“网络检测和响应市场正在稳步增长并且扩展到了诸如IaaS等新场景。作为网络安全和风险负责人,应优先考虑将NDR作为其他检测工具的补充,用于进一步降低误报率和其他检测组件不能检测到的异常。”近日,国际机构Gartner?发布了2022年《网络检测与响应市场指南》(下文简称《指南》),对全球范围内NDR市场发展、技术变化、部署建议、代表供应商等进行了详细的剖析。其中,作为国内网络安全领军企业,奇安信凭借旗下天眼新一代安全感知系统(天眼系统),被列为具有代表性的供应商(Representative Providers)之一。
根据Gartner预测,尽管受到来自其他检测平台(如XDR)的竞争越来越激烈,网络检测和响应(NDR)市场仍以22.5%的速度稳步增长。
《指南》认为,拥有竞争力的NDR必须具备以下能力:
第一,实时或者近乎实时分析原始网络流量数据包;
第二,能够同时对南北向流量和内部的东西向流量进行监控与分析;
第三,能够模拟正常流量,并对超出正常范围的可疑流量进行突出标记;
第四,能够提供如机器学习等高级行为分析手段(而非传统基于签名的检测),用于检测网络异常;
第五,能够将多个独立安全事件进行整合关联分析,用于实现更加完整的溯源分析;
第六,为用户提供自动/手动的响应工具,以应对检测到的可疑威胁。
“奇安信天眼新一代安全感知系统在全流量检测方面采用了入侵检测双向匹配技术,基于奇安信天眼自主研发的QNA大数据人工智能威胁检测引擎,全面覆盖威胁传播通道,实现威胁的全面发现、攻击结果的精准判定。”奇安信天眼产品负责人介绍,除具备上述六大基础能力外,奇安信天眼具备以下显著优势:
首先,奇安信天眼具有更高的准确率和更低的误报率。通过在全流量检测方面采用入侵检测双向匹配技术,基于奇安信天眼自主研发的大数据人工智能威胁检测引擎(QNA),实现威胁的全面发现、攻击结果的精准判定。
其次,奇安信天眼具备更强的恶意文件检测能力。天眼沙箱采用了基于硬件模拟的分析架构,实现指令级的细粒度分析,具备强大的 APT 样本发现能力以及领先的沙箱反逃逸技术,从而提升其恶意文件检测能力。
第三,奇安信天眼对新场景攻击的及时发现。天眼深度融合奇安信自身强大的威胁情报,并通过大数据、人工智能等技术,建立覆盖全面的新场景和新威胁分析模型,实现对新场景下 APT 攻击行为的及时发现。
此外,奇安信天眼产品还具备强大的数据还原技术、基于词法语法分析的结构化查询语言(SQL)注入发现技术、基于极端随机树算法的网站脚本(WebShell)发现技术、基于规则标签的攻击溯源技术等技术能力,配合动静结合的文件检测手段,实现全面的威胁发现能力,能够以攻击链的视角自动重现整个攻击过程,让政企客户“看清”威胁,了解是谁攻击了企业的什么资产、使用了什么手法、上传了什么文件、窃取了什么信息。
2022年11月9日,奇安信宣布中标海外某国家网络安全指挥中心建设项目,预计项目交易金额约2000万美元(约合1.45亿元人民币),中标产品主要为中标产品主要为态势感知、威胁监测等软件类产品。此前,奇安信曾于2021年获得七千万元人民币海外业务大单,项目重点聚焦于APT监测方向。天眼作为网络威胁检测的核心产品,也包含其中,助力公司圆满完成海外重大项目的开拓和建设任务。
目前,奇安信天眼已经在国内政府、金融、运营商、公共事业、医疗等重点行业完成了广泛覆盖。
Gartner, Market Guide for Network Detection and Response, December 2022.
Gartner未在其报告中支持任何厂商、产品或服务,也并不建议技术用户只选择有最高评分或其它特征的厂商。Gartner研究出版物代表的是Gartner研究机构的意见,不应解释为对事实的陈述。Gartner对与本研究有关的所有明示或暗示的保证概不负责,包括对适销性或特定用途的适用性的任何保证。Gartner是Gartner有限公司和/或其附属公司在美国及全球的注册商标和服务商标,经许可在此使用。保留所有权利。