数世咨询能力指南.pdf

2024数世咨询能力指南NDR 北京数字世界咨询有限公司 2024.2数世咨询能力指南NDR数字安全的三个元素分别为，安全能力、数字资产和数字活动。数字资产是安全能力的保护对象，数字活动是安全能力以及数字资产的服务对象，而数据安全则是三元论的核心目标。对于这四者关系的深度理解和相关技能掌握是做好数字安全工作的关键。数字安全能力模型研究的基础，来自于数世咨询 2020 年首次提出的“网络安全三元论”。三元分别为，网络攻防、信息技术和业务场景。随着数据成为第五大生产要素为典型标志的数字时代来临，“网络安全三元论”在 2022 年进行了更新迭代升级为“以安全能力、数字资产和数字活动为三元素，以数据安全为核心目标，即三元一核”的“数字安全三元论”，以适应我国数字中国建设的进程。数世咨询作为国内独立的第三方调研咨询机构，为监管机构、地方政府、投资机构.网安企业等合伙伙伴提供网络安全产业现状调研，细分技术领域调研、投融资对接、技术尽职调查、市场品牌活动等调研咨询服务。报告编委综合分析师：刘宸宇首席分析师：李少鹏分 析 团 队：数世智库 数字安全能力研究院版权声明本报告版权属于北京数字世界咨询有限公司。任何转载、摘编或利用其他方式使用本报告文字或者观点，应注明来源。违反上述声明者，数世咨询将保留依法追究其相关责任的权利。目录1前言 12关键发现 23市场概况 34概念描述 64.1网络流量检测与响应 NDR 64.2NDR 与其他流量安全产品的区别 74.3NDR 的短板与不足 85NDR 能力框架105.1流量处理 115.2威胁检测 125.3溯源分析 135.4联动响应 145.5场景化 155.6AI 赋能 176未来展望19目录附录：NDR 行业用户案例 21某运营商用户 NDR 案例 21该案例由奇安信提供场景介绍 21客户需求 21解决方案 22客户价值 22某省卫健委 NDR 解决方案 24该案例由绿盟科技提供场景介绍 24客户需求 24解决方案 26客户价值 26 数世咨询能力指南-NDR 11前言在实网攻防演练与常态化安全运营等场景中，侦查与反侦察、渗透与反渗透、溯源与反溯源攻防双方的博弈过程“道高一尺魔高一丈”。但由于天然的不对称性，防守方总是滞后于攻击方，因此防守方始终在寻找一个更为有利的技术战场。在这样的背景下，“流量不说谎”的特性，使得流量安全成为攻防双方共同关注的焦点领域。这一焦点领域，随着业务的数字化依赖程度不断提高，不断发展出新的特点。例如，流量安全的对抗区域，从网络边界网关延伸到内网核心交换节点；流量安全的检测技术手段从基于特征的被动检测，发展为结合沙箱样本或威胁情报的主动发现；甚至针对加密流量也有了 AI 赋能的行为检测能力。由此，流量安全逐渐发展成为威胁检测与响应的核心技术手段。在 2020 年数世咨询发布的报告市场指南-威胁检测与响应 TDR中提到，威胁检测与响应“以全流量检测与分析技术为核心”，配合云主机(HDR)、PC 终端(EDR)、应用(ADR)等更多维度的检测与响应能力，组成了以网络攻防对抗为主要场景的一体化解决方案。（详见 https:/ NDR 的市场份额、能力框架、未来趋势等内容做出客观、专业的阐述。