騰訊云安全發(fā)布云上紅藍對抗防護神器，破解重保盲區(qū)與溯源難題

前言

近年來，隨著企業(yè)數(shù)字化轉(zhuǎn)型加速，云上業(yè)務(wù)規(guī)模迅猛擴張，云上安全威脅呈指數(shù)級增長，攻擊手法向多樣化、持久化方向演進：實戰(zhàn)中，攻擊暴露面持續(xù)擴大，漏洞利用頻率和破壞率深度不斷攀升;重保期間，面臨攻擊流量激增、內(nèi)網(wǎng)威脅潛伏難察、事后溯源取證困難等多重挑戰(zhàn)。

在此背景下，實現(xiàn)對高級威脅事件精準感知與深度分析及實時數(shù)據(jù)泄露監(jiān)控能力的全流量檢測方案已成為企業(yè)云上安全建設(shè)的剛需。

5月23日，騰訊云安全正式發(fā)布公有云全流量檢測與響應(yīng)NDR產(chǎn)品，定位為“紅藍攻防對抗防護神器”，以“云原生接入、全流量檢測 、全流量可視”三大創(chuàng)新突破，直擊企業(yè)核心痛點，幫助企業(yè)快速建立網(wǎng)絡(luò)高級威脅防護能力。

騰訊云NDR高級產(chǎn)品經(jīng)理程碧淳和騰訊云NDR產(chǎn)品研發(fā)負責人李晨東，分別圍繞公有云NDR產(chǎn)品、技術(shù)和應(yīng)用場景做了分享。

重保必備：200+客戶攻防實戰(zhàn)檢驗

騰訊云安全公有云全流量檢測與響應(yīng)NDR經(jīng)過200+客戶的攻防實戰(zhàn)檢驗，在多家頭部客戶重保期間和日常運營場景中，均發(fā)揮了關(guān)鍵作用。對比第三方 Agent 采集方案，公有云全流量檢測與響應(yīng)NDR部署成本和工作量低，無需長期專人維護，一次性付費成本低;能覆蓋東西向流量、子網(wǎng)及加密流量檢測，可快速溯源定位具體資產(chǎn)、時間和傳輸文件，整體獲得客戶良好反饋。

如某頭部互聯(lián)網(wǎng)公司希望對所有業(yè)務(wù)進行流量全審計，因之前防護僅覆蓋北向邊界流量，且發(fā)現(xiàn)部分業(yè)務(wù)存在數(shù)據(jù)泄露和異常數(shù)據(jù)外傳情況，希望定位具體業(yè)務(wù)。騰訊云安全公有云NDR以鏡像流量方式覆蓋其云上 400 多臺服務(wù)器資產(chǎn)，對約 60Gbps 流量進行解析，留存整體日志及異常行為原始流量包，提供 180 天以上日志存儲，可回溯定位相關(guān)業(yè)務(wù)機器。同時，通過深度回包檢測快速識別真正攻擊成功事件，及時作出處置響應(yīng)。

旁路免部署：一鍵開啟，不影響業(yè)務(wù)

傳統(tǒng)NDR產(chǎn)品多以硬件盒子或交換機鏡像的形式部署，實施復(fù)雜，需要協(xié)調(diào)網(wǎng)絡(luò)運維等多團隊，運維壓力大。而騰訊云安全公有云NDR支持云原生一鍵部署與開通，采用旁路鏡像 + 自動化超量保護機制，確保業(yè)務(wù)零影響，極大降低了部署門檻。

●騰訊云安全公有云NDR目前有兩種流量采集模式：流量鏡像模式：可直接通過云API使用彈性網(wǎng)卡鏡像流量至NDR集群進行分析，對業(yè)務(wù)無影響。終端采集模式：目前云上約10%的老舊機型還未支持網(wǎng)卡流量鏡像功能，NDR也可自動化在服務(wù)器上安裝agent探針采集流量。

