威胁检测与响应技术，如何避免沦为“鸡肋”？

根据IDC 2023年发布的最新数据，中国网络安全市场增速超过美国，而高增速下最重要的驱动力之一，正是来自于网络攻击威胁的持续增长。

基于已经诞生数十年的海量旧威胁，网络威胁的变种类型和攻击手段正在以“滚雪球”的形式极快演变，如Wiper雨刷恶意软件在2022年被攻击者引入新变种，致使该病毒在问世十余年后再次“血洗”20+国家。

新型变种威胁的大量激增，基于黑白名单、签名和规则特征等传统检测方式的正确率和速度越来越低。但若NDR仅仅聚焦于威胁的检测场景，仍然无法解决海量威胁中难挖掘攻击根因、夜间假期安全告警增多、有限的人员无法全天候保障等难题。即使能发现威胁，也对阻碍攻击无济于事。

如今，在网络威胁的战场上，数字化建设的“主力军”更青睐哪种攻防交锋方式？怎样的威胁检测与响应技术才能避免沦为“鸡肋”？也许下面这两份权威报告能为你拨开迷雾。

怎样的NDR才堪称“利器”？

近日，全球权威分析机构同时针对“威胁检测与响应”技术，发布了两份重磅报告：

在数年应用下，除检测响应时间和处置速度等关键“指标”外，NDR也有了更多贴合数字化转型的新视角。Gartner也在报告中提出，未来的数字建设者需要的威胁检测与响应技术，应当具备以下三项特质：

因此，威胁检测与响应技术不仅需要广覆盖检测场景，还需要有效联动处置威胁、降低运维和管理复杂性，数字化建设者方能在频频突发的新威胁下做好安全风险的提前、动态、高效管控。

以风险管控为导向的NDR才能让安全效果领先一步

2023年5月，《信息安全技术关键信息基础设施安全保护要求》开始正式实施。“以风险管理为导向的动态防护”正是其中三大基本原则之一。

该原则要求关键信息基础设施需要根据威胁态势进行持续监测和安全控制措施的动态调整，形成一个不断更新、不断优化的安全防护机制，及时有效地防范和应对各种安全风险。

而作为国家卫健委直属的大型综合性医院，武汉协和医院已经以实战的成果先一步落地：在勒索病毒WannaCry再次变种流行时，武汉协和医院仅用1分钟就从多设备的海量数据中检测、定位到某主机恶意请求外联的行为，深信服协同在5分钟内完成了应急响应，30分钟内实现主机威胁的清除，彻底化解了WannaCry病毒的凶猛攻势。

安全风险的有效管控，需要的不仅仅是堆叠设备或简单组合联动，而是需要多维度的聚合分析和快速响应决策，并彻底闭环响应事件。为了帮助用户在攻防中抢占先机，深信服亦不断往这个方向深入探索，推出了“平台+组件+服务”的安全新范式：

平台强检测

基于大量应用AI和集成了XDR创新检测引擎的安全感知管理平台SIP，能做到秒级定位威胁根因，消减90%海量告警，威胁检测准确率达95%以上；通过智能定性分析，将不同类型告警进行分类分级，帮助运营人员聚焦高价值告警。

服务高闭环

安全托管服务MSS的加持确保了7*24小时实时应急，通过安全专家分析研判与主动响应，响应时间缩短至小时级，释放安全运营的精力和专业投入，安全事件轻松协同闭环。

组件真联动

深信服SIP支持30+家主流品牌的60+安全设备，实现230+种联动操作，可帮助用户充分复用现有设备做到一站式轻松处置安全风险。

正如上文中 Gartner的预测，未来威胁检测与响应技术将不再局限于检测场景。始于威胁检测，但却终将落回攻防的本质——如何抢占先机，做好安全风险的提前、全流程管控，您是否有了新的想法？