采用NTA 打贏高級威脅之戰

本刊記者 郭濤

NTA=高級威脅解決之道

網絡流量分析（NTA）的概念是Gartner 于2013 年首次提出的，位列五種檢測高級威脅的手段之一。它融合了傳統的基于規則的檢測技術，以及機器學習和其他高級分析技術，用以檢測企業網絡中的可疑行為，尤其是失陷后的痕跡。Gartner強調，NTA 是一種功能或能力，而非純粹的產品。

目前，市場上大多數NTA產品的分析對象是東西流量，因為解決南北流量問題的產品已經有很多，包括IDS、WAF、防火墻等。但是有一個現象值得引起注意，近期NTA 產品成了企業用戶最關注且需求最迫切的安全產品之一。究其原因，很多用戶雖然部署了各種南北向的設備，但是仍然希望通過NTA再次檢驗或者印證一下南北流量防護的有效性。

傳統的“預防加檢測”逐漸失效，“持續檢測與響應”才能應對今天不斷變化的威脅局面。Gartner 的最新報告指出：NTA 解決方案正在逐步演變為通過采集網絡分析以外的更多數據，實現更大范圍的威脅檢測。

基于此，瀚思科技近期將與Gartner 聯合發布權威白皮書《與HanSight NTA 一同探索網絡的真知灼見》，為實現NTA 的場景化應用指點迷津。

NTA 為何如此重要？

《與HanSight NTA 一 同探索網絡的真知灼見》白皮書中提到NTA 融合了多種安全分析技術，可以針對各種不同的應用場景。最初，一些大數據廠商的解決方案中都包含一個NTA 功能模塊，用于檢測網絡流量異常。如今，市場上既有單獨銷售的NTA 產品，也有與廠商大數據安全平臺整合在一起的NTA。瀚思科技就屬于后一類，它提 供All-in-One 的NTA 產品，集所有流量檢測技術于一身。

可以將NTA 比作瀚思全場景安全平臺的“傳感器”，它為其后的分析提供了高質量的數據來源。HanSight NTA 綜合了多種分析技術來檢測企業網絡上的可疑活動，易于部署，能夠指導調查與響應，還實現了與現有SOC（安全運營中心）平臺的整合。

NTA 為何如此重要？所有檢測和響應技術面臨的一個重大挑戰就是數據源的質量。當SIEM 或其他檢測與響應解決方案從第三方收集日志和事件信息時，所收集數據的質量是無法預測和控制的。通過監控網絡流量和獲取用于安全分析的正確遙測數據，NTA 檢測能夠成為現有網絡安全解決方案檢測結果的補充。HanSight NTA 解碼網絡流量，解析到NetFlow（網絡流）和各種應用日志格式中，并保存到大數據平臺。

HanSight NTA 是瀚思全場景安全平臺不可缺少的模塊，可以幫助客戶檢測和識別高級威脅，進行威脅調查和事件響應的取證，從而縮短總體的事件響應時間。HanSight NTA 與瀚思的企業級SIEM/UEBA 相結合，能夠關聯更多數據源，提供識別更多威脅模式的分析方法，并通過瀚思的企業級SIEM安全事件管理平臺進行事件管理。

NTA 是一個發展非常快速的新的安全產品品類，但市場和應用遠未成熟。通過廣泛的調研，瀚思希望通過與Gartner 合作能進一步明確一個真正的NTA 到底應該具備哪些基本的能力，以及NTA 如何在具體的業務場景中落地。

對于企業客戶的安全檢測和運營來說，NTA 是不可或缺的，是客戶在采購和部署安全整體套件時必須重點考慮的部分。NTA 可以和企業的大數據安全平臺進行有效整合。不可否認，對于NTA的能力和使用，許多企業還在這樣或那樣的認識誤區。瀚思科技與Gartner 聯合推出此白皮書，也是想正確、清晰地向企業客戶傳遞NTA 的功能和價值。

NTA 未來會走向哪里？

在攻防對抗中，以銀行為代表的眾多行業客戶非常看重安全產品的檢測能力，這也是NTA 受到關注的一個重要原因。對于大多數企業用戶來說，NTA 是一個普遍適用的安全產品。NTA 與IDS、WAF 等產品從功能上看既有交叉，又有區別。用戶其實并不會太介意產品之間的“模糊性”，只要是對于提升安全性有實質幫助的產品，用戶都有興趣嘗試。

實際上，有效的網絡安全分析并不是只應用一種技術。Gartner 認為，為保持超前于高級威脅的發展，網絡檢測、響應和取證解決方案必須要綜合多種方法，也就是說，要綜合運用多重檢測技術，以場景為導向，用不同的技術有針對性地解決不同的問題。現代網絡流量分析法的基礎建立在將網絡流量正確解析成多種格式，利用基于安全用例的跨時代分析技術，保存正確的數據，從而實現完整的取證調查。同時，將全球威脅情報作為補充，洞悉惡意活動，并將可疑行為匹配到確認的威脅，從而提高檢測結果的保真度。

NTA 廠商的一個角力點是如何提高威脅檢測的廣度。Gartner 指出，聚焦“客戶價值”的理念將區分出各廠商的競爭定位。NTA 解決方案通過獲取網絡分析以外的更多數據，可以實現更大范圍的威脅檢測。各廠商的NTA 解決方案在廣度、地點和類型上存在差異，而且收集更多威脅數據的方法也不同。像機器學習這樣的數據科學技術正成為NTA 廠商突出重圍的關鍵點。從NTA 自身的能力來看，它必須具備上下文信息的分析能力。為實現在網絡分析之外更廣更強的威脅檢測，數據收集和分析也會有所變化，這將改變NTA 解決方案的頂層價值主張。

了解NTA，實現快速的檢測、調查與整治，打贏高級威脅之戰。