报告发布：数世咨询主笔分析师：刘宸宇 数世咨询合伙人|高级分析师勘误与合作联系：22关键发现 2022 年国内 NDR 市场规模约为 22.84 亿元人民币，预计 2023 年将达到27 亿元；NDR在各行业中的需求占比整体而言较为平均，排名前五的行业为金融、运营商、地方政府、互联网以及监管机构；NDR核心能力分为流量处理、威胁检测、溯源分析与联动响应四个部分；NDR 产品的误报率仍然较高，如何有效降噪，实现精准告警是各厂商都在发力的重点；NDR 应基于风险视角，对安全事件以关联上下文、关键资产、特权账号等多个维度进行降噪；除基础的五元组外，NDR 要能够从业务优先级、网络访问关系、数字资产重要性、威胁风险场景、以及杀伤链攻击手法等多个维度提取元数据，提升元数据的质量；NDR的溯源分析能力，以辅助人工溯源、提升人工分析效率为主要标准；场景化的威胁检测方案，可以有效提升检测的成功率与准确率；场景化的溯源分析建议，可以一定程度降低分析人员的成本与门槛；场景化的 playbook 可以提升联动响应的自动化水平，提升响应时效；场景化解决方案能够显著提升 NDR 能力框架的效率效果；未来，大语言模型等 AI 技术可能为 NDR 带来突破性创新，NDR 市场规模将持续增长。数世咨询能力指南-NDR 33市场概况 本次调研，共收到 17 家安全业的调研表，同时线下走访、线上调研十余家。据统计，国内NDR 市场规模约为 22.84 亿元人民币，同比增长 26.96%。参考各家对 2023 年的预期营收，以20%的增长率预计，2023 年国内NDR 市场规模将达到 27 亿元。注：考虑到上市企业的 2023 年度数据要到 2024 年 4 月底才公布，本次调研的数据仍以 2022 年的为准。本报告将参与本次调研的企业，分别以横轴-市场执行力、竖轴-应用创新力两个维度，在数世咨询能力指南点阵图中加以呈现，如下图所示：2022 年度国内 NDR 市场规模统计及预测4根据调研数据，作为一个相对成熟的产品，NDR 以单一标准化产品交付的比例达到 67%，以定制化产品交付运营的比例为 24%，作为安全项目中的一个功能交付的比例只有 9%。国内 NDR 产品的交付模式占比根据安全厂商在各行业的收入分布情况，本次调研也统计了 NDR 在各行业中的需求占比，整体而言较为平均，排名前五的行业为金融 20%、运营商13%、地方政府 10%、互联网 8%以及监管机构 7%。如下图所示：数世咨询能力指南-NDR 5结合各个行业的普遍性需求，我们梳理出 NDR 的主要应用场景：在等保 2.0 或部分行业更高标准的合规要求下，NDR 作为 IDS/IPS 等产品的补充替代，提供基于合规、高于合规的能力；实网攻防演练场景中，攻击队多以声东击西战术，从分支机构寻找突破点，该场景下通过异构部署 NDR，可提供多点交叉验证能力；APT 检测等场景下，基于全流量回放的溯源分析取证。相比 NTA，该场景下 NDR 能够提供更加全面、实时的情报能力，从而以更长的时间维度进行持续分析；针对具体的 APT 组织，还可以进行针对性的溯源分析；对于运营商、监管机构及部分特殊行业用户，部署在大网流量出口，可以加强总体的异常流量发现能力。64概念描述4.1网络流量检测与响应 NDR本报告将网络流量检测与响应（Network Detection and Response-NDR）描述为：针对实时或重放网络流量，以特征匹配、威胁情报、沙箱等安全检测手段发现网络环境中的威胁并加以响应的解决方案。从概念描述中可以看到，NDR 围绕网络流量开展检测与响应，因此 NDR 要采用镜像流量旁路部署的方式，不影响业务。在此前提下，首先 NDR 采集实时流量（需要时进行全流量存储），并对流量以资产、业务、运维等视角进行协议解析、访问关系、文件还原等自动化初步数据加工；在此基础上，NDR 以多项安全检测手段结合精准发现流量中的威胁并实施告警；之后，NDR 要为进一步的人工溯源分析，提供流量重放、可视化分析、扩展插件等提供平台化能力支撑；就发现的威胁，NDR 进行旁路阻断，并联动边界网关、关键路由、域控或终端等安全能力做出有针对性的响应；最后生成报告。NDR 概念描述 主要步骤 数世咨询能力指南-NDR 74.2NDR 与其他流量安全产品的区别比较项 IDS/IPS NTA NDR 部署位置 一般是边界 边界、南北向核心、东西向核心 边界、南北向核心、东西向核心 部署方式 串联或旁路 一般是旁路 一般是旁路 检测流量方向 一般是入向 入向+出向（全量检测）入向+出向（全量检测）检测攻击阶段（攻击链）侦查、利用 全阶段 全阶段，特别是攻击链靠后的阶段 特征检测 支持（无法判断攻击结果）支持（侧重于通过特征回查历史流量）支持（攻击结果分析）创建自定义检测策略 一般不支持 支持 支持 异常检测 一般不支持 支持 支持 基线学习 不支持 支持 支持 可以防御 支持 不支持 支持 提取分析包 payload 支持 支持 支持 提取文件，文件分析 不支持 支持 支持 分析 flow data 不支持 支持 支持 跨会话分析 不支持 支持 支持 8从表中可以直观看出，IDS/IPS的能力要弱于NTA与NDR；而NTA与NDR相比，最显著的短板是不具备防护阻断等响应能力。当然，NTA 也有其优势，在“网络分析”等非安全检测的需求场景中，NTA 可以用来：做流量成分分析，如各协议的占比、流量 Top 10 IP、会话数 Top IP通讯对、流量 Top IP 通讯对等；还支持一些非网络安全的异常检测，如设置网络性能基线、检测带宽使用量、发现网络异常、以及丢包重传等，这些 NTA 都可以发现。4.3NDR 的短板与不足虽然相比传统流量安全产品，NDR 已有多项改进提升，但目前业内的 NDR产品仍存在着短板与不足：威胁检测与响应的覆盖范围有限。NDR主要部署在边界或核心路由区域，分子公司网络或数量众多的端点侧暂无法覆盖，还需要 EDR 与之配合，因此很难依靠单独部署 NDR 产品，满足整体安全防护要求；溯源分析环节，目前仍较为依赖经验丰富的安全工程师，当一线用户缺少厂商的安全团队支持时，NDR 的溯源分析效果会大打折扣；Response 响应部分除了自身的旁路阻断能力外，联动响应需要安全运营中心或安全大脑总体调度协调，因此要充分发挥出 NDR 的效果，需要用户具备较为成熟的体系化安全建设与运营水平。误报率仍然较高。据本次调研，小部分厂商目前依托威胁情报，在金融等安全水平与标准化程度都较高的行业中，已经将某些场景的检测误报率降至 0.01%以下。接下来如何在 APT 更多高级威胁场景中实现有效降噪，实现精 数世咨询能力指南-NDR 9准告警是各厂商都在发力的重点；恶意加密流量的检测效果仍有待提升。除了细分领域中 2-3 家专注于恶意加密流量检测的厂商外，大部分NDR产品的恶意加密流量检出率仍然较低。