騰訊云安全發(fā)布云上紅藍(lán)對(duì)抗防護(hù)神器，破解重保盲區(qū)與溯源難題

前言

近年來，隨著企業(yè)數(shù)字化轉(zhuǎn)型加速，云上業(yè)務(wù)規(guī)模迅猛擴(kuò)張，云上安全威脅呈指數(shù)級(jí)增長(zhǎng)，攻擊手法向多樣化、持久化方向演進(jìn)： 實(shí)戰(zhàn)中 ，攻擊暴露面持續(xù)擴(kuò)大，漏洞利用頻率和破壞率深度不斷攀升； 重保期間 ，面臨攻擊流量激增、內(nèi)網(wǎng)威脅潛伏難察、事后溯源取證困難等多重挑戰(zhàn)。

在此背景下，實(shí)現(xiàn)對(duì)高級(jí)威脅事件精準(zhǔn)感知與深度分析及實(shí)時(shí)數(shù)據(jù)泄露監(jiān)控能力的全流量檢測(cè)方案已成為企業(yè)云上安全建設(shè)的剛需。

5月23日，騰訊云安全正式發(fā)布 公有云全 流量檢測(cè)與響應(yīng)NDR 產(chǎn)品，定位為 “紅藍(lán)攻防對(duì)抗防護(hù)神器” ，以 “云原生接入、全流量檢測(cè) 、全流量可視” 三大創(chuàng)新突破，直擊企業(yè)核心痛點(diǎn)，幫助企業(yè)快速建立網(wǎng)絡(luò)高級(jí)威脅防護(hù)能力。

騰訊云NDR高級(jí)產(chǎn)品經(jīng)理程碧淳和騰訊云NDR產(chǎn)品研發(fā)負(fù)責(zé)人李晨東，分別圍繞公有云NDR產(chǎn)品、技術(shù)和應(yīng)用場(chǎng)景做了分享。

重保必備 ：200+客戶攻防實(shí)戰(zhàn)檢驗(yàn)

騰訊云安全公有云全 流量檢測(cè)與響應(yīng)NDR經(jīng)過200+客戶的攻防實(shí)戰(zhàn)檢驗(yàn)，在多家頭部客戶重保期間和日常運(yùn)營(yíng)場(chǎng)景中，均發(fā)揮了關(guān)鍵作用。對(duì)比第三方 Agent 采集方案，公有云全流量檢測(cè)與響應(yīng)NDR部署成本和工作量低，無需長(zhǎng)期專人維護(hù)，一次性付費(fèi)成本低；能覆蓋東西向流量、子網(wǎng)及加密流量檢測(cè)，可快速溯源定位具體資產(chǎn)、時(shí)間和傳輸文件，整體獲得客戶良好反饋。

如某頭部 互聯(lián)網(wǎng) 公司希望對(duì)所有業(yè)務(wù)進(jìn)行流量全審計(jì)，因之前防護(hù)僅覆蓋北向邊界流量，且發(fā)現(xiàn)部分業(yè)務(wù)存在數(shù)據(jù)泄露和異常數(shù)據(jù)外傳情況，希望定位具體業(yè)務(wù)。騰訊云安全公有云NDR以鏡像流量方式覆蓋其云上 400 多臺(tái)服務(wù)器資產(chǎn)，對(duì)約 60Gbps 流量進(jìn)行解析，留存整體日志及異常行為原始流量包，提供 180 天以上日志存儲(chǔ)，可回溯定位相關(guān)業(yè)務(wù)機(jī)器。同時(shí)，通過深度回包檢測(cè)快速識(shí)別真正攻擊成功事件，及時(shí)作出處置響應(yīng)。

旁路免部署：一鍵開啟，不影響業(yè)務(wù)

傳統(tǒng)NDR產(chǎn)品多以硬件盒子或交換機(jī)鏡像的形式部署，實(shí)施復(fù)雜，需要協(xié)調(diào)網(wǎng)絡(luò)運(yùn)維等多團(tuán)隊(duì)，運(yùn)維壓力大。而騰訊云安全公有云NDR支持云原生一鍵部署與開通，采用旁路鏡像 + 自動(dòng)化超量保護(hù)機(jī)制，確保業(yè)務(wù)零影響，極大降低了部署門檻。

●? 騰訊云安全公有云 NDR目前有兩種流量采集模式： 流量鏡像模式：可直接通過云API使用彈性網(wǎng)卡鏡像流量至NDR集群進(jìn)行分析，對(duì)業(yè)務(wù)無影響。終端采集模式：目前云上約10%的老舊機(jī)型還未支持網(wǎng)卡流量鏡像功能，NDR也可自動(dòng)化在服務(wù)器上安裝agent探針采集流量。

