去年,Gartner发布了网络检测和响应(NDR)市场指南,指出将机器学习等分析技术应用于网络流量的NDR技术能够帮助企业检测其他安全工具检测不到的安全威胁,手动和自动响应功能是这个进入门槛较低的市场的竞争焦点。
NDR以前被称为网络流量分析,它不仅在帮助网络安全团队识别威胁方面发挥了重要作用,而且还使这些团队能够应对/响应威胁。
从“网络流量分析”到NDR的名称变化意味着:网络数据在阻止威胁方面变得越来越重要,同时也是多层安全态势和纵深防御的关键组成部分。
对于企业的安全团队来说,在2021年余下的时间中,NDR对网络安全的未来意味着什么?
网络犯罪分子的头号目标依然是人员
随着技术的发展,网络安全专业人员开发出了更复杂的技术来阻止攻击,但事实仍然是:人员仍然是一个大问题,甚至可以说,人员仍然是最大的问题。
根据Fortinet最近发表的报告《FortiGuard实验室全球威胁态势报告》,社会工程和网络钓鱼仍是发动攻击的主要手段。无数调查表明,针对性的即时攻击依然是利用“人的漏洞”的非常有效的方法,网络犯罪分子能够轻松利用人员漏洞来以较低的成本和技术门槛来获取更大的利益。
后新冠时代,由于远程工作的人数有所增加(并且大部分时间处于历史最高水平),企业需要为随时可能的远程办公做好IT准备,因此人员和IT系统的漏洞和攻击面也在不断扩大。2020年的多项安全调查都验证了这一点,网络犯罪和数据泄漏激增并创下历史新高。
自适应安全:来自业务端的重大安全变革
NDR的网络安全变革的“推手”不是安全厂商而是企业用户。根据《福布斯》的报告,由于网络流量分析已转向NDR(很大程度上是由于机器学习的改进),因此很多企业已经开始酝酿和规划网络安全的重大变革。
《福布斯》的调查显示,有96%的企业高管计划调整其网络安全策略,55%的企业高管计划增加网络安全预算。几乎所有企业面临的最大的挑战是:新的安全策略将越来越依赖“自动、自适应的网络安全”。
根据451 Research的企业自适应安全ADE指数,到2022年,在客户体验、自动化、创新生态和数字商业等诸多高优先级的IT投资中,自适应网络安全将引领并成为企业IT投资的重中之重(下图)。
而NDR正是构建自适应安全的基础:获取网络流量元数据,并使用机器学习和/或人工智能快速识别威胁并自动做出响应。这是个好消息,因为困扰网络安全的人员问题,不仅仅存在于检测环节,还存在于响应环节,也就是网络攻击发生后的应对效率。
突破人员瓶颈
在一个给定的网络安全平台中,随着误报次数的增加,查看这些警报的安全运营人员将忽略或错过真实威胁的可能性也会增加。这只是一个简单的数学问题,因为人类大量摄取数据必然会增加过劳几率,随后噪音会接管一切,误报和漏报率同时上升。
为了解决此问题,网络和安全团队需要一个系统为他们提供最少的警报,并提供上下文以帮助了解威胁的性质和严重性。
对于SIEM(安全信息和事件管理)这样的日志聚合系统而言,以上问题尤为突出,因为日志数据虽然提供了真实的信息,但是却无法解读其含义。通常,人们需要深入研究其他系统才能找到答案。这加剧了该问题,因为IT团队的正常工作时间有限,深入挖掘多个系统来发现问题可能会给团队增加工作负担,同时也增加了工作的盲目性。
一个可行的方法或者说趋势是,企业的网络和安全团队应该紧密集成,在同一个(NDR)系统中共享有价值的网络数据,该系统不仅误报更少(大多数NDR供应商会说他们可以做到这一点),而且还可以对攻击进行上下文洞察。NDR还可启用自动响应,但是安全和网络专业人员可能需要一些时间才能让机器学习算法确定何时进行网络更改或隔离网络上的设备。
在智能化之前,NDR系统将首先提供一个自动化平台,缓解人类面临的挑战:更快速、更准确、更有效地检测和响应网络威胁。
2021年将成为NDR元年,这意味着未来人员问题将不再是网络安全的瓶颈。
【本文是IDC.NET专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/125719.html<
