本刊記者 郭濤

NTA=高級(jí)威脅解決之道

網(wǎng)絡(luò)流量分析（NTA）的概念是Gartner 于2013 年首次提出的，位列五種檢測(cè)高級(jí)威脅的手段之一。它融合了傳統(tǒng)的基于規(guī)則的檢測(cè)技術(shù)，以及機(jī)器學(xué)習(xí)和其他高級(jí)分析技術(shù)，用以檢測(cè)企業(yè)網(wǎng)絡(luò)中的可疑行為，尤其是失陷后的痕跡。Gartner強(qiáng)調(diào)，NTA 是一種功能或能力，而非純粹的產(chǎn)品。

目前，市場上大多數(shù)NTA產(chǎn)品的分析對(duì)象是東西流量，因?yàn)榻鉀Q南北流量問題的產(chǎn)品已經(jīng)有很多，包括IDS、WAF、防火墻等。但是有一個(gè)現(xiàn)象值得引起注意，近期NTA 產(chǎn)品成了企業(yè)用戶最關(guān)注且需求最迫切的安全產(chǎn)品之一。究其原因，很多用戶雖然部署了各種南北向的設(shè)備，但是仍然希望通過NTA再次檢驗(yàn)或者印證一下南北流量防護(hù)的有效性。

傳統(tǒng)的“預(yù)防加檢測(cè)”逐漸失效，“持續(xù)檢測(cè)與響應(yīng)”才能應(yīng)對(duì)今天不斷變化的威脅局面。Gartner 的最新報(bào)告指出：NTA 解決方案正在逐步演變?yōu)橥ㄟ^采集網(wǎng)絡(luò)分析以外的更多數(shù)據(jù)，實(shí)現(xiàn)更大范圍的威脅檢測(cè)。

基于此，瀚思科技近期將與Gartner 聯(lián)合發(fā)布權(quán)威白皮書《與HanSight NTA 一同探索網(wǎng)絡(luò)的真知灼見》，為實(shí)現(xiàn)NTA 的場景化應(yīng)用指點(diǎn)迷津。

NTA 為何如此重要？

《與HanSight NTA 一 同探索網(wǎng)絡(luò)的真知灼見》白皮書中提到NTA 融合了多種安全分析技術(shù)，可以針對(duì)各種不同的應(yīng)用場景。最初，一些大數(shù)據(jù)廠商的解決方案中都包含一個(gè)NTA 功能模塊，用于檢測(cè)網(wǎng)絡(luò)流量異常。如今，市場上既有單獨(dú)銷售的NTA 產(chǎn)品，也有與廠商大數(shù)據(jù)安全平臺(tái)整合在一起的NTA。瀚思科技就屬于后一類，它提 供All-in-One 的NTA 產(chǎn)品，集所有流量檢測(cè)技術(shù)于一身。

可以將NTA 比作瀚思全場景安全平臺(tái)的“傳感器”，它為其后的分析提供了高質(zhì)量的數(shù)據(jù)來源。HanSight NTA 綜合了多種分析技術(shù)來檢測(cè)企業(yè)網(wǎng)絡(luò)上的可疑活動(dòng)，易于部署，能夠指導(dǎo)調(diào)查與響應(yīng)，還實(shí)現(xiàn)了與現(xiàn)有SOC（安全運(yùn)營中心）平臺(tái)的整合。

NTA 為何如此重要？所有檢測(cè)和響應(yīng)技術(shù)面臨的一個(gè)重大挑戰(zhàn)就是數(shù)據(jù)源的質(zhì)量。當(dāng)SIEM 或其他檢測(cè)與響應(yīng)解決方案從第三方收集日志和事件信息時(shí)，所收集數(shù)據(jù)的質(zhì)量是無法預(yù)測(cè)和控制的。通過監(jiān)控網(wǎng)絡(luò)流量和獲取用于安全分析的正確遙測(cè)數(shù)據(jù)，NTA 檢測(cè)能夠成為現(xiàn)有網(wǎng)絡(luò)安全解決方案檢測(cè)結(jié)果的補(bǔ)充。HanSight NTA 解碼網(wǎng)絡(luò)流量，解析到NetFlow（網(wǎng)絡(luò)流）和各種應(yīng)用日志格式中，并保存到大數(shù)據(jù)平臺(tái)。