105NDR 能力框架场景化方案如APT攻击、HVV、重保、钓鱼邮件、挖矿、勒索病毒、僵木蠕等流量处理流量采集离线数据包导入全包数据留存网络协议识别协议深度解析网络元数据提取文件还原提取证书还原提取数据流解码流量统计分析会话统计分析威胁检测恶意URL检测恶意程序检测网络入侵检测风险邮件检测恶意文件检测异常行为感知非法证书检测隐蔽通信检测高级木马检测APT攻击检测恶意加密流量溯源分析事件研判分析线索查证分析流量回溯分析日志挖掘分析受控主机排查受控边界排查数据取证分析攻击过程还原文件威胁分析联动响应设备旁路阻断恶意IP阻断恶意域名阻断恶意文件隔离失陷主机隔离联动终端EDR联动邮件网关联动SOC/态感安全专家响应高速大流量处理威胁情报全包存储支持动态沙箱APT实战对抗积累可视化分析静态文件检测引擎多维多源数据基础支撑能力AI赋能国产化适配HVV技战法积累运营平台/安全大脑NDR 能力框架图下面就流量处理、威胁检测、溯源分析、联动响应以及场景化、AI 赋能等六个方面分别阐述。需要说明的是，这里只对相关能力点做简单阐述，不包含具体的能力指标。一线用户可以参考附录中的案例，或在实际 NDR 安全建设过程中，根据自身所在行业与业务场景，结合能力框架进行产品解决方案的测 数世咨询能力指南-NDR 11试与采购。5.1流量处理流量处理包含对流量的采集、存储、识别、解析、提取、统计及富化等操作。该步骤为后续的威胁检测与响应提供基础数据，数据质量直接影响着后续各步骤的效果。流量处理主要分为数据预处理、协议与处理两个步骤：数据预处理主要解决的是数据的整合、清洗、去重、索引等工作，包括多源数据整合、数据清洗、数据归并、数据关联补全及数据标签化等；协议预处理主要解决的是数据整合、清洗、索引后的协议解析还原工作，基于流量重组、协议识别、协议还原、IP 分析、域名分析、文件分析、元数据提取、数据包存储、资产识别、检测结果查询及资源监控引擎等，实现多源流量数据的预处理。其中，元数据的质量很重要，即 NDR 要能够从业务优先级、网络访问关系、数字资产重要性、威胁风险场景、以及杀伤链攻击手法等多个维度，从原始流量中自动化解析、还原出威胁检测、溯源分析、联动响应可能用到的元数据。在调研过程中，笔者也看到有厂商将 AI/ML 应用于提升元数据的质量。例如借助 AI 对流量进行“白业务+灰异常+黑威胁”的分类、提取、加工，有效提升了后续威胁检测的效率和效果。除此以外，各安全企业的能力差异点还体现在单机高速大流量的处理、流量全包存储、海量数据的快速检索等方面。值得一提的是“全流量存储”。在本报告中，笔者倾向于将其定义成一个市场化概念，而非必须的技术能力点。即仅存储威胁日志流量还是以真正的全12包流量进行存储，具体要根据用户所在行业、场景需求、预算情况再确定。总体而言，面临 APT 威胁场景为主的行业用户，更倾向于真正的全包流量存储。5.2威胁检测流量处理完毕后，NDR 从中重点针对以下威胁进行检测：针对常见已知威胁基于规则、特征、情报库、病毒库等，集合多个检测引擎实现。针对入侵攻击行为基于恶意行为模型，对暴力破解、反弹 Shell、本地提权、恶意命令执行、SOL 注入、XSS 注入、跨站请求伪造、Webshell 上传、文件包含漏洞、远程代码执行漏洞等行为进行实时监测并告警。针对最新出现的威胁引入威胁情报。建议行业用户重点关注情报的质量、更新时效与情报的消费效率。这里的“消费效率”是指 NDR 设备要注意可加载的情报数量，情报消费不能影响 NDR 设备（特别是相对老旧 NDR 设备）的性能与稳定度。针对可疑 payload 结合动态沙箱进行检测。对于沙箱，除了支持的操作系统、文件种类、威胁检测引擎等基本指标外，笔者建议行业用户还可以关注沙箱的逃逸对抗、内存马不落盘等高级威胁检测能力，以及针对国产化终端环境的支持适配；针对恶意加密流量检测 数世咨询能力指南-NDR 13加密流量检测重点对恶意软件、攻击行为、APT 家族的恶意加密流量的握手、证书、时空、背景流量、payload 分布、时间分布等特征进行检测。