本刊記者 郭濤

NTA=高級威脅解決之道

網(wǎng)絡(luò)流量分析（NTA）的概念是Gartner 于2013 年首次提出的，位列五種檢測高級威脅的手段之一。它融合了傳統(tǒng)的基于規(guī)則的檢測技術(shù)，以及機器學(xué)習(xí)和其他高級分析技術(shù)，用以檢測企業(yè)網(wǎng)絡(luò)中的可疑行為，尤其是失陷后的痕跡。Gartner強調(diào)，NTA 是一種功能或能力，而非純粹的產(chǎn)品。

目前，市場上大多數(shù)NTA產(chǎn)品的分析對象是東西流量，因為解決南北流量問題的產(chǎn)品已經(jīng)有很多，包括IDS、WAF、防火墻等。但是有一個現(xiàn)象值得引起注意，近期NTA 產(chǎn)品成了企業(yè)用戶最關(guān)注且需求最迫切的安全產(chǎn)品之一。究其原因，很多用戶雖然部署了各種南北向的設(shè)備，但是仍然希望通過NTA再次檢驗或者印證一下南北流量防護(hù)的有效性。

傳統(tǒng)的“預(yù)防加檢測”逐漸失效，“持續(xù)檢測與響應(yīng)”才能應(yīng)對今天不斷變化的威脅局面。Gartner 的最新報告指出：NTA 解決方案正在逐步演變?yōu)橥ㄟ^采集網(wǎng)絡(luò)分析以外的更多數(shù)據(jù)，實現(xiàn)更大范圍的威脅檢測。

基于此，瀚思科技近期將與Gartner 聯(lián)合發(fā)布權(quán)威白皮書《與HanSight NTA 一同探索網(wǎng)絡(luò)的真知灼見》，為實現(xiàn)NTA 的場景化應(yīng)用指點迷津。

NTA 為何如此重要？

《與HanSight NTA 一 同探索網(wǎng)絡(luò)的真知灼見》白皮書中提到NTA 融合了多種安全分析技術(shù)，可以針對各種不同的應(yīng)用場景。最初，一些大數(shù)據(jù)廠商的解決方案中都包含一個NTA 功能模塊，用于檢測網(wǎng)絡(luò)流量異常。如今，市場上既有單獨銷售的NTA 產(chǎn)品，也有與廠商大數(shù)據(jù)安全平臺整合在一起的NTA。瀚思科技就屬于后一類，它提 供All-in-One 的NTA 產(chǎn)品，集所有流量檢測技術(shù)于一身。

可以將NTA 比作瀚思全場景安全平臺的“傳感器”，它為其后的分析提供了高質(zhì)量的數(shù)據(jù)來源。HanSight NTA 綜合了多種分析技術(shù)來檢測企業(yè)網(wǎng)絡(luò)上的可疑活動，易于部署，能夠指導(dǎo)調(diào)查與響應(yīng)，還實現(xiàn)了與現(xiàn)有SOC（安全運營中心）平臺的整合。

NTA 為何如此重要？所有檢測和響應(yīng)技術(shù)面臨的一個重大挑戰(zhàn)就是數(shù)據(jù)源的質(zhì)量。當(dāng)SIEM 或其他檢測與響應(yīng)解決方案從第三方收集日志和事件信息時，所收集數(shù)據(jù)的質(zhì)量是無法預(yù)測和控制的。通過監(jiān)控網(wǎng)絡(luò)流量和獲取用于安全分析的正確遙測數(shù)據(jù)，NTA 檢測能夠成為現(xiàn)有網(wǎng)絡(luò)安全解決方案檢測結(jié)果的補充。HanSight NTA 解碼網(wǎng)絡(luò)流量，解析到NetFlow（網(wǎng)絡(luò)流）和各種應(yīng)用日志格式中，并保存到大數(shù)據(jù)平臺。

