2024年NDR能力指南报告

数世咨询能力指南 NDR ©北京数字世界咨询有限公司2024.2 数世咨询能力指南 NDR ©北京数字世界咨询有限公司2024.2 数字安全的三个元素分别为，安全能力、数字资产和数字活动。数字资产是安全能力的保护对象，数字活动是安全能力以及数字资产的服务对象，而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。 数字安全能力模型研究的基础，来自于数世咨询2020年首次提出的“网络安全三元论”。三元分别为，网络攻防、信息技术和业务场景。 随着数据成为第五大生产要素为典型标志的数字时代来临，“网络安全三元论”在2022年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素，以数据安全为核心目标，即三元一核”的“数字安全三元论”，以适应我国数字中国建设的进程。 数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。 报告编委 综合分析师：刘宸宇首席分析师：李少鹏 分析团队：数世智库数字安全能力研究院 版权声明 本报告版权属于北京数字世界咨询有限公司。 任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。 目录 1前言1 2关键发现2 3市场概况3 4概念描述6 4.1网络流量检测与响应NDR6 4.2NDR与其他流量安全产品的区别7 4.3NDR的短板与不足8 5NDR能力框架10 5.1流量处理11 5.2威胁检测12 5.3溯源分析13 5.4联动响应14 5.5场景化15 5.6AI赋能17 6未来展望19 目 录 附录：NDR行业用户案例21 某运营商用户NDR案例21 该案例由奇安信提供 场景介绍21 客户需求21 解决方案22 客户价值22 某省卫健委NDR解决方案24 该案例由绿盟科技提供 场景介绍24 客户需求24 解决方案26 客户价值26 1前言 在实网攻防演练与常态化安全运营等场景中，侦查与反侦察、渗透与反渗透、溯源与反溯源……攻防双方的博弈过程“道高一尺魔高一丈”。但由于天然的不对称性，防守方总是滞后于攻击方，因此防守方始终在寻找一个更为有利的技术战场。在这样的背景下，“流量不说谎”的特性，使得流量安全成为攻防双方共同关注的焦点领域。 这一焦点领域，随着业务的数字化依赖程度不断提高，不断发展出新的特点。例如，流量安全的对抗区域，从网络边界网关延伸到内网核心交换节点；流量安全的检测技术手段从基于特征的被动检测，发展为结合沙箱样本或威胁情报的主动发现；甚至针对加密流量也有了AI赋能的行为检测能力。由此，流量安全逐渐发展成为威胁检测与响应的核心技术手段。 在2020年数世咨询发布的报告《市场指南-威胁检测与响应TDR》中提到，威胁检测与响应“以全流量检测与分析技术为核心”，配合云主机(HDR)、PC终端(EDR)、应用(ADR)等更多维度的检测与响应能力，组成了以网络攻防对抗为主要场景的一体化解决方案。（详见https://www.dwcon.cn/post/64） 据数世咨询观察，经过近三年的发展，网络流量检测与响应(NDR)已经进一步成为安全运营团队的威胁检测与响应核心能力，因此，数世咨询以第三方中立调研咨询机构的身份，基于田野调查，撰写本报告，希望对NDR的市场份额、能力框架、未来趋势等内容做出客观、专业的阐述。 