斗象科技被列入Gartner《網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)全球市場(chǎng)指南》

  • 人閱讀
  • 2023-02-17 15:04:54

  • 來(lái)源:比特網(wǎng)

  • 相關(guān)關(guān)鍵詞

日前,全球IT研究與咨詢機(jī)構(gòu)Gartner®發(fā)布了2022年《Market Guide for Network Detection and Response》(《網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)全球市場(chǎng)指南》)(以下簡(jiǎn)稱《指南》),斗象科技被列入該指南。

斗象科技PRS-NTA全流量安全計(jì)算分析平臺(tái)(簡(jiǎn)稱PRS),以旁路方式實(shí)時(shí)采集、協(xié)議解析和存儲(chǔ)網(wǎng)絡(luò)全流量日志,基于大數(shù)據(jù)和人工智能等技術(shù),構(gòu)建新一代以數(shù)據(jù)計(jì)算分析為核心的威脅檢測(cè)與響應(yīng)平臺(tái),對(duì)潛在的異常行為與隱蔽風(fēng)險(xiǎn)進(jìn)行檢測(cè)、分析和回溯取證,助力企業(yè)提升安全運(yùn)營(yíng)效率,降低運(yùn)營(yíng)成本。

▲PRS功能架構(gòu)圖

《指南》中指出:“網(wǎng)絡(luò)流量檢測(cè)和響應(yīng)(NDR)市場(chǎng)仍以22.5%的速度增長(zhǎng),并擴(kuò)展到IaaS基礎(chǔ)設(shè)施等新的應(yīng)用場(chǎng)景。安全和風(fēng)險(xiǎn)管理者應(yīng)優(yōu)先考慮將NDR作為威脅檢測(cè)工具的補(bǔ)充,重點(diǎn)關(guān)注其他控制措施未涵蓋的漏報(bào)、誤報(bào)和異常檢測(cè)。”

在《指南》中,Gartner表示有競(jìng)爭(zhēng)力的NDR解決方案必須包含以下能力:

1、支持實(shí)時(shí)或近實(shí)時(shí)的原始網(wǎng)絡(luò)流量包或協(xié)議日志分析(例如網(wǎng)絡(luò)會(huì)話IPFIX、協(xié)議日志/元數(shù)據(jù));

2、監(jiān)聽(tīng)和分析南北向流量(客戶端與服務(wù)器之間的流量),與東西向流量(當(dāng)它在整個(gè)網(wǎng)絡(luò)中橫向移動(dòng)產(chǎn)生的流量);

3、能夠識(shí)別正常網(wǎng)絡(luò)流量,并高亮顯示南北向和東西向流量中超出正常范圍的可疑流量;

4、提供行為檢測(cè)技術(shù)(非基于簽名的檢測(cè)),如檢測(cè)網(wǎng)絡(luò)異常的機(jī)器學(xué)習(xí)或者高級(jí)分析技術(shù);

5、聚合結(jié)構(gòu)化事件中的單個(gè)告警(事件的聚合分析),來(lái)提升威脅調(diào)查效率;

6、對(duì)檢測(cè)到的可疑流量提供自動(dòng)或手動(dòng)的響應(yīng)能力。

除了符合以上能力外

面對(duì)內(nèi)外部威脅和大規(guī)模網(wǎng)絡(luò)流量時(shí)

斗象科技PRS是怎么做的呢?

斗象科技一直注重NDR/NTA產(chǎn)品的研發(fā)與應(yīng)用,我們結(jié)合企業(yè)常態(tài)化安全運(yùn)營(yíng)管理需求,通過(guò)對(duì)網(wǎng)絡(luò)元數(shù)據(jù)存儲(chǔ)、建模計(jì)算和分析,構(gòu)建企業(yè)網(wǎng)絡(luò)安全運(yùn)營(yíng)管理的核心,以“識(shí)別” => “檢測(cè)” => “分析調(diào)查” => “響應(yīng)” => “溯源取證”的過(guò)程實(shí)現(xiàn)完整閉環(huán),核心能力如下:

全流量采集與協(xié)議日志解析

PRS基于多NUMA包處理分析框架,實(shí)時(shí)對(duì)網(wǎng)絡(luò)雙向通信報(bào)文全文會(huì)話級(jí)采集、解析和存儲(chǔ),性能達(dá)到40Gbps。

協(xié)議解析支持包括全量HTTP日志、DNS查詢?nèi)罩尽ySQL操作日志、登錄日志、郵件日志等50多種協(xié)議日志數(shù)據(jù),日志具備結(jié)構(gòu)化、輕量化、可機(jī)讀等特性,更適合安全檢測(cè)、調(diào)查分析和合規(guī)要求。

PB/EB級(jí)復(fù)合元數(shù)據(jù)存儲(chǔ)與秒級(jí)檢索技術(shù)

PRS基于大數(shù)據(jù)流處理引擎,支持百萬(wàn)級(jí)EPS實(shí)時(shí)過(guò)濾、富化、關(guān)聯(lián)和分析,用戶可根據(jù)網(wǎng)絡(luò)區(qū)域、業(yè)務(wù)系統(tǒng)、存儲(chǔ)空間和周期等因素,對(duì)網(wǎng)絡(luò)會(huì)話、協(xié)議日志、文件和圖片等內(nèi)容進(jìn)行按需解析和存儲(chǔ),幫助用戶實(shí)現(xiàn)高性能、低開(kāi)銷、低成本的原始數(shù)據(jù)完整留存需求。