HanSight NTA 是瀚思全場景安全平臺不可缺少的模塊，可以幫助客戶檢測和識別高級威脅，進(jìn)行威脅調(diào)查和事件響應(yīng)的取證，從而縮短總體的事件響應(yīng)時間。HanSight NTA 與瀚思的企業(yè)級SIEM/UEBA 相結(jié)合，能夠關(guān)聯(lián)更多數(shù)據(jù)源，提供識別更多威脅模式的分析方法，并通過瀚思的企業(yè)級SIEM安全事件管理平臺進(jìn)行事件管理。

NTA 是一個發(fā)展非?？焖俚男碌陌踩a(chǎn)品品類，但市場和應(yīng)用遠(yuǎn)未成熟。通過廣泛的調(diào)研，瀚思希望通過與Gartner 合作能進(jìn)一步明確一個真正的NTA 到底應(yīng)該具備哪些基本的能力，以及NTA 如何在具體的業(yè)務(wù)場景中落地。

對于企業(yè)客戶的安全檢測和運營來說，NTA 是不可或缺的，是客戶在采購和部署安全整體套件時必須重點考慮的部分。NTA 可以和企業(yè)的大數(shù)據(jù)安全平臺進(jìn)行有效整合。不可否認(rèn)，對于NTA的能力和使用，許多企業(yè)還在這樣或那樣的認(rèn)識誤區(qū)。瀚思科技與Gartner 聯(lián)合推出此白皮書，也是想正確、清晰地向企業(yè)客戶傳遞NTA 的功能和價值。

NTA 未來會走向哪里？

在攻防對抗中，以銀行為代表的眾多行業(yè)客戶非?？粗匕踩a(chǎn)品的檢測能力，這也是NTA 受到關(guān)注的一個重要原因。對于大多數(shù)企業(yè)用戶來說，NTA 是一個普遍適用的安全產(chǎn)品。NTA 與IDS、WAF 等產(chǎn)品從功能上看既有交叉，又有區(qū)別。用戶其實并不會太介意產(chǎn)品之間的“模糊性”，只要是對于提升安全性有實質(zhì)幫助的產(chǎn)品，用戶都有興趣嘗試。

實際上，有效的網(wǎng)絡(luò)安全分析并不是只應(yīng)用一種技術(shù)。Gartner 認(rèn)為，為保持超前于高級威脅的發(fā)展，網(wǎng)絡(luò)檢測、響應(yīng)和取證解決方案必須要綜合多種方法，也就是說，要綜合運用多重檢測技術(shù)，以場景為導(dǎo)向，用不同的技術(shù)有針對性地解決不同的問題?，F(xiàn)代網(wǎng)絡(luò)流量分析法的基礎(chǔ)建立在將網(wǎng)絡(luò)流量正確解析成多種格式，利用基于安全用例的跨時代分析技術(shù)，保存正確的數(shù)據(jù)，從而實現(xiàn)完整的取證調(diào)查。同時，將全球威脅情報作為補充，洞悉惡意活動，并將可疑行為匹配到確認(rèn)的威脅，從而提高檢測結(jié)果的保真度。

NTA 廠商的一個角力點是如何提高威脅檢測的廣度。Gartner 指出，聚焦“客戶價值”的理念將區(qū)分出各廠商的競爭定位。NTA 解決方案通過獲取網(wǎng)絡(luò)分析以外的更多數(shù)據(jù)，可以實現(xiàn)更大范圍的威脅檢測。各廠商的NTA 解決方案在廣度、地點和類型上存在差異，而且收集更多威脅數(shù)據(jù)的方法也不同。像機器學(xué)習(xí)這樣的數(shù)據(jù)科學(xué)技術(shù)正成為NTA 廠商突出重圍的關(guān)鍵點。從NTA 自身的能力來看，它必須具備上下文信息的分析能力。為實現(xiàn)在網(wǎng)絡(luò)分析之外更廣更強的威脅檢測，數(shù)據(jù)收集和分析也會有所變化，這將改變NTA 解決方案的頂層價值主張。

了解NTA，實現(xiàn)快速的檢測、調(diào)查與整治，打贏高級威脅之戰(zhàn)。