，在微步在线的产品矩阵中，流量和终端可以协同检测分析和响应。OneEDR是微步在线推出的主机威胁检测与响应平台，在TDP和OneEDR配合中，TDP只能做流量分析，而有了OneEDR之后，微步在线可以端和流量的信息结合起来做分析，增加新的维度后能更准确地判断主机的安全状态，这种提升对于TDP和OneEDR都非常重要。

有了微步在线TDP后的新生活

转变发生的有点快，如今，做为微步在线TDP用户，小明的生活发生了翻天覆地的变化，光是外形看起来就年轻了好几岁。

作为国内市场上比较成熟的NDR解决方案，微步在线的TDP真正做到了有问题才报警，没有问题就不报警，正是这看似简单的一点，将小明从IDPS浩如烟海的报警中走了出来，光凭这一点，小明就少了很多无意义的加班。

发现问题后，自然就能进行处理了，微步在线的TDP能对许多安全威胁进行自动化的处置，自动拯救失陷的主机，大大提高了工作效率。

但这还远没有结束，在解决问题之余，TDP还能帮助小明对安全问题进行溯源，查清楚问题的来龙去脉，偶尔还能发现更隐蔽的攻击和潜伏的安全威胁，知其然，知其所以然，对安全的认知也在逐步提升。

作为一款成熟的NDR方案解决方案，微步在线的TDP还能帮助小明清楚地看见公司内部的各种安全资产，对公司整体的安全态势有更清晰准确的认识，TDP精准告警和全面的资产发现能力让小明觉得很安心，再也不用整天提心吊胆的上班了。

总之，NDR的出现大大提高了小明这样的安全人员的安全守护能力，摆脱琐碎的日常工作，聚焦于更多安全本身的问题。