另外,PRS基于高速全文索引技術(shù),滿足PB級(jí)數(shù)據(jù)量級(jí)下的秒級(jí)檢索,不僅可以實(shí)現(xiàn)無(wú)延遲的實(shí)時(shí)安全檢測(cè),還可以高效完成非實(shí)時(shí)性的跨周期深度調(diào)查和溯源取證工作。

針對(duì)PCAP原始數(shù)據(jù)包留存需求,PRS采用自研高性能存儲(chǔ)架構(gòu),對(duì)PCAP數(shù)據(jù)進(jìn)行塊狀壓縮存儲(chǔ),通過(guò)會(huì)話標(biāo)記、文件偏移量計(jì)算等方式實(shí)現(xiàn)PCAP數(shù)據(jù)微秒級(jí)的快速解壓讀取能力。另外采用高壓縮比技術(shù),實(shí)現(xiàn)原始流量壓縮比小于60%,節(jié)省存儲(chǔ)費(fèi)用支出。

基于數(shù)據(jù)計(jì)算框架,內(nèi)置豐富的安全模型

PRS成熟應(yīng)用了大數(shù)據(jù)計(jì)算框架和流計(jì)算平臺(tái)技術(shù),內(nèi)置數(shù)十種開(kāi)箱即用的安全檢測(cè)和分析模型。通過(guò)對(duì)海量正/負(fù)樣本、專家特征選取以及算法,建立場(chǎng)景化安全模型,以長(zhǎng)期真實(shí)數(shù)據(jù)的模型運(yùn)營(yíng)優(yōu)化,實(shí)現(xiàn)針對(duì)高級(jí)網(wǎng)絡(luò)攻擊、0day漏洞利用、無(wú)特征攻擊等高級(jí)威脅進(jìn)行有效監(jiān)測(cè),構(gòu)建可演進(jìn)的動(dòng)態(tài)威脅監(jiān)控體系。

安全模型即服務(wù)

PRS首創(chuàng)“安全模型即服務(wù)”理念和功能,支持自定義擴(kuò)展,豐富數(shù)據(jù)挖掘安全分析場(chǎng)景??苫跀?shù)據(jù)湖進(jìn)行自定義建模分析,以SAI-模型運(yùn)營(yíng)平臺(tái)為基座,實(shí)現(xiàn)數(shù)據(jù)集選取、特征工程、算法選擇、模型運(yùn)行管理等功能。

提升檢測(cè)規(guī)則有效性,強(qiáng)化安全能力自運(yùn)營(yíng)

PRS基于大數(shù)據(jù)計(jì)算分析能力,使用已發(fā)布特征規(guī)則、自定義特征模型對(duì)歷史協(xié)議日志數(shù)據(jù)進(jìn)行離線回溯檢測(cè),挖掘歷史流量中隱蔽的攻擊行為。

PRS支持對(duì)各類檢測(cè)特征和模型的統(tǒng)計(jì)分析,包括各特征的檢出率、誤報(bào)率等,驗(yàn)證規(guī)則有效性,滿足企業(yè)能力提升安全運(yùn)營(yíng),更適應(yīng)企業(yè)的實(shí)際運(yùn)行環(huán)境。

場(chǎng)景化阻斷實(shí)現(xiàn)威脅精準(zhǔn)處置

PRS支持TCP阻斷和HTTP重定向兩種模式,支持自定義多種阻斷場(chǎng)景,可針對(duì)關(guān)鍵業(yè)務(wù)隔離、攻擊抑制等場(chǎng)景配置策略,最大程度保障客戶業(yè)務(wù)可用性,縮短風(fēng)險(xiǎn)處置時(shí)間,遏制攻擊者對(duì)網(wǎng)絡(luò)的進(jìn)一步威脅。

體系化、常態(tài)化的網(wǎng)絡(luò)安全防護(hù)體系成為應(yīng)對(duì)新型網(wǎng)絡(luò)威脅的根本要求,有效的流量分析技術(shù)已經(jīng)是網(wǎng)絡(luò)戰(zhàn)中重要的攻防手段,流量側(cè)的威脅檢測(cè)與響應(yīng)能力也將成為提升實(shí)戰(zhàn)化能力的關(guān)鍵因素。斗象科技過(guò)去和未來(lái)都堅(jiān)持深耕技術(shù)全面發(fā)展,圍繞著支撐用戶“可持續(xù)安全運(yùn)營(yíng)”技術(shù)理念,不斷提高自身研發(fā)能力與技術(shù)水平,更好地滿足網(wǎng)絡(luò)安全領(lǐng)域的需求。我們認(rèn)為,此次被列入Gartner網(wǎng)絡(luò)檢測(cè)和響應(yīng)(NDR)全球市場(chǎng)指南是對(duì)斗象科技技術(shù)實(shí)力和產(chǎn)品能力持續(xù)進(jìn)步、不斷超越的又一肯定。

參考資料:Gartner, Market Guide for Network Detection and Response, December 2022.

免責(zé)聲明:Gartner未在其報(bào)告中支持任何廠商、產(chǎn)品或服務(wù),也并不建議技術(shù)用戶只選擇有最高評(píng)分或其它特征的廠商。Gartner研究出版物代表的是Gartner研究機(jī)構(gòu)的意見(jiàn),不應(yīng)解釋為對(duì)事實(shí)的陳述。Gartner對(duì)與本研究有關(guān)的所有明示或暗示的保證概不負(fù)責(zé),包括對(duì)適銷性或特定用途的適用性的任何保證。Gartner是Gartner 有限公司和/或其附屬公司在美國(guó)及全球的注冊(cè)商標(biāo)和服務(wù)商標(biāo),經(jīng)許可在此使用。保留所有權(quán)利。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )