近日，國際研究機構Gartner®發(fā)布了《如何建設實施網(wǎng)絡檢測與響應》（How to Architect Network Detection and Response Implementation）報告。報告旨在為安全技術人員提供有關網(wǎng)絡檢測和響應（NDR）實施計劃的架構指導，其概述了一個結構化的方法，供安全架構師有效規(guī)劃和準備NDR實施。報告列舉了全球29家NDR代表廠商（representative NDR vendors），騰訊云憑借旗下NDR產(chǎn)品的多層檢測引擎、全流量分析建模、長周期威脅回溯等核心能力，入選全球代表廠商之列。

在報告中，Gartner對NDR的定義為：“網(wǎng)絡檢測和響應（NDR）產(chǎn)品通過將行為分析應用于網(wǎng)絡流量數(shù)據(jù)來檢測異常系統(tǒng)行為，它們不斷分析內(nèi)部網(wǎng)絡（東西向）和內(nèi)部和外部網(wǎng)絡（南北向）之間的原始網(wǎng)絡數(shù)據(jù)包或流量元數(shù)據(jù)?！?

報告表示，“網(wǎng)絡檢測和響應（NDR）通常被用作補充工具，以解決更廣泛的安全武器庫中的能力差距。然而，盡管NDR技術具有強大的優(yōu)勢，但其實施的復雜性對其采用構成了挑戰(zhàn)。”

“資源分配不足加上非最佳架構是NDR實施中的一個常見陷阱?！?Gartner指出。因此，在報告中，Gartner提出NDR實施的指導框架，包括一個準備階段和三個不同的步驟。

準備階段：與利益相關者合作，確定能力差距和相關NDR用例。

步驟1-架構師：根據(jù)確定的用例和網(wǎng)絡拓撲設計一個高級架構。與網(wǎng)絡團隊合作，為NDR制定流量攝入策略（例如負載平衡、直接路由、鏡像）。

步驟2-選擇：制定選擇標準并進行POC，以評估產(chǎn)品尺寸和運營契合度。

步驟3-規(guī)劃：通過分配網(wǎng)絡和人力資源來準備基礎設施，并為實施和未來的增強制定路線圖。

騰訊云NDR是騰訊自研的高級威脅檢測（APT檢測）、分析、溯源和響應一體化解決方案，具備檢測場景全、響應快、檢測能力強、阻斷率高（可達99.99%）四大優(yōu)勢。其符合Gartner在“網(wǎng)絡檢測和響應市場指南”的“市場描述”部分中強調(diào)的定義和要求，因而入選本次報告的代表供應商列表，且連續(xù)三次獲得Gartner《指南》的認可和推薦。

具體而言，在檢測場景方面，騰訊云NDR基于云端協(xié)同的全流量檢測，覆蓋公有云上、線下機房全流量檢測場景，勒索病毒、郵件安全、密碼安全等九大安全專題，開箱即用，通過安全專題將威脅聚焦，結合可視化分析幫助客戶針對性解決風險問題；在檢測能力方面，AI算法+威脅情報+哈勃沙箱+規(guī)則引擎+全流量溯源五大領先利器，強力對抗攻擊繞過和0day漏洞；在響應速度上，騰訊云NDR具備全面的互聯(lián)網(wǎng)漏洞檢測機制及國內(nèi)領先的威脅情報庫，能實現(xiàn)實時聯(lián)動，快速響應最新漏洞和事件；在阻斷效果上，騰訊云NDR采用非侵入式旁路阻斷攻擊行為，閉環(huán)處置事件，阻斷成功率高達99.99%。

同時，在多云和復雜的IT環(huán)境、人工智能的應用、與其他產(chǎn)品集成中，騰訊云NDR均有創(chuàng)新舉措與應用案例。

針對多云和復雜的IT環(huán)境，騰訊云NDR支持在公有云原生接入鏡像流量和線下機房。提供對互聯(lián)網(wǎng)出口流量、負載均衡、NAT網(wǎng)關等南北向流量，和子網(wǎng)內(nèi)、容器間等東西向流量做檢測，實時發(fā)現(xiàn)資產(chǎn)風險、入侵事件、內(nèi)部滲透攻擊事件等能力。同時，留存原始報文和流量日志方便事后做溯源分析。通過云沙箱和靜態(tài)文件檢測能力，騰訊云NDR能發(fā)現(xiàn)惡意文件傳輸，洞察惡意文件的一切行為，發(fā)現(xiàn)未知威脅。

在部署方式上，騰訊云NDR兼容了不同企業(yè)IT環(huán)境的需求，能根據(jù)客戶流量規(guī)模的需求，結合企業(yè)自身的IT架構進行靈活部署。騰訊云NDR一方面與騰訊云做強結合，在服務好云上客戶的同時，在技術層面上更多地與云底層去結合，提供多云、混合云場景的流量安全運營體系和部署方案。

在AI的應用上，NDR根據(jù)正常流量創(chuàng)建了用戶行為基線模型，通過機器學習等方式，幫助企業(yè)在海量數(shù)據(jù)里發(fā)現(xiàn)偏離模型的異常流量，發(fā)現(xiàn)潛在高危威脅。與單純基于統(tǒng)計或設置閾值的檢測方法相比，無監(jiān)督的AI模型可以更完美地貼合客戶的環(huán)境，并且不需要操作人員通過長期的閾值報警觀察來手動調(diào)整報警閾值。另外，通過有監(jiān)督的檢測模型，提升SQL注入、XSS攻擊、Webshell傳輸?shù)裙羰址ǖ臋z出率，有效應對變種攻擊。

在與其他產(chǎn)品集成上，NDR提供幾十個開放API和便捷的數(shù)據(jù)獲取方式，方便用戶根據(jù)自己的需要，快速做接入聯(lián)動和數(shù)據(jù)分析，融入當前已有的運營流程。目前NDR阻斷能力API已被國內(nèi)多家主流檢測廠商和客戶接入，形成自動化檢測響應流程，大幅提升企業(yè)的威脅處置效率和能力。

目前，騰訊云NDR已經(jīng)擴展到多個新的應用場景，成功為工業(yè)、政務、金融、關基單位在重保期間的網(wǎng)絡安全保駕護航，幫助客戶快速發(fā)現(xiàn)網(wǎng)絡威脅、響應安全事件，智能化部署網(wǎng)絡安全防御體系。在2024年的大型攻防演練中，騰訊云NDR幫助某大型銀行阻斷了近20億次攻擊，保障了100多個系統(tǒng)、近6000個服務器正常運轉(zhuǎn)，實現(xiàn)演練零事故。