记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

数世咨询:威胁检测与响应(TDR)市场指南

2020-12-08 08:19
2020年12月8日,数字安全领域第三方调研机构数世咨询发布《威胁检测与响应(TDR)市场指南》报告。
近几年大型攻防演练活动中,以攻防为主要场景的威胁检测与响应解决方案已经成为众多机构的主要安全需求,作为经实践验证行之有效的解决方案。为了客观真实地反映该细分领域的市场及技术情况,本报告中的能力点阵图从应用创新力与市场执行力两大维度,对国内威胁检测与响应(TDR)提供商进行了侧写。同时,报告还对2019年国内威胁检测与响应(TDR)概念、市场规模、技术功能与应用场景等角度进行了梳理与描述,供业内人士参考。

能力点阵图




市场指南

  • 入选本次威胁检测与响应(TDR)点阵图的安全厂商有15家,分别为:安博通、安恒信息、东巽科技、斗象科技、恒安嘉新、华清信安、科来、金睛云华、兰云科技、绿盟科技、奇安信、启明星辰、深信服、亚信安全、中睿天下。其中以流量检测能力为主的安全厂商有,科来、恒安嘉新、安博通,代表产品如科来的网络流量安全分析系统;以安全分析为主的安全厂商有,金睛云华、东巽科技、中睿天下、兰云科技、华清信安、斗象科技,代表产品如兰云科技的兰眼威胁感知系统;提供TDR综合解决方案的安全厂商有奇安信、绿盟科技、启明星辰、安恒信息、亚信安全,代表产品如奇安信的天眼新一代安全感知系列产品。 
  • 威胁检测与响应(TDR)在数世咨询定义的市场成熟度,概念市场、新兴市场、发展市场与成熟市场四个阶段中,位于发展市场阶段(见成熟度阶梯)。 
  • 威胁检测与响应(TDR)是指:以全流量检测与分析技术为核心,并结合威胁情报、脆弱性检测、加密流量解析、日志分析 、EDR、SOAR、沙箱、专家服务等功能模块,以网络攻防对抗为主要场景的一体化解决方案。威胁检测与响应(TDR)在数据咨询发布的《中国网络安全能力图谱》八大维度中属于“综合体系”维度。
  •  据本次调研统计,2019年威胁检测与响应(TDR)规模约在19亿元左右,根据参与调研的各安全厂商对本年TDR收入情况预估,2020年TDR市场规模预计达到26亿元左右。近几年,随着各种新型攻击的持续发生, IT与互联网应用的快速发展,国家各项政策规范的制定以及重大网安活动的推动,基于通信流量的检测响应技术势必成为安全领域最重要的安全防护手段,TDR市场将持续增长,预计2021年TDR市场约为39亿元左右。
  • 据调研,目前国内用户采购威胁检测与响应(TDR)整体解决方案的需求主要围绕以下三方面:
  1. 现有的安全建设体系难以应对实战化、常态化、智能化的攻击手法,针对APT及未知威胁、高级威胁需要有效防护手段。
  2. 完善企业内部的安全运营体系,与SOC/SIEM、大数据平台、威胁情报等体系实现互补和对接。
  3. 安全及威胁攻击可视化,清晰明确业务造成攻击的状况, 提升客户威胁回溯和响应处置能力,自动化能力。
  • 据调研,国内各行业用户对威胁流量与响应(TDR)的投入情况如下图所示,排名前四的行业:运营商(21%),金融(20%),能源(10%)、国防(9%)。可以看出,TDR采购需求较高的行业仍是信息化程度且对网络攻击敏感度较高的行业。 


应用场景

威胁检测、攻击行为分析以及应急响应溯源是TDR的主要场景。
威胁检测场景中,在前期全面资产盘点、收敛攻击暴露面的基础上,首先进行漏洞扫描、弱口令排查等脆弱性检测,针对潜在的各类恶意软件,基于已知威胁库进行规则检测,阻断大部分已知安全威胁;对于可能存在的未知威胁,通过全流量采集、网络协议解码和元数据提取等步骤,建立完整的协议及数据包索引,并逐步形成流量协议、通联关系、行为统计等特征基线,为后续的关联分析提供数据基础;对于邮件、终端、蜜罐等安全产品上报的文件以及流量中提取得到的所有文件,应当配以AV引擎进行检测查杀,如有条件,还可导入沙箱进行二次动态检测。
在接下来的攻击行为分析场景中,及时、优质的威胁情报是有效的加分项,该细分领域的有些安全企业,将威胁情报前置,在流量检测环节就对检测对象(包括IP地址、域名、URL等)进行自动化威胁情报碰撞,直接判定检测对象是否恶意,目的是提升告警的准确度,降低误报率,为接下来的响应溯源环节提供准确线索。威胁情报数量巨大,如何在检测效率和检测深度上取得平衡是TDR产品的重要考量指标之一。利用威胁情报还可以对历史流量日志进行回溯分析,利用最新的威胁情报碰撞历史的流量日志,发现可能潜藏有一段时间的未知高级威胁。面对高级安全专家人员短缺的现实情况,各安全企业普遍选择将web攻击、钓鱼、弱口令、爆破攻击、僵木蠕等常见威胁行为提炼为场景化模型。此外,除了按照killchain、ATT&CK等主流框架积累模型外,为了积累更多模型覆盖更多威胁,不同企业有不同的实现路径,有的是通过机器学习进行覆盖,有的则是通过社区化运营来搜集异常行为模型。最终目的是一致的,使TDR产品/解决方案具备一定的自动化分析能力,3-4年安全工作经验的人即可使用。但即便如此,就目前来说,更高要求的关联分析还是需要经验更丰富的安全专家来完成。一定规模的专家团队进行会诊还是必要的。
在响应溯源阶段,TDR在与MDR、EDR、NDR联动时,应当具备一定的自动化编排能力,同时为其他厂商的设备预留接口。值得一提的是,如果在前期做过详尽的资产盘点,并考虑到资产的业务价值,那么在响应优先级中即可有所体现。而且,基于NTA的全包存储、还原取证等能力,及情报辅助去除佯攻噪音后,交由人工专家进一步溯源。
以上检测、分析、响应三个环节经过实践检验后,应当融入用户的安全运营流程,并持续迭代改进。特别是在大型攻防演练活动常态化以后,安全产品/解决方案的流程化成熟运转,是其能力得以真正发挥的重要方式。

作者:

产业市场分析师:左晶

综合调研分析师:刘宸宇

技术应用分析师:潘颉阳

数据统计分析师:牛爱民

机构简介:

北京数字世界咨询有限公司,中国数字安全领域中立的第三方调研机构,以数字时代为背景,提供网络安全行业的调查、研究与咨询服务。

联系邮箱:dw@dwcon.cn



往期精彩回顾




2020年度网络安全成熟度阶梯(完整版)
数世咨询:网络靶场能力指南
数世咨询:网络安全态势感知能力指南




知识来源: https://mp.weixin.qq.com/s?__biz=MzkxNzA3MTgyNg==&mid=2247486338&idx=1&sn=4b1bfa774d1f33122e5c7ac66ebc89d6

阅读:213944 | 评论:0 | 标签:无

想收藏或者和大家分享这篇好文章→复制链接地址

“数世咨询:威胁检测与响应(TDR)市场指南”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

黑帝公告 📢

永久免费持续更新精选优质黑客技术文章Hackdig,帮你成为掌握黑客技术的英雄

广而告之 💖

标签云 ☁