一、背景需求

近来网络规模不断扩大，中国互联网络信息中心（CNNIC）在京发布第48次《中国互联网络发展状况统计报告》。报告显示，截至2021年6月，我国网民规模达10.11亿，互联网普及率达71.6%。十亿用户接入互联网，形成了全球规模最大、应用渗透最强的数字社会，互联网应用和服务的广泛渗透构建起数字社会的新形态。可想而知，互联网已经渗透入国家发展、企业运转和个人生活的方方面面，互联网带来了诸多便利的同时，也暗藏危机。因此政府、企业和个人都愈发需要重视如何防范新技术带来的安全隐患，如何加强关键信息基础设施安全。

CNCERT于2021年7月发布《2020年中国互联网网络安全报告》，上述报告称，2020年，安全漏洞、数据泄露、勒索病毒以及有目的有组织的网络攻击形势愈发明显。2020年CNCERT协调处置各类网络安全事件10.3万起，仍然是网络安全事件频发的一年，黑客攻击手段愈发多样化、隐蔽化。在新的网络环境下，面对层出不穷、变化多端的网络攻击，网络安全产品的检测与防护技术也需要不断提高。中国工程院院士沈昌祥曾言，在新的网络安全环境下，杀病毒、防火墙、入侵检测这传统的“老三样”，已经难以应对人为攻击，且容易被攻击者利用，因此，找漏洞、打补丁的传统思路已不利于整体安全。在目前的安全运营工作中，安全运营人员面临以下问题：整体安全态势无法确定，不能评估管辖系统的安全等级；安全告警信息冗余复杂，无法集中精力，消灭真实威胁；维护主机成千上万，无法追踪失陷主机；传统安全产品缺失结果判断，无法甄别成功攻击；系统资产千头万绪，无法梳理，同时缺少对应的风险排查；安全运营工作没有汇报标准，上传下达信息混乱，处置流程无法闭环。

微步在线面对全新网络安全环境之下的安全挑战，推出威胁感知平台TDP（以下简称TDP）。TDP采用旁路双向流量检测的模式，在不影响网络环境的情况下能够对系统整体安全态势进行评估，提供清晰明了的安全态势大屏，辅助重大安全决策以及日常安全运营；同时TDP基于微步在线强大的威胁情报内核、持续不断对于黑客手法及企业安全场景的研究，能够精确识别是否攻击成功且精准定位失陷主机，安全运营人员只需要聚焦成功攻击，从而安全运营效率；另外TDP还提供了多种自动化处置手段，帮助用户完成安全事件处置闭环。

二、价值收益

2.1.海量告警是否让您疲于应对

也许贵单位在近年来的安全建设中已经部署了较为全面的安全设备，防火墙、WAF等防御类设备，IDS、日志分析等检测类设备。当这些安全设备检测到来自外部或内部的“攻击尝试行为”时就会触发告警，如果按照中小规模的政企单位来算的话，单日安全设备所产生的告警日志量就有可能达到十几万，遇到特殊时期告警日志量甚至高达百万。然而，大量告警并不意味着是“有效攻击”，贵单位是否消耗了大量时间在告警中分析出有效攻击行为，而真正的“有效攻击”因为被告警覆盖导致贵单位无法及时发现并做出响应措施？

微步在线TDP核心任务是为企业精准检测真实威胁，剔除海量低效告警。当您使用TDP后，在TDP首页就将看到已失陷主机和外部攻击成功这两类最高危的攻击事件，我们确保这类告警均为真实有效的攻击行为，应该被最优先处置。同时您也将看到TDP将同类攻击行为聚合为一个攻击事件，大大减少了告警量且提升了关联分析能力。在TDP在设计之初即利用双向流量验证和回溯检测，可识别攻击成功和针对性攻击，同时基于领先的高质量威胁情报精准定位失陷主机。这些设计意味着您不需要再花费大量的时间手动剔除误报或执行初级研判分析，您可以与TDP一起面对真正的黑客攻击。

2.2.您是否清晰贵单位的攻击弱点

您在日常安全运维工作中是否出现过如下类似场景：业务部门新上线的业务没有按照规定集成单点登录，暴露了新的登录入口而被黑客利用爆破成功进入了内网；安全运维同事对于该登录入口完全不知情，只能慌乱应对。

此类问题反映出，安全运维团队对于数据中心资产和暴露面掌握不清晰，让黑客有了可乘之机。因此我们在保护资产的时候，至少需要知道保护的是哪些资产；我们在应对黑客攻击的时候，至少需要知道有哪些弱点是最容易被攻击，哪些是可以被提前加固的。

