Sangfor NDR 全方位加强安全保障
近期,不同客戶都在談論不同方案,例如 EDR, NDR, 甚至 Sangfor IR Services,客戶萬一有需要時就可以做到Instant Response Services。
Amidas:最近收到不少客戶告訢我們整個 Infrastructure 都受到攻擊,但又找不到源頭及原因
想問一下 Sangfor 有什麼能夠幫忙?
Sangfor:當然有, Sangfor 有不同的服務範疇,除了 IR 服務能幫忙外,今天想介紹 NDR 服務方案可以幫忙解決剛才提及的問題。NDR 全稱是 Network Detection and Response,Gartner 定義 NDR 這個技術是在網絡上24X7 全天候檢測網絡上有否可疑行為,如有,就偵測出來。NDR 背後是用什麼技術做偵測,可以跟大家分享 NDR 技術分開兩種:第一,透過 Signature Based 技術針對一些已知威脅,簡稱 Known Fact並進行 Detection;第二,黑客的技術日新月異不一定用已知的手段作出攻擊,黑客有時候利用 Zero Day 手法 及 Unknown 手段作出攻擊,就著這種情況, Sangfor NDR 利用 Signatureless,即是非 Signature Based 技術做偵測。Signatureless 的技術包括 Machine Learning,AI 技術有助檢測網絡上異常行為,透過 NDR 技術在網絡上檢測到異常行為第一時間就會發出 Alert與此同時會做一個 Response。Response 的例子包括大家用不同 Network 都有 Firewall,NDR 技術能夠指示 Firewall 堵截異常行為繼而終止黑客的入侵手段。說到 Network Traffic, Gartner 報告都有提及NDR 有南北及東西的 Traffic,何謂南北及東西的 Traffic,南北 Traffic 就是網絡流量,是離開公司的範圍或者是跨區,如用戶離開公司範圍上網的 Traffic ,即南北 Traffic,又或者在網絡上有 Server Zone 或 User Zone 的地方。若 Traffic 是離開 Server Zone 進到 User Zone ,都是稱為南北 Traffic ,是跨 Zone Traffic 。何謂東西 Traffic,例如我跟 Eric 之間有兩台筆記電腦,大家接駁同一隻 Switch或接駁同一個 VLan 或同一個 Zone,這都是東西 Traffic。透過 NDR 技術,無論是屬於南北 Traffic 跨區,還是東西 Traffic 同區的,都可以用同一技術監測東西南北 Traffic有否異常行為,就整個 NDR 技術而言,是一個 Signatureless 方案。即是說整個配套在客戶 Environment 裏面不需要安裝任何 Agent,不需要安裝任何 Software,在任何系統內,主力在網絡上檢測有否出現異常行為。剛才都提及,如有就會偵測出來及 Response,正因為這樣所有設備如 PC, Server又或者不能安裝 Agent 的配備,如經常聽到的 IT-based thermometer或 Multi-functions printer 多功能影印機,這些設備都是不能安裝 Agent。若果不幸地這此設備給黑客入侵有異常行為發生的時候,我們就可以用 NDR 技術檢測及偵測到當下的設備,包括 PC, Server, 及所有不能安裝 Agent 的是否出現異常行為,如有就會偵測出來。
Amidas:剛才已介紹什麼是 NDR,原來傳統 PC, Server 等都可以不需要安裝 Agent 就能偵測加上廣泛的 IoT Solution,NDR 已經可以偵測所有網絡層面的異常其實實際的運作是怎樣?會否非常複雜?雖然不需要安裝 Agent ,但需要很多設備嗎?
Sangfor:明白,讓我分享兩件事。第一,NDR 有何優勢及能帶給大家什麼益處;第二,回應你的問題,到底架構是否非常複雜。首先第一,NDR 技術帶給大家什麼益處?我們可以利用 NDR 單一技術可以檢測,跨平台 Security Visibility意思是利用 NDR 統一平台檢測Network, Endpoint, 所有設備 Security 情況,與此同時,任何設備連接了網絡,有任何異樣都會偵測出來及 Response,單一平台就能處理兩方面跨平台的工作。第二,尤其針對一些業務需要 Compliance 標準,如 Banking & Finance 客戶需要按 IoT Security 要求處理,透過 NDR 就能滿足所有 IoT Security 要求。說到整個 NDR 這工具的 Architecture會否很複雜煩瑣?可以說 NDR 的技術及 Topology 是相對地簡單,原因是 NDR 方案主要集中網絡上,收集網絡上的流量進行分析偵測異常行為,即是在 Network Switch mirror 或 re-direct Traffic,給我們的系統再進行分析,與此同時,Sangfor NDR 是成熟的 NDR 技術,當然我們收集的數據不單止由網絡的 Switches亦可以配合使用 Sangfor 不同的工具在不同地方收集不同數據。例如 Sangfor NDR 可以配合 Sangfor EDR 的Endpoint 工具在 Server, PC 上,檢查有否異常行為,Sangfor NDR 亦可以配合 Sangfor Endpoint,當 Network Traffic 經過 Firewall 時,Firewall 可以做到初步分析檢查有否異常行為,繼而放到 NDR 平台進行深層次分析,配套上不只是 Network Switches, Endpoint,Firewall 去收集情報,NDR 亦可以配合 Proxy 進行用戶上網行為分析,檢查眾多用戶透過 Proxy 上網時,有沒有用戶出現異常行為。