如何选择网络检测与响应解决方案（NDR）？

疫情肆虐全球的上半年，网络钓鱼攻击增加了600%，勒索软件攻击增加了148%，FBI报告的网络犯罪暴增了300%。而企业的检测与响应能力和速度，却并没有成比例增加，这也使得各种DR解决方案成为当下企业的安全投资热点。

网络检测和响应(NDR)解决方案能够帮助企业增强威胁响应能力，提高网络安全的可见性和威胁免疫力。

要为业务选择合适的网络检测和响应解决方案，企业需要考虑的因素有很多，以下，我们整理了几位网络安全专家对NDR选型给出的建议供企业参考。

[[340320]]

Mike Hamilton，CI Security首席技术官

选择网络检测和响应解决方案包含一系列技术和岗位人员，对于不同的企业来说，技术与人员的组合都是高度定制化的，这里有三种不同路径：

• 托管。托管的检测和响应服务结合多种技术从网络中收集信息，例如检测分析以识别异常活动，以及相关分析人员根据预定义的操作手册进行调查、确认和执行响应操作，这些都已服务的方式提供。
• 运营。您拥有NDR的技术、操作人员以及响应、恢复和记录保存的流程。这就是许多企业的发展路径，但是这条路往往是越走越难。
• 自动化。最先进的技术就是自动化：SOAR和其他方法可以利用您的预防和检测控制工具与措施，并将其集成起来，并由技术来自动响应和行动。

要确定是通过托管、操作还是自动化来提供最佳服务，请询问供应商：

• 部署的速度/便捷程度如何?
• 解决方案是否收集并分析所有数据源?
• 对于运营模式，资源成本是多少，包括将资源分配给网络安全的机会成本对项目会构成何种影响?
• 对于托管模式，提供商如何寻找和保留威胁猎人和分析师?
• 对于自动化模式，误报的最坏情况是什么?

Rahul Kashyap，Awake Security首席执行官

选择网络检测和响应解决方案(NDR)可以防御非恶意软件威胁，包括内部攻击、证书滥用、横向移动和数据泄露等。NDR使企业可以更清楚地了解网络的实际状况以及所发生的活动。但是，并非所有NDR解决方案都是平等的。为了使价值最大化，建议用户考虑以下三个关键参数：

• 数据：寻找能够解析整个数据包而不是局限于NetFlow或IDS警报的解决方案。这提供了更大的可见度，使解决方案能够识别更多相关威胁。
• 机器学习和AI：避免使用主要依赖无监督机器学习并充当黑匣子的解决方案。这类产品的误报会产生大量的运营开销，并且不能向分析师提供解释问题被标记的原因的信息。
• 用例：能否替换现有的网络取证、威胁搜寻等解决方案来减少工具泛滥。这有助于巩固和现代化你的安全运营，从而提高安全团队效率。

像任何其他安全解决方案一样，仅获取新的NDR工具并不能提高安全性。以我的经验，购买者在决定技术堆栈时必须考虑对运营的影响，这一点至关重要。

Igor Mezic，MixMode首席技术官

选择网络检测和响应解决方案选择NDR解决方案时，应询问有关基础方法的一些关键问题：

• AI NDR智能检测响应系统是否部分或完全取决于规则?如果是这样，与调整和维护规则集相关的开销是多少?在现代安全环境中，攻击媒介正在迅速变化，大大超过了规则开发的工作量。基于规则的信息可以用作上下文，但不能用作主要信息源。机器学习系统的核心应适应新的网络条件，因此应独立于静态规则。
• 检测的误报率中假阳性占比多少?假阴性占比是多少?NDR的响应功能高度依赖检测的质量。因误报关闭子网可能会破坏正常的网络运行。在基于规则的系统和使用基于标签的监督学习方法的系统中，会有大量误报(包括假阳性和假阴性)。基于聚类和贝叶斯方法的无监督系统通常也有较高的“假阳性”误报率。
• 当我们向网络添加新的子网或路由器时会发生什么?NDR系统是否必须重新学习一切?在现成的机器学习系统中学习可能需要6到24个月的时间。如果每次将新组件添加到网络时都要重复该循环，那么该方案就存在较大的局限性。AI系统必须在不增加额外学习时间的情况下适应网络上的新状况。
• 检测系统是否容易被欺骗?众所周知，非生成式机器学习方法很容易通过注入损坏的数据样本来欺骗，从而使系统无法识别特定的攻击。

史蒂夫·米勒(Steve Miller)，FireEye首席应用安全研究员

网络检测和响应解决方案(NDR)应当支持多种形式的安全操作和行动。

检测事件必须区分为不同的优先级类别。事件优先级或严重性划分可以确保重要的，合格的网络检测事件位居任务列表的顶部。您的安全团队可以优先处理“头部”检测事件，并对受影响的资产进行更加谨慎和快速的响应。

网络活动必须有历史记录。这可以是在一段时间内存储的完整数据包捕获，也可以只是在每个网络检测事件之前和之后5分钟的“时间片段”中捕获数据包。解决方案应包括抽象的网络日志记录，例如Netflow和HTTP事件日志记录。日志记录越多，调查就越容易。

解决方案必须启用行动警报自动化。分析警报时，分析人员会执行例行动作来收集有助于确认和响应方式的信息。解决方案必须启用与警报关联的自动数据收集，以备分析人员检查，从而减少手动操作。

从功能上讲，NDR解决方案必须轻松集成和收集来自其他技术堆栈的上下文数据，例如：DHCP租用、被动DNS解析、威胁参与者或恶意软件关联，以及可能通过隔离、阻止或操纵数据包来缓解或减少恶意事件影响的网络/资产“处理”系统。自动提供上下文数据和“处理”选项是采取行动的基础，而行动通常是人类工作流程中最费力的部分。

JyothishVarma，Nuspire产品管理总监

当企业准备投资检测与响应托管服务(MDR)时，他们应考虑投资那些能够检测可绕过现有安全控制措施的攻击的解决方案。对于那些具有静态检测机制的解决方案，如果黑客使用的漏洞没有触发预设的规则，那么没人会知道攻击已经发生。

因此，企业必须依靠那些通过高级威胁检测和响应解决方案，以及训练有素的安全分析人员来增强安全控制能力的解决方案或托管服务，这些分析人员应经过系统培训，能够主动发现威胁。

企业选择的MDR方案还应当可以实时检测攻击，并且有专家全天候工作，以调查和响应可能被技术漏掉的警报。MDR服务商需要提供24/7/365安全运营中心的服务，其中配备了安全分析人员，可确保您可以充分利用专家资源来检测攻击，并根据需要协调事件响应计划。通过与拥有24/7全天候安全运营中心的提供商合作，现有的企业安全团队将提高工作效率，并减少因误报而浪费的时间。

【本文是IDC.NET专栏作者“安全牛”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文