报告发布：数世咨询 主笔分析师：刘宸宇数世咨询合伙人|高级分析师勘误与合作联系：liuchenyu@dwcon.cn 2关键发现 ●2022年国内NDR市场规模约为22.84亿元人民币，预计2023年将达到27亿元； ●NDR在各行业中的需求占比整体而言较为平均，排名前五的行业为金融、运营商、地方政府、互联网以及监管机构； ●NDR核心能力分为流量处理、威胁检测、溯源分析与联动响应四个部分； ●NDR产品的误报率仍然较高，如何有效降噪，实现精准告警是各厂商都在发力的重点； ●NDR应基于风险视角，对安全事件以关联上下文、关键资产、特权账号等多个维度进行降噪； ●除基础的五元组外，NDR要能够从业务优先级、网络访问关系、数字资产重要性、威胁风险场景、以及杀伤链攻击手法等多个维度提取元数据，提升元数据的质量； ●NDR的溯源分析能力，以辅助人工溯源、提升人工分析效率为主要标准； ●场景化的威胁检测方案，可以有效提升检测的成功率与准确率；场景化的溯源分析建议，可以一定程度降低分析人员的成本与门槛； ●场景化的playbook可以提升联动响应的自动化水平，提升响应时效； ●场景化解决方案能够显著提升NDR能力框架的效率效果； ●未来，大语言模型等AI技术可能为NDR带来突破性创新，NDR市场规模将持续增长。 3市场概况 2022年度国内NDR市场规模统计及预测 本次调研，共收到17家安全业的调研表，同时线下走访、线上调研十余家。据统计，国内NDR市场规模约为22.84亿元人民币，同比增长26.96%。参考各家对2023年的预期营收，以 20%的增长率预计，2023年国内NDR市场规模将达到27亿元。 注：考虑到上市企业的2023年度数据要到2024年4月底才公布，本次调研的数据仍 以2022年的为准。 本报告将参与本次调研的企业，分别以横轴-市场执行力、竖轴-应用创新力两个维度，在数世咨询能力指南点阵图中加以呈现，如下图所示： 根据调研数据，作为一个相对成熟的产品，NDR以单一标准化产品交付的比例达到67%，以定制化产品交付运营的比例为24%，作为安全项目中的一个功能交付的比例只有9%。 国内NDR产品的交付模式占比 根据安全厂商在各行业的收入分布情况，本次调研也统计了NDR在各行业中的需求占比，整体而言较为平均，排名前五的行业为金融20%、运营商13%、地方政府10%、互联网8%以及监管机构7%。如下图所示： 结合各个行业的普遍性需求，我们梳理出NDR的主要应用场景： ●在等保2.0或部分行业更高标准的合规要求下，NDR作为IDS/IPS等产品的补充替代，提供基于合规、高于合规的能力； ●实网攻防演练场景中，攻击队多以声东击西战术，从分支机构寻找突破点，该场景下通过异构部署NDR，可提供多点交叉验证能力； ●APT检测等场景下，基于全流量回放的溯源分析取证。相比NTA，该场景下NDR能够提供更加全面、实时的情报能力，从而以更长的时间维度进行持续分析；针对具体的APT组织，还可以进行针对性的溯源分析； ●对于运营商、监管机构及部分特殊行业用户，部署在大网流量出口，可以加强总体的异常流量发现能力。 4概念描述 4.1网络流量检测与响应NDR 本报告将网络流量检测与响应（NetworkDetectionandResponse-NDR）描述为：针对实时或重放网络流量，以特征匹配、威胁情报、沙箱等安全检测手段发现网络环境中的威胁并加以响应的解决方案。 从概念描述中可以看到，NDR围绕网络流量开展检测与响应，因此NDR要采用镜像流量旁路部署的方式，不影响业务。在此前提下，首先NDR采集实时流量（需要时进行全流量存储），并对流量以资产、业务、运维等视角进行协议解析、访问关系、文件还原等自动化初步数据加工；在此基础上，NDR以多项安全检测手段结合精准发现流量中的威胁并实施告警；之后，NDR要为进一步的人工溯源分析，提供流量重放、可视化分析、扩展插件等提供平台化能力支撑；就发现的威胁，NDR进行旁路阻断，并联动边界网关、关键路由、域控或终端等安全能力做出有针对性的响应；最后生成报告。 