加密流量检测能力可以很好的弥补加密威胁检测的空白，与传统全流量产品是互相补充的关系。5.3溯源分析要说明的是，就本次调研来看，溯源分析环节目前仍然要依靠有经验的安全分析人员。因此，首先 NDR 对检测到的可疑事件并非全部都要告警（告警风暴等于没有告警），而是需要结合事件关联的上下文、关键资产、特权账号等多个维度，基于风险视角赋予优先级，即重点将“降噪”后的高优先级事件以告警形式通知运营人员，再进行后续的人工溯源分析。回到 NDR 方案的溯源分析能力，不难看出，该部分要以辅助人工溯源、提升人工分析效率为主要标准。笔者建议行业用户首先考量 NDR 是否具备业务视角，如业务逻辑关系、业务系统互访关系、业务流程、业务画像等业务关系梳理能力。深入的业务视角可以大大提升溯源分析的效率效果。接下来，笔者将业内各安全厂商目前 NDR 解决方案在溯源分析方面的能力要点梳理如下：全包检索能力，特别是是否支持字段级检索，以及大流量场景下的快速检索能力；流量重放能力，特别是针对 APT 威胁，具备长时间跨度的完整数据包重放；协议识别能力，即支持的协议数量要广，呈现在分析人员面前的数据要全面，不能有遗漏；14 场景化分析能力，能够对口令爆破、内网扫描、勒索软件、挖矿病毒、钓鱼邮件、漏洞利用等常见威胁，进行有针对性场景化的溯源分析，让非高级安全分析人员能够快速溯源，定位至失陷主机或终端；APT 威胁识别能力，对高级威胁及其变种的分析要深，例如能够识别全球各区域 APT 家族的加密流量、隐秘隧道特征；各类情报库的支持，除了刚刚提到的APT家族，还有DNS数据、IP库数据、国际社工库等等；溯源分析平台易用性，如自动化、可视化、智能化关联会话、关联互访关系、关联报文等，这些易用性功能点，在基于元数据快速回查定位相关原始流量等常用场景下，可以大大提升溯源分析的效率。5.4联动响应在本次调研中，部分 NDR 产品设备自身具备一定的旁路阻断能力，即通过发送 RST 报文，对源/目的 IP 进行旁路阻断，更多 NDR 解决方案则通过安全运营平台或安全大脑，具备与其他安全产品的联动阻断能力：与边界防火墙等其他网关设备联动阻断 与 DNS 服务器联动，对恶意 DNS 实施阻断 与 Radius 协议相关设备联动，进行溯源或阻断 与终端 EDR 联动，对文件、终端进行隔离阻断 与蜜罐等安全产品配合，对 APT 攻击、HVV 等场景下的威胁进行诱捕或阻断对于响应时效要求较高的行业用户，部分厂商的 NDR 产品还提供可扩展API，并支持用户自定义脚本或 playbook。无论采用何种响应方式，该部分能力应当与“威胁检测”部分一样，结合 数世咨询能力指南-NDR 15关键资产、特权账号、事件上下文等维度，支持配置不同的响应优先级与自动化响应程度。5.5场景化能力框架的上述四个核心部分，笔者是分开描述的，但 NDR 解决方案在实际应用时则是一体化运转。以“威胁检测”部分为例，上文提到的各类威胁，往往不会单独出现，多数时候攻击者会将多种威胁手段相结合。因此，目前业内厂商都已根据攻击威胁场景总结出场景化的 NDR 解决方案，常见场景有：APT 攻击 HVV/重保 钓鱼邮件“挖矿”勒索病毒 僵木蠕 其他场景场景化的威胁检测方案，可以有效提升检测的成功率与准确率；除此以外，场景化的溯源分析建议，可以一定程度降低分析人员的成本与门槛；场景化的playbook 可以提升联动响应的自动化水平，提升响应时效。