●? 流量鏡像帶寬超量的處理的兩種邏輯： 自動(dòng)啟停流量鏡像：當(dāng)鏡像流量+業(yè)務(wù)流量總帶寬超過實(shí)例帶寬80%時(shí)，會(huì)自動(dòng)停止流量鏡像，等待帶寬使用下降后再自動(dòng)恢復(fù)，保障業(yè)務(wù)流量不受影響；優(yōu)先丟棄鏡像報(bào)文：當(dāng)鏡像流量+業(yè)務(wù)流量總帶寬超過實(shí)例帶寬最大容量時(shí)，會(huì)優(yōu)先丟棄流量鏡像報(bào)文，保障優(yōu)先轉(zhuǎn)發(fā)業(yè)務(wù)流量。

全流量覆蓋：南北/東西/容器/加密

在云環(huán)境中，東西向流量（即內(nèi)部網(wǎng)絡(luò)通信）是傳統(tǒng)安全工具的盲區(qū)。騰訊云安全公有云NDR通過全流量鏡像技術(shù)，對(duì)云上南北向、東西向流量實(shí)時(shí)解析，徹底消除傳統(tǒng)安全工具的監(jiān)測(cè)盲區(qū)。騰訊云安全公有云NDR廣度上覆蓋公網(wǎng)流量、VPC 間流量、VPC 內(nèi)流量，支持入出站雙向加密流量解密分析，無需客戶證書，不影響原有業(yè)務(wù)架構(gòu)，內(nèi)外網(wǎng)全流量防護(hù)審計(jì)最大處理能力達(dá) 100Gbps；深度上解析 30 種協(xié)議，還原文件傳輸，對(duì)比傳統(tǒng)云產(chǎn)品，NDR 實(shí)現(xiàn) 4-7 層協(xié)議全量留存，支持惡意文件沙箱分析。尤其在加密流量分析方面，騰訊云安全公有云NDR無需客戶提供證書或更改現(xiàn)有架構(gòu)，入向流量通過彈性網(wǎng)卡鏡像采集，由于從 CLB 到服務(wù)器的流量已完成證書卸載，可直接獲取解密后流量；出向流量則通過在服務(wù)器上部署的 Agent 探針采集 TLS 會(huì)話密鑰，并將其發(fā)送至流量分析集群，結(jié)合原始流量進(jìn)行解密和檢測(cè)，整個(gè)過程無需客戶干預(yù)，在確保業(yè)務(wù)正常運(yùn)行的同時(shí)實(shí)現(xiàn)對(duì)加密流量的深度分析。

海量規(guī)則+深度內(nèi)網(wǎng)解析

威脅檢測(cè)的準(zhǔn)確性直接影響安全團(tuán)隊(duì)的響應(yīng)效率。騰訊云安全公有云NDR內(nèi)置強(qiáng)大的安全檢測(cè)能力，覆蓋2000余項(xiàng)已知CVE漏洞、66種主流應(yīng)用服務(wù)及30種網(wǎng)絡(luò)協(xié)議解析能力。這些檢測(cè)規(guī)則可針對(duì)各類已知漏洞利用、Web攻擊、暴力破解等威脅手段進(jìn)行精準(zhǔn)檢測(cè)，并結(jié)合騰訊安全情報(bào)實(shí)現(xiàn)實(shí)時(shí)動(dòng)態(tài)更新。此外，騰訊云安全公有云NDR引入AI驅(qū)動(dòng)分析引擎，通過學(xué)習(xí)歷史流量數(shù)據(jù)與實(shí)時(shí)行為模式，動(dòng)態(tài)識(shí)別異常數(shù)據(jù)傳輸、隱蔽信道通信等潛在惡意活動(dòng)。依托騰訊云豐富的威脅情報(bào)生態(tài)，公有云NDR能夠持續(xù)迭代檢測(cè)規(guī)則，確保對(duì)新型威脅的精準(zhǔn)識(shí)別，顯著降低誤報(bào)率。 ?

同時(shí)，騰訊云安全公有云NDR針對(duì)內(nèi)網(wǎng)重點(diǎn)應(yīng)用的傳輸協(xié)議進(jìn)行深度解析，涵蓋共享協(xié)議、數(shù)據(jù)庫協(xié)議、認(rèn)證協(xié)議、遠(yuǎn)程調(diào)用協(xié)議等核心場(chǎng)景，能夠覆蓋58個(gè)橫向滲透檢測(cè)場(chǎng)景。

當(dāng)前全球數(shù)字化浪潮中，網(wǎng)絡(luò)安全防護(hù)已從邊界防御進(jìn)階到全流量治理。騰訊云安全公有云NDR產(chǎn)品發(fā)布為企業(yè)應(yīng)對(duì)云上安全威脅提供強(qiáng)有力武器，解決重保響應(yīng)、內(nèi)網(wǎng)防護(hù)、合規(guī)審計(jì)等核心挑戰(zhàn)。未來隨著攻防對(duì)抗持續(xù)升級(jí)，騰訊安全將致力打造為企業(yè)云原生安全體系核心組件，為數(shù)字 經(jīng)濟(jì) 發(fā)展筑牢底層防線。