這就是 Sanfor NDR 在網絡上不同地方收集不同情報,幫助大家偵測異常行為,顧名思義, NDR 的 R 就是 Response,Response 可以在什麼地方處理。第一,肯定是可以跟 Sangfor 不同的工具實行不同的 Response ,例如在 EDR 工具,NDR 可以直接指示 EDR Endpoint 在可疑的 PC 執行 Full Scanning ,與此同時亦可以隔離該可疑的 PC 的網絡連接,除了在 Endpoint 層面 Response 外,亦可以在網絡層面 Response。意思是 NDR 可以直接指示 Firewall 堵截有可疑流量繼而終斷黑客入侵,同時亦可以在 Proxy 收集不同數據看看是否有可疑的用戶。NDR 可以直接指示 Proxy 命令可疑的用戶登出 Proxy ,我們可見跟 Proxy 的 Response,在市場上是唯一的。同時,我們不限於只跟自己的工具處理 Response,客戶有不同牌子的工具,如第三方防火牆,第三方的 Endpoint,我們亦可以跟這些第三方的工具直接 Response,客戶亦有自己的 SIEM Solution,NDR 配套就是任何情況見到 Security Alert,或發生任何安全事件都可以主動將提示傳送到用戶的 SIEM,讓客戶中央的 SIEM平台作統一性管理,亦可以提升 SIEM Visibility,意思是在不同的 IoT Devices,如多功能影印機未必將 Log 傳送到 SIEM。若配合 NDR 工具就能反應出來,即是若多功能影印機不幸遭到攻擊,NDR 就可以將 Log 傳送到 SIEM,從而增強 SIEM 的安全性考量。
Amidas: 即是說 NDR 不單止是在網絡層面,或不只是自我監測及反應,因為你剛才都講解了是可以連接 Proxy又有 Firewall 等方案作整合,客戶可能都有 VPN, Firewall 方案,但就是忽略了 NDR 方案,便不能找到問題的根源。你跟不同的客人都有談及此問題,有否其他實則例子跟我們分享?
Sangfor:可以的,剛才都跟大家說近來忙碌的原因,不只是跟客戶介紹我們的方案
亦有介紹我們不同的服務,早前在家工作期間,都處理了很多 IR 個案,即 Instant Response 個案。剛才都提及很多客戶都安裝了 2-Tiers Firewall,亦有 SSL VPN Gateway,讓在家工作的同事在家中安心工作。但我們看到很多 IR 個案,黑客會利用 SSL VPN Gateway 的保安漏洞,繼而入侵及盜用 SSL VPN Gateway,將 SSL VPN Gateway 作為 jump host去攻擊客戶的 Server,然後黑客將該 Server 作為 2nd jump host,繼而將全公司的網絡系統完全加密。NDR 在這些個案中怎樣偵測及攔截這些攻擊,剛才都講解了 NDR 工具主力在網絡中,分析有否異常行為。回到剛才例子,若黑客入侵 SSL VPN Gateway,技術性來說是需要進行 Callback C&C Traffic,NDR 技術就能夠偵測這些流量,偵測過後就能馬上 Response,在不同的 Firewall 攔截了黑客的入侵,不單是在 Firewall 攔截,亦可以配合 NDR 工具指示不同第三方 Endpoint ,將可疑的 PC 執行 Full Scanning ,檢查一下黑客有否在該 PC 留低可疑檔案,到最後 NDR 可以主動將提示傳送到客戶的 SIEM,讓他們中央處理,統一記錄。這就是 NDR Use Case 透過網絡檢測,尤其針對這些 SSL VPN Gateway,不能安裝 Agent 的都能受到保護
加上即時 Response。
Amidas:正如你所說,NDR 方案就能找到根源,加上可以配合 Firewall, Proxy, EDR ,執行 Live Response, 非常全面。市面上有很多做 NDR 方案的供應商,Sangfor 怎樣在此方面突圍而出?
Sangfor:明白,市場上的確有很多 NDR 方案,我們怎樣突圍而出?直接說,Sangfor NDR 是成熟的技術,有幾個成功因素:第一,NDR 是一個完整的 On-premises solution,針對金融機構,他們的方案都需要 On-premises;第二,NDR 配套的 Response 層面,應該需要跟不同工具 Response,Sangfor NDR Response 在網絡層面,可以在 Firewall Response,Endpoint 層面指示自己還是第三方的都可以即時處理 Full Scanning 或隔離。Response 亦不只以上,還可以配合我們 Sangfor HCI 技術,HCI 即是 Hyper Converged Infrasturcture,建立成 VM Farm Datacenter。在傳統的 VM Datacenter, 在某個 Guest OS或某個 Server 有異常行為如 Cryptomining 發生,只是知道發生了,似是不能阻止,配合 Sangfor HCI 技術,NDR 就能即時指示 HCI VM Farm,命令在運行 Cryptomining 的 OS,提進 Snapshot,萬一之後要處理任何調查,VM Snapshot 是必需的資訊,亦可以指示該 VM 停止運作,終止黑客入侵動作。另一個成功因素就是我們的配套,不只是配合自己的工具,亦可以配合不同的第三方供應商,眾多牌子都可以做到,因為我們見到很多客戶都在用友商的工具,希望配合 NDR 就能做到不同程度的 Response。最後,Sangfor 整個團隊都在香港幫助大家,無論是什麼服務需要
都可以找我們跟 Amidas 一同幫忙。
Amidas 跟 Sangfor 我們的團隊有著專業技術及經驗、能力及 NDR Solution幫助大家分析。如欲了解更多,歡迎透過以下方法聯絡我們。
如有任何疑問,歡迎透過以下方式聯絡我們:
電話:2168 0388
Whatsapp: 98283401
電郵:sales@amidas.com.h