综上，场景化解决方案能够显著提升能力框架的效率效果。具体来说，NDR 在不同典型场景中的能力点包括但不限于：APT 威胁检测场景 支持双向数据包检测，特别是出向流量的回连检测；针对告警事件，会存储对应的数据包，可供研判人员分析；16 不同维度进行网络流量分析及攻击行为检测，通过内置行为检测模型，或自定义模型，检测传统特征规则无法检测的安全事件；提供多维度的溯源分析报告，如安全评级、攻击者数量、检测攻击数、成功攻击事件及 APT 组织的攻击趋势、攻击类型分布、攻击资产统计、恶意IP 分布等统计。HVV/重保事件溯源研判场景 提供全流量会话 PCAP 文件形式的存储，还原攻击事件和异常行为，供用户随时调取；以时间为主线，分析黑客行为。要能清晰完整呈现攻击 IP 的攻击次数、攻击手法、攻击工具，为溯源提供数据支撑；接到监管单位、上级单位的预警通知，以及安全告警事件后，溯源分析关键时间点的数据包上下文，还原当时的攻击场景，为分析研判提供支撑；威胁情报关联分析，即对流量数据与内部威胁情报进行联动分析。通过匹配黑IP、黑域名的外部威胁情报库，记录告警资产与黑客的会话连接数据，同时，记录黑客在资产区的全部活动轨迹。钓鱼邮件溯源场景 支持 SMTP、IMAP、POP3 协议还原，及加密通讯协议 SMTPS、IMAPS、POP3S 的协议还原；支持提取流量中的“发件人”、“主题”、“源 IP”、“附件名”、“附件类型”、邮件文本中含带的 URL 等，供分析是否为钓鱼邮件；能够还原附件文件，对附件进行沙箱检测，分析附件是否有异常；数世咨询能力指南-NDR 17 能够发现账号邮箱的弱口令、异常登录、爆破、多账号登录等异常情况；联动威胁情报，回查历史数据中，是否出现过标注为恶意（钓鱼邮件）的 URL、文件 MD5 等。“僵木蠕”、挖矿病毒等排查场景 通过情报碰撞识别，排查“僵木蠕”病毒、挖矿病毒是否已感染，如果已感染，确定其扩散范围；特征流量匹配结合资产数据，确定具体感染的区域及主机；清除病毒后，通过流量进行复查，确保清除效果。（上述部分场景化能力由锐服信提供）5.6AI 赋能AI 赋能安全目前已成为业内共识，具体到本次调研的 NDR 领域，AI 对流量处理、威胁检测、溯源分析与联动响应等几个方面都有明显提升。在流量处理部分，AI 可以在基线学习（业务白流量）、流量数据统计、日志流处理、存储性能优化等方面提供赋能；在威胁检测部分，对已知威胁，AI能够帮助提升如特征提取、降噪优化、趋势对比与预测等方面的效率效果，对未知威胁，AI 能够在基线白流量的基础上，帮助提升未知威胁的检出率；在溯源分析与联动响应部分，问答式的大语言模型能够帮助运营人员降低分析门槛，提高分析效率，提升响应时效。18更多的 AI 赋能部分，数世咨询正在调研中的“安全大语言模型”报告即将发布，欢迎关注。数世咨询能力指南-NDR 196未来展望未来 NDR 市场规模将持续增长NDR 作为威胁检测与响应的主要手段，是安全分析溯源，乃至安全运营体系中必不可少的技术手段，随着国内安全建设的不断推进，安全运营水平的整体提升，未来 NDR 的持续增长是必然的，但是增长的幅度更易受到甲方用户预算调整的直接影响，以及宏观经济环境、实网攻防演练甚至地缘冲突等外部条件的间接影响。大语言模型等 AI 技术可能为 NDR 带来突破性创新特别是随着加密流量越来越多，恶意加密流量的行为愈加隐蔽，目前基于“加密流量特征”的威胁检测效果仍然达不到一线用户的理想要求，AI 技术的进一步发展和突破可能会改变这一现状。