安全运营中心 （SOC） 团队正面临一个全新的挑战 — 传统的网络安全工具无法检测高级攻击者，这些专家级攻击者已经能够规避基于端点的防御和基于签名的检测。这些“超级黑客”的猖獗，使多层威胁检测——尤其是网络检测与响应（NDR）方案成为刚需。

想象一下，您的网络已经被入侵 - 不是今天或昨天，而是早在几个月前。尽管您在 24/7 全天候运行的安全工具上进行了大量投资，但高级攻击者一直在悄悄地在您的系统中移动，小心翼翼地避免被发现。他们窃取了凭据、建立了后门并泄露了敏感数据，而您的控制面板只显示绿色。

这种情况不是假设。在许多行业中，攻击者的平均停留时间（从初始入侵到被检测到之间的时间）仍然长达 21 天左右，有些漏洞多年来一直未被发现。

“我们从安全团队那里反复听到这个故事，”Corelight是近年来发展最快的 NDR 解决方案提供商，Corelight 的现场首席技术官 Vince Stoffer 说，他们安装了 NDR 解决方案，并立即发现了基本的网络可见性问题或可疑活动，这些问题或可疑活动在其网络上已经数月甚至数年未被发现。攻击者一直在进行侦察、建立持久性、进行横向移动和泄露数据，所有这些攻击行为都潜藏于现有安全堆栈的检测能力之下。

问题在于现代攻击者的运作方式。当今老练的黑客不依赖于可能触发端点告警的已知特征或行为的恶意软件。相反，他们：

• 使用不落盘技术，利用 PowerShell 等合法系统工具

• 使用被盗但有效的凭据在网络中横向移动

• 通过加密通道进行通信

• 仔细安排他们的活动时间，使其与正常的业务运营相融合

• 利用系统之间的信任关系

这些技术专门针对传统安全方法中的盲点，这些盲点侧重于已知的入侵指标。基于签名的检测和端点监控无法捕获在合法进程与经过身份验证的会话中潜藏的对手。

那么，NDR 又如何发现这些看不见的黑客并帮助安全团队重新控制其系统？

NDR 代表了网络安全监控的演变，它超越了传统的入侵检测系统，补充了更广泛的安全堆栈。NDR 解决方案的核心是捕获和分析原始网络流量和元数据，以检测其他安全工具可能遗漏的恶意活动、安全异常和协议冲突。

与主要依赖于已知威胁特征的传统网络安全工具不同，现代 NDR 结合了多层检测策略：

• 行为分析，用于识别网络流量中的异常模式

• 建立基线和标记偏差的机器学习模型

• 协议分析，了解系统之间发生的 “对话”

• 威胁情报集成以识别已知的恶意指标

• 用于流量重放威胁狩猎的高级分析功能

“响应”元素同样重要。NDR 平台为调查提供详细的取证数据，通常还包含自动化或指导性的响应动作，以快速遏制威胁。

向 NDR 的转变源于安全形势的几项根本性变化，这些变化改变了组织进行威胁检测的方式。

1. 攻击面迅速扩大和多样化

随着云迁移、容器化、IoT 普及和混合工作模式的出现，现代企业环境的复杂性呈指数级增长。这种扩展带来了关键的可见性挑战，特别是对于传统以边界为中心的工具可能会错过的跨环境横向移动（东西向）。NDR 可在这些不同的环境中提供全面且规范的可见性，将本地、云和多云基础设施的监控统一在一个分析覆盖面下。

2. 以隐私为中心的技术发展

加密的广泛采用从根本上改变了安全监控。由于超过 90% 的 Web 流量现在已加密，传统的检测方法已变得无效。先进的 NDR 解决方案已经发展到无需解密即可分析加密流量模式，通过元数据分析、JA3/JA3S 指纹识别和其他不需要破解加密的技术来维护安全可见性，同时尊重隐私。

3. 无法管理的设备激增

互联设备的爆炸式增长（无论是 IoT 传感器的数量还是运维的工作量）导致传统基于代理的安全环境变得不切实际或难以实现。NDR 的无代理方法提供了对无法部署端点解决方案的设备可见性，解决了随着设备类型的增加速度超过安全团队管理速度，进而导致现代网络的安全盲点不断增加。

4. 互补检测方法

SOC 团队已经认识到，不同的安全技术擅长检测不同类型的威胁。EDR 擅长检测托管终端节点上的进程级活动，而 NDR 则监控网络流量，以获取攻击者难以操纵或擦除的客观的通信记录。虽然攻击者可以更改日志或禁用终端节点遥测，但攻击者必须进行网络通信才能实现其目标。这种“真实”使网络数据对于威胁检测和取证调查特别有价值。这种互补方法可以有效缩小攻击者利用的关键可见性差距。

5. 网络安全劳动力危机

全球安全专业人员短缺（估计超过 350 万个空缺职位）促使组织采用可最大限度地提高分析师效率的技术。NDR 通过提供具有丰富上下文的高保真检测来帮助解决这一人才缺口，从而减少警报疲劳并加快调查进程。通过整合相关活动并提供潜在攻击序列的全面视图，NDR 减轻了已经捉襟见肘的安全团队的认知负担，使他们能够与现有员工一起处理更多事件。

6. 不断变化的监管环境

组织面临着越来越严格的合规性要求和更短的报告时间。GDPR、CCPA、NIS2 和行业特定框架等法规要求快速通知事件（通常在 72 小时或更短的时间内），并要求提供详细的取证证据。NDR 解决方案提供满足这些要求所需的全面审计跟踪和取证数据，使组织能够证明尽职调查并提供监管报告所需的文件。这些数据对于帮助安全团队自信地声明威胁已得到完全遏制和缓解，同时这对了解攻击者在网络内部所接触的真实范围和规模也至关重要。

随着越来越多的组织认识到传统安全方法的局限性，NDR 的采用将继续加速。虽然 NDR 的创新正在迅速发展以领先于攻击者，但任何 NDR 解决方案的关键功能都必须包括：

• 提供跨多云环境可见性的云原生解决方案

• 与 SOAR（安全编排、自动化和响应）平台集成，以简化工作流程

• 用于主动威胁狩猎的高级分析功能

• 开放式架构，有助于与更广泛的安全生态系统集成

对于处理日益复杂的威胁的 SOC 团队来说，NDR 不仅成为另一种安全工具，而且成为一种基础功能，可提供检测和响应当今复杂攻击者所需的可见性。虽然没有一种技术可以解决所有安全挑战，但 NDR 解决了在重大漏洞中被反复利用的关键盲点。

随着攻击面不断扩大，攻击者在渗透安全环境方面越来越有创意，查看和理解网络通信的能力对于认真关注安全性的组织来说变得至关重要。毕竟，流量不会说谎 — 在欺骗是攻击者主要策略的时代，这一真相变得非常宝贵。

Corelight 基于开源 Zeek网络监控平台，为各种形式和规模的精英防御者提供他们所需的工具和资源，以确保全面的网络可见性和高级 NDR 功能。