NDR概念描述–主要步骤 4.2NDR与其他流量安全产品的区别 比较项 IDS/IPS NTA NDR 部署位置 一般是边界 边界、南北向核心、东西向核心 边界、南北向核心、东西向核心 部署方式 串联或旁路 一般是旁路 一般是旁路 检测流量方向 一般是入向 入向+出向 （全量检测） 入向+出向 （全量检测） 检测攻击阶段 （攻击链） 侦查、利用 全阶段 全阶段，特别是攻击链靠后的阶段 特征检测 支持（无法判断攻击结果） 支持（侧重于通过特征回查历史流量） 支持（攻击结果分析） 创建自定义检测策略一般不支持支持支持 异常检测一般不支持支持支持 基线学习不支持支持支持 可以防御支持不支持支持 提取分析包payload支持支持支持 提取文件，文件分析不支持支持支持 分析flowdata不支持支持支持 跨会话分析不支持支持支持 从表中可以直观看出，IDS/IPS的能力要弱于NTA与NDR；而NTA与NDR相比，最显著的短板是不具备防护阻断等响应能力。 当然，NTA也有其优势，在“网络分析”等非安全检测的需求场景中，NTA可以用来： ●做流量成分分析，如各协议的占比、流量Top10IP、会话数TopIP通讯对、流量TopIP通讯对等； ●还支持一些非网络安全的异常检测，如设置网络性能基线、检测带宽使用量、发现网络异常、以及丢包重传等，这些NTA都可以发现。 4.3NDR的短板与不足 虽然相比传统流量安全产品，NDR已有多项改进提升，但目前业内的NDR产品仍存在着短板与不足： ●威胁检测与响应的覆盖范围有限。NDR主要部署在边界或核心路由区域，分子公司网络或数量众多的端点侧暂无法覆盖，还需要EDR与之配合，因此很难依靠单独部署NDR产品，满足整体安全防护要求； ●溯源分析环节，目前仍较为依赖经验丰富的安全工程师，当一线用户缺少厂商的安全团队支持时，NDR的溯源分析效果会大打折扣； ●Response响应部分除了自身的旁路阻断能力外，联动响应需要安全运营中心或安全大脑总体调度协调，因此要充分发挥出NDR的效果，需要用户具备较为成熟的体系化安全建设与运营水平。 ●误报率仍然较高。据本次调研，小部分厂商目前依托威胁情报，在金融等安全水平与标准化程度都较高的行业中，已经将某些场景的检测误报率降至0.01%以下。接下来如何在APT更多高级威胁场景中实现有效降噪，实现精 准告警是各厂商都在发力的重点； ●恶意加密流量的检测效果仍有待提升。除了细分领域中2-3家专注于恶意加密流量检测的厂商外，大部分NDR产品的恶意加密流量检出率仍然较低。 5NDR能力框架 场景化方案 如APT攻击、HVV、重保、钓鱼邮件、挖矿、勒索病毒、僵木蠕等 AI赋能 运营平台/安全大脑 流量处理 威胁检测 溯源分析 联动响应 流量采集 离线数据包导入全包数据留存网络协议识别协议深度解析网络元数据提取文件还原提取证书还原提取数据流解码 流量统计分析 会话统计分析 恶意URL检测 恶意程序检测网络入侵检测风险邮件检测恶意文件检测异常行为感知非法证书检测隐蔽通信检测高级木马检测APT攻击检测恶意加密流量 事件研判分析 线索查证分析流量回溯分析日志挖掘分析受控主机排查受控边界排查数据取证分析攻击过程还原文件威胁分析 设备旁路阻断 恶意IP阻断恶意域名阻断恶意文件隔离失陷主机隔离联动终端EDR联动邮件网关联动SOC/态感安全专家响应 基础支撑能力 威胁情报 静态文件检测引擎 动态沙箱 APT实战对抗积累 HVV技战法积累 高速大流量处理 全包存储支持 多维多源数据 可视化分析 国产化适配 NDR能力框架图 下面就流量处理、威胁检测、溯源分析、联动响应以及场景化、AI赋能等六个方面分别阐述。需要说明的是，这里只对相关能力点做简单阐述，不包含具体的能力指标。一线用户可以参考附录中的案例，或在实际NDR安全建设过程中，根据自身所在行业与业务场景，结合能力框架进行产品解决方案的测 试与采购。 5.1流量处理 流量处理包含对流量的采集、存储、识别、解析、提取、统计及富化等操作。该步骤为后续的威胁检测与响应提供基础数据，数据质量直接影响着后续各步骤的效果。 流量处理主要分为数据预处理、协议与处理两个步骤： ●数据预处理主要解决的是数据的整合、清洗、