降低误报率、漏报率目前减少误报和漏报仍然是流量威胁检测的重要目标，这对所有 NDR 产品都是一项技术挑战。未来能够率先实现精准降噪，降低运营成本的厂商，将有更多机会得到一线用户的认可。对云环境、5G 网络等新场景的支持随着企业越来越多地采用云原生架构和混合云环境，NDR 产品将更注重在这些环境中的适应性和可扩展性，以确保对整个网络生态的全面覆盖。同样的，随着 5G 的发展普及，流量带宽越来越巨大，单位时间内需要处理的流量数据会不断增高，简单通过硬件堆砌提升性能的成本过高，更好的选择是在协议解20析、大数据处理等能力上寻求技术突破。自动化、体系化的响应闭环NDR 的溯源分析与联动响应，目前仍较多依赖于人工经验，有安全技术水平的原因也有部门间的沟通成本原因。想要实现有效的自动化能力，需要具备威胁狩猎能力的团队持续输出数据分析经验，并能够将经验转化为数据分析思路和产品能力，这一方面需要技术团队具备高级网络攻击的实战经验，另一方面还需要提高产品研发能力，能够在全流量数据预处理的基础上，尽可能的融合多种离线模型，才能让 NDR 产品具备自动化、体系化的响应闭环，发挥出更大价值。数世咨询能力指南-NDR 21附录：NDR 行业用户案例某运营商用户 NDR 案例该案例由奇安信提供场景介绍某运营商省公司作为该运营商最大的省级分公司之一，下辖包括近 20 个市分公司，服务网点覆盖城市和乡村。作为内部支撑业务的“数据通信网”，该省运营商 DCN 网络组网方式随意性很强，网络区域之间边界不清晰，互通控制管理难度大，一旦遭遇网络攻击很容易扩散。因此，省公司为了确保看清所有分公司 DCN 网络出口的威胁，保障各类通信业务系统安全运转，亟需部署统一的流量威胁感知系统，来提升省、市公司网络安全协同联防的能力及通信网络安全风险整体管理水平。客户需求安全设备老旧，缺乏发现高级威胁的能力该省运营商下辖分公司网络安全设备相对单一、老旧，已经无法满足复杂通信网络下的网络安全需求，更不能及时发现网络中的异常事件，尤其是未知威胁和高级威胁。无法掌握全局安全态势，全省各市缺乏协同联防的能力当网络资源比较分散的近 20 个市公司 DCN 网络受到攻击的时候，省公司很难做到无一遗漏的进行全面感知、可视监测、统一指挥。22威胁数据不能贯通，无法追溯到攻击源头部署在省运营商公司和下辖市分公司的各类安全设备之间的数据相对割裂，形成信息孤岛，既不能有效协同发现深层次的安全问题，而且当任一家单位遭受攻击时，分析人员无法构建出完整的攻击链条，无法溯源攻击者源头，因此只能任其攻击者再次入侵其他分支单位。解决方案基于该省运营商的网络安全现状，以及下属市分公司整体情况，奇安信与该省运营商达成合作。奇安信天眼威胁监测与分析系统，以分布式集群部署的模式，对该省运营商公司 DCN 出口、互联网出口、云平台出口，以及省内 20余个地市公司DCN出口总计约150G大流量实时监测，帮助该运营商实现省公司、各地市公司流量的全面采集与威胁检测，最终达到告警在省平台统一分析和展示的目标，提升了省、市公司网络安全协同联防的能力。同时，为了帮助运维人员更好地管理部署的几十台天眼设备，又在省公司部署了“天眼集中管理平台”。客户价值全面感知威胁省公司通过统一的天眼分析平台，可视化查看和掌握全省及所有地市公司 数世咨询能力指南-NDR 23的安全态势，包括威胁事件态势、资产态势、脆弱性态势等各类展现攻击情况的态势。