微步在线TDP基于流量监听可自动识别资产和资产存在的风险项（登录入口、弱口令、API风险等等），且可以按照企业安全管理要求自定义设置风险监测场景，不仅帮助企业梳理安全脆弱点，便于提前加固整改，更是充分适应不同企业的个性化要求。如果您使用了微步在线TDP，在资产风险页面，您将清晰掌握网络内全部资产及服务，同时您可看到系统存在的所有登录入口、对应用户的登录行为、弱口令、敏感信息等等。从资产服务、登录风险、数据泄露风险、API风险等全方位梳理可被攻击的弱点。

2.3.威胁被发现了，但它被解决了吗

IBM的第五版《年度企业网络弹性报告》显示，尽管企业在过去五年中已逐渐提高了对网络攻击进行计划、检测和响应的能力，但在同一时期内，遏制攻击的能力却下降了13％。接受调查的人员估计，他们的组织平均使用45种以上的安全工具，并且他们响应的每个事件平均需要对大约19种工具进行协调。因为缺乏自动化的处置手段，即使快速发现了攻击事件，也有大量时间被消耗在处置工具协调上，从而大大拖长了事件闭环的时间。您是否也有此类困扰，在各类安全设备间来回穿梭而浪费了精力。

微步在线TDP作为一款NDR产品，不只是快速发现问题，更要帮助企业有效闭环问题。TDP提供旁路阻断能力、第三方FW联动能力、EDR联动能力等多种自动化闭环方式，可以有效协助您缩短MTTR时间。

2.4.您知道威胁情报的这些价值吗

当前，安全业界普遍认同的一个理念是：仅仅防御是不够的，更需要持续地检测与响应。然而要做到持续有效的检测与快速的响应，安全情报必不可少。从2013年，Gartner 首次提出关于威胁情报的定义，到SANS发布的《2018网络威胁情报调查》报告中发现81%的网络安全人员确认威胁情报正帮助他们更好地完成工作。威胁情报的价值越来越被认可，应用也越来越广泛。

微步在线作为国内顶尖的威胁情报专家，已经成功将反连CC的失陷主机定位、攻击者画像分析、APT攻击识别追踪、IP碰撞以提取有效攻击行为等情报价值应用于TDP之中。如果您使用了TDP，您将逐渐感受到威胁情报对于安全运维工作的价值和益处。

三、产品简介

微步在线威胁感知平台（以下简称“TDP”）是一款网络流量检测与响应（NDR）产品，TDP基于对于网络双向流量的拆包分析，能够梳理网络资产信息和资产攻击面（登陆入口、弱口令、敏感信息传输等），能够实时监控网络威胁（尝试攻击、攻击成功、针对性攻击等）并提供自动化处置手段（联动处置、旁路阻等），真正实现事前梳理、事中检测、事后处置的安全运营闭环。TDP围绕用户实际安全运营场景，致力于为用户提供一款告警准确、好用有效且持续创新的产品，从而降低用户安全运营成本，提升安全运营效果。
四、优势特点

4.1.全面梳理

攻击者在攻击时，核心是找到“信息差”，即攻击者知道但企业不知道的攻击面。TDP通过流量对攻击面进行全面梳理，协助企业从攻击者视角审视自己所有可能的攻击入口，并提前进行收敛或加固，从而帮助企业梳理和预见风险。

TDP能够智能识别Web及非Web登录入口，审计登录行为，检测弱口令、暴力破解等登录风险；从攻击者视角全面还原攻击手法和路径，自动评估威胁针对性和影响面。

4.2.精准告警

攻防对抗中自动化攻击越来越多，企业需要具备更及时的检测、更自动化的响应和处置能力来应对。但在采购了大量安全设备之后，企业的安全人员往往会被告警淹没，难以识别真正需要关注的信息。TDP围绕用户实际安全运营场景，对海量告警和威胁进行降噪，降低了企业安全研判、分析、定位和溯源的难度，使企业安全人员能更聚焦真实威胁，从而大大降低了企业安全运营成本。

TDP内置全网领先的威胁情报内核，首创基于双向全流量分析，精准判定攻击成功失败，结合威胁情报云沙箱和分析引擎，及时发现未知威胁。

4.3.自动处置

除了更及时的检测，企业也应具备更自动化的响应和处置能力来应对攻击产生后的事件闭环。TDP通过旁路阻断或联动第三方设备进行自动化威胁封禁操作，更有效缩短威胁响应时间，提升企业响应效率；同时基于自动化进程取证，也进一步提升了企业的溯源能力，更好修复黑客攻击路径中暴露出的安全弱点。
五、应用场景