HanSight NTA 是瀚思全場景安全平臺(tái)不可缺少的模塊，可以幫助客戶檢測(cè)和識(shí)別高級(jí)威脅，進(jìn)行威脅調(diào)查和事件響應(yīng)的取證，從而縮短總體的事件響應(yīng)時(shí)間。HanSight NTA 與瀚思的企業(yè)級(jí)SIEM/UEBA 相結(jié)合，能夠關(guān)聯(lián)更多數(shù)據(jù)源，提供識(shí)別更多威脅模式的分析方法，并通過瀚思的企業(yè)級(jí)SIEM安全事件管理平臺(tái)進(jìn)行事件管理。

NTA 是一個(gè)發(fā)展非?？焖俚男碌陌踩a(chǎn)品品類，但市場和應(yīng)用遠(yuǎn)未成熟。通過廣泛的調(diào)研，瀚思希望通過與Gartner 合作能進(jìn)一步明確一個(gè)真正的NTA 到底應(yīng)該具備哪些基本的能力，以及NTA 如何在具體的業(yè)務(wù)場景中落地。

對(duì)于企業(yè)客戶的安全檢測(cè)和運(yùn)營來說，NTA 是不可或缺的，是客戶在采購和部署安全整體套件時(shí)必須重點(diǎn)考慮的部分。NTA 可以和企業(yè)的大數(shù)據(jù)安全平臺(tái)進(jìn)行有效整合。不可否認(rèn)，對(duì)于NTA的能力和使用，許多企業(yè)還在這樣或那樣的認(rèn)識(shí)誤區(qū)。瀚思科技與Gartner 聯(lián)合推出此白皮書，也是想正確、清晰地向企業(yè)客戶傳遞NTA 的功能和價(jià)值。

NTA 未來會(huì)走向哪里？

在攻防對(duì)抗中，以銀行為代表的眾多行業(yè)客戶非?？粗匕踩a(chǎn)品的檢測(cè)能力，這也是NTA 受到關(guān)注的一個(gè)重要原因。對(duì)于大多數(shù)企業(yè)用戶來說，NTA 是一個(gè)普遍適用的安全產(chǎn)品。NTA 與IDS、WAF 等產(chǎn)品從功能上看既有交叉，又有區(qū)別。用戶其實(shí)并不會(huì)太介意產(chǎn)品之間的“模糊性”，只要是對(duì)于提升安全性有實(shí)質(zhì)幫助的產(chǎn)品，用戶都有興趣嘗試。

實(shí)際上，有效的網(wǎng)絡(luò)安全分析并不是只應(yīng)用一種技術(shù)。Gartner 認(rèn)為，為保持超前于高級(jí)威脅的發(fā)展，網(wǎng)絡(luò)檢測(cè)、響應(yīng)和取證解決方案必須要綜合多種方法，也就是說，要綜合運(yùn)用多重檢測(cè)技術(shù)，以場景為導(dǎo)向，用不同的技術(shù)有針對(duì)性地解決不同的問題?，F(xiàn)代網(wǎng)絡(luò)流量分析法的基礎(chǔ)建立在將網(wǎng)絡(luò)流量正確解析成多種格式，利用基于安全用例的跨時(shí)代分析技術(shù)，保存正確的數(shù)據(jù)，從而實(shí)現(xiàn)完整的取證調(diào)查。同時(shí)，將全球威脅情報(bào)作為補(bǔ)充，洞悉惡意活動(dòng)，并將可疑行為匹配到確認(rèn)的威脅，從而提高檢測(cè)結(jié)果的保真度。

NTA 廠商的一個(gè)角力點(diǎn)是如何提高威脅檢測(cè)的廣度。Gartner 指出，聚焦“客戶價(jià)值”的理念將區(qū)分出各廠商的競爭定位。NTA 解決方案通過獲取網(wǎng)絡(luò)分析以外的更多數(shù)據(jù)，可以實(shí)現(xiàn)更大范圍的威脅檢測(cè)。各廠商的NTA 解決方案在廣度、地點(diǎn)和類型上存在差異，而且收集更多威脅數(shù)據(jù)的方法也不同。像機(jī)器學(xué)習(xí)這樣的數(shù)據(jù)科學(xué)技術(shù)正成為NTA 廠商突出重圍的關(guān)鍵點(diǎn)。從NTA 自身的能力來看，它必須具備上下文信息的分析能力。為實(shí)現(xiàn)在網(wǎng)絡(luò)分析之外更廣更強(qiáng)的威脅檢測(cè)，數(shù)據(jù)收集和分析也會(huì)有所變化，這將改變NTA 解決方案的頂層價(jià)值主張。

了解NTA，實(shí)現(xiàn)快速的檢測(cè)、調(diào)查與整治，打贏高級(jí)威脅之戰(zhàn)。