深入溯源分析通过将省、市公司天眼搜集的数据，与其他安全设备的数据进行碰撞和综合关联分析，自动将数以万亿的零散告警形成智能化的攻击事件链条，帮助安全人员研判出攻击者都做过什么手脚，留了哪些后门，造成了哪些破坏及隐患，以更好地对攻击者入侵途径和攻击源头进行追溯和分析分析。快速处置威胁该省运营商的分析人员通过天眼，在 1 秒内可以快速联动终端、防火墙等设备下发处置操作，及时阻断威胁，并定位感染主机的位置，大大提升了威胁响应和处置的效率。高效安全运维安全人员通过一台天眼集中管理平台，轻松统一管理和监测各分公司的所有天眼设备，并统一完成天眼设备版本升级、漏洞补丁升级、漏洞规则升级；还能实时发现设备故障，并通过邮件及时通知客户。24某省卫健委 NDR 解决方案该案例由绿盟科技提供案例背景卫生健康是重要民生领域，群众在就医过程中产生大量的医疗数据，涉及到国家安全和个人隐私、涉及民生的数据安全敏感性强，社会影响大，是国内外黑客攻击破坏的重点领域。一定要站位大局，认清形势，洞察网络潜藏的危机，未雨绸缪、积极应对。近几年针对卫生健康行业的网络安全事件直线上升，据统计，某省二级以上医疗机构以上全年产生数百起以上的网络安全事件，涵盖恶意劫持、勒索、服务宕机、数据泄露等方面，网络安全形势不容乐观，而且网络安全事件的发生影响着社会稳定、造成经济损失阻碍地方经济发展。结合网络安全国家战略，贯彻网络强国的重要思想，某省卫健委将做好网络安全保障作为头等大事和政治任务，构建了网络资产纳管、感知监管、监测预警、运维管控、应急管理“五位一体”网络信息安全综合体系，对全省卫生健康行业施政履职和推进各项工作高效运转提供了重要保障。解决方案建立行业监测监管体系在该项目中，采用了多维态势感知平台和全流量安全监测装置（NDR）构建了全行业的监测监管体系，做到从宏观到细节的分层分级呈现，全天候全方位进行实时检测，安全可视、风险可控、态势可感，助力全省卫健行业安全“防控”能力的全方位提升。数世咨询能力指南-NDR 25全天候全方位安全实时监测全省各类医疗卫生健康服务机构按照统一标准将相关安全威胁数据对接上传至“一体化监管服务平台-感知监管系统”。依靠大数据分析技术对安全数据进行关联分析，可以及时发现、识别网络攻击威胁，对接入机构进行全方位安全监测，为快速通报处置提供数据支撑。统一规范，协同防范按照标准先行的原则，专项整治工作专班组织业内外专家经过广泛研讨、征求意见、专家论证，形成 xx 态势感知数据采集规范，一方面实现接入机构上报数据的关联分析，及时发现和预警安全风险，进而协同责任单位进行响应处置和安全整改，建立常态化、全覆盖的网络安全监测体系。推进专项整治，建立长效保护机制全省行业范围内积极宣导，将专项整治工作的工作原则、要求、目标等上通下达，做到事前梳理、事中响应和事后回溯的闭环管理，打造“资产可管控，风险可感知，防护可持续”的综合防护体系，并构建了长效规范和安全管控机制，从技术和管理两方面完善了安全防范体系。26用户价值主管部门建立了行业防控体系，主体责任、监管责任工作留痕，有效履行监管职责，畅通优化行业工作机制，降低行业风险，优化发展生态。各类医疗机构统一提升威胁发现能力，消除潜在的安全风险，进一步提升安全防护水平，更快速的威胁处置，将风险消弭于无形。案例点评该项目采用全流量监测装置在医疗机构侧采集流量，协同多维态势感知平台构建“五位一体”信息安全综合体系。积极响应专项整治工作的同时，也进一步提高了医疗机构的威胁发现能力。搭载多重检测引擎，帮助用户发现潜在的威胁。按照规范无缝对接五位一体平台，上报所需数据。防患于未萌，消祸于未形。数字安全领域独立第三方调研机构