5.1.高级威胁检测与响应

需求：

ü  当前贵单位已完成了基础安全建设，安全防御手段较为完善，但是否忽视了检测与响应的投入。导致在真实攻击发生时，总是被动挨打的局面，无法实时监控攻击态势；

ü  贵单位也许已经具备入侵检测类产品，但您是否发现传统入侵检测类产品对于新型攻击手法、未知威胁等不具备检测能力，同时也存在海量误报而导致无法开展日常运维等问题；

方案：

ü  TDP旁路部署于核心交换机及核心业务区交换机旁，基于网络流量实现实时攻击监控告警；

ü  多区域或多数据中心场景下，TDP可多台分布式部署，通过级联方式实现统一管控；

ü  大流量场景下，TDP支持多台集群模式，性能几乎无损耗，完美应对上百G大流量；

价值：

ü  TDP的误报率实测在0.3%以下，高精准的检测大大降低了安全人员研判难度；

ü  TDP依托微步在线海量威胁情报及智能聚合等技术，可检测针对性攻击、未知威胁、新型攻击手法；

ü  攻击成功判定、针对性攻击、攻击聚合使得安全人员可以聚焦真实的威胁，大幅度提升安全运营效率；

5.2.多分枝/数据中心全网威胁感知

需求：

ü  随着贵单位的快速发展和数字化转型需求，是否业务越来越多，数据中心也相应越建越多。您是否也在考虑如何实现多数据中心统一威胁检测？

ü  也许贵单位业务迅猛发展，全国各地甚至海外都配备了分支机构。分支多、流量大、安全能力不一致，亟需建设统一的威胁感知能力，实现统一的威胁事件收集与展示；

方案：

ü  在总部DMZ区、办公区、各地产线和办公中心分别部署威胁感知平台TDP，建立覆盖各地的高级威胁检测能力；

ü  通过TDP级联的方式汇集各区域的告警到总控平台，基于总控平台集中运维资源进行整体威胁管控；

ü  TDP接入各地DNS日志，保障办公终端对互联网的安全访问；

价值：

ü  集威胁检测、响应处置于体的威胁感知平台，使得您通过一个平台即可实现全网的安全威胁管控；

ü  基于精准的失陷情报，弥补了传统安全解决方案的不足，提升贵单位和APT、团伙对抗期间的MTTD和MTTR能力；

ü  基于精准告警，使得您可以聚焦真实威胁，通过TDP平台即可进行后续安全运营工作

ü  TDP在检出、取证、溯源方面均可发挥重要作用，助力您实现更全面的安全建设；

5.3.重保实战化能力提升

需求：

ü  攻防演练覆盖范围越来越广，已延伸至各个行业单位，贵单位是否也身处其中？

ü  实战化的演练暴露了众多安全建设的弱点，不只是集团网络，还有下属单位、接入单位等等；

ü  如何在实战化演练中取得较好的成果，您是否也在苦恼？

方案：

ü  在关键网络入口节点、关键业务节点覆盖TDP设备，强化实时的攻击检测能力；

ü  TDP具备单独的重保视角，从攻击队信息同步、实时监控、攻击者画像分析和自动化溯源等角度支撑攻防演练；

价值：

ü  旁路阻断结合联动对攻击进行实时响应处置，守住主要系统；

ü  结合IOC及安全服务进行反制溯源；

ü  将攻防演练的战时能力转向日常运营，实现实战化能力落地；

5.4.风险资源监控

需求：

ü  您是否清楚贵单位有多少IT资产，您是否清楚这些资产有哪些可被攻击的弱点（弱口令、登录口、漏洞、明文传输等等）；

ü  贵单位是否有个性化的资产风险需求，但缺乏合适的可自主设置的监控手段（监控特定端口/主机的开放情况、监控特定业务的互访情况）；

方案：

ü  TDP旁路部署可基于流量监听网内资产信息和资产相关的风险信息；

ü  TDP可提供自定义的风险监控场景，可实现个性化设置且集中告警展示；

价值：

ü  全网资产梳理，让您提前知道您所需要保护的业务有哪些；

ü  资产风险监控，让您知道已有攻击面是什么，提前做好安全加固；

ü  自定义风险监控场景，按照企业需求个性化管理；