●流量鏡像帶寬超量的處理的兩種邏輯：自動啟停流量鏡像：當鏡像流量+業(yè)務(wù)流量總帶寬超過實例帶寬80%時，會自動停止流量鏡像，等待帶寬使用下降后再自動恢復(fù)，保障業(yè)務(wù)流量不受影響;優(yōu)先丟棄鏡像報文：當鏡像流量+業(yè)務(wù)流量總帶寬超過實例帶寬最大容量時，會優(yōu)先丟棄流量鏡像報文，保障優(yōu)先轉(zhuǎn)發(fā)業(yè)務(wù)流量。

全流量覆蓋：南北/東西/容器/加密

在云環(huán)境中，東西向流量(即內(nèi)部網(wǎng)絡(luò)通信)是傳統(tǒng)安全工具的盲區(qū)。騰訊云安全公有云NDR通過全流量鏡像技術(shù)，對云上南北向、東西向流量實時解析，徹底消除傳統(tǒng)安全工具的監(jiān)測盲區(qū)。騰訊云安全公有云NDR廣度上覆蓋公網(wǎng)流量、VPC 間流量、VPC 內(nèi)流量，支持入出站雙向加密流量解密分析，無需客戶證書，不影響原有業(yè)務(wù)架構(gòu)，內(nèi)外網(wǎng)全流量防護審計最大處理能力達 100Gbps;深度上解析 30 種協(xié)議，還原文件傳輸，對比傳統(tǒng)云產(chǎn)品，NDR 實現(xiàn) 4-7 層協(xié)議全量留存，支持惡意文件沙箱分析。尤其在加密流量分析方面，騰訊云安全公有云NDR無需客戶提供證書或更改現(xiàn)有架構(gòu)，入向流量通過彈性網(wǎng)卡鏡像采集，由于從 CLB 到服務(wù)器的流量已完成證書卸載，可直接獲取解密后流量;出向流量則通過在服務(wù)器上部署的 Agent 探針采集 TLS 會話密鑰，并將其發(fā)送至流量分析集群，結(jié)合原始流量進行解密和檢測，整個過程無需客戶干預(yù)，在確保業(yè)務(wù)正常運行的同時實現(xiàn)對加密流量的深度分析。

海量規(guī)則+深度內(nèi)網(wǎng)解析

威脅檢測的準確性直接影響安全團隊的響應(yīng)效率。騰訊云安全公有云NDR內(nèi)置強大的安全檢測能力，覆蓋2000余項已知CVE漏洞、66種主流應(yīng)用服務(wù)及30種網(wǎng)絡(luò)協(xié)議解析能力。這些檢測規(guī)則可針對各類已知漏洞利用、Web攻擊、暴力破解等威脅手段進行精準檢測，并結(jié)合騰訊安全情報實現(xiàn)實時動態(tài)更新。此外，騰訊云安全公有云NDR引入AI驅(qū)動分析引擎，通過學(xué)習(xí)歷史流量數(shù)據(jù)與實時行為模式，動態(tài)識別異常數(shù)據(jù)傳輸、隱蔽信道通信等潛在惡意活動。依托騰訊云豐富的威脅情報生態(tài)，公有云NDR能夠持續(xù)迭代檢測規(guī)則，確保對新型威脅的精準識別，顯著降低誤報率。

同時，騰訊云安全公有云NDR針對內(nèi)網(wǎng)重點應(yīng)用的傳輸協(xié)議進行深度解析，涵蓋共享協(xié)議、數(shù)據(jù)庫協(xié)議、認證協(xié)議、遠程調(diào)用協(xié)議等核心場景，能夠覆蓋58個橫向滲透檢測場景。

當前全球數(shù)字化浪潮中，網(wǎng)絡(luò)安全防護已從邊界防御進階到全流量治理。騰訊云安全公有云NDR產(chǎn)品發(fā)布為企業(yè)應(yīng)對云上安全威脅提供強有力武器，解決重保響應(yīng)、內(nèi)網(wǎng)防護、合規(guī)審計等核心挑戰(zhàn)。未來隨著攻防對抗持續(xù)升級，騰訊安全將致力打造為企業(yè)云原生安全體系核心組件，為數(shù)字經(jīng)濟發(fā)展筑牢底層防線。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。