腾讯云入选Gartner®《如何建设实施网络检测与响应》报告全球代表厂商

近日，国际研究机构Gartner®发布了《如何建设实施网络检测与响应》（How to Architect Network Detection and Response Implementation）报告。报告旨在为安全技术人员提供有关网络检测和响应（NDR）实施计划的架构指导，其概述了一个结构化的方法，供安全架构师有效规划和准备NDR实施。报告列举了全球29家NDR代表厂商（representative NDR vendors），腾讯云凭借旗下NDR产品的多层检测引擎、全流量分析建模、长周期威胁回溯等核心能力，入选全球代表厂商之列。

在报告中，Gartner对NDR的定义为：“网络检测和响应（NDR）产品通过将行为分析应用于网络流量数据来检测异常系统行为，它们不断分析内部网络（东西向）和内部和外部网络（南北向）之间的原始网络数据包或流量元数据。”

报告表示，“网络检测和响应（NDR）通常被用作补充工具，以解决更广泛的安全武器库中的能力差距。然而，尽管NDR技术具有强大的优势，但其实施的复杂性对其采用构成了挑战。”

“资源分配不足加上非最佳架构是NDR实施中的一个常见陷阱。” Gartner指出。因此，在报告中，Gartner提出NDR实施的指导框架，包括一个准备阶段和三个不同的步骤。

准备阶段：与利益相关者合作，确定能力差距和相关NDR用例。

步骤1-架构师：根据确定的用例和网络拓扑设计一个高级架构。与网络团队合作，为NDR制定流量摄入策略（例如负载平衡、直接路由、镜像）。

步骤2-选择：制定选择标准并进行POC，以评估产品尺寸和运营契合度。

步骤3-规划：通过分配网络和人力资源来准备基础设施，并为实施和未来的增强制定路线图。

腾讯云NDR是腾讯自研的高级威胁检测（APT检测）、分析、溯源和响应一体化解决方案，具备检测场景全、响应快、检测能力强、阻断率高（可达99.99%）四大优势。其符合Gartner在“网络检测和响应市场指南”的“市场描述”部分中强调的定义和要求，因而入选本次报告的代表供应商列表，且连续三次获得Gartner《指南》的认可和推荐。

具体而言，在检测场景方面，腾讯云NDR基于云端协同的全流量检测，覆盖公有云上、线下机房全流量检测场景，勒索病毒、邮件安全、密码安全等九大安全专题，开箱即用，通过安全专题将威胁聚焦，结合可视化分析帮助客户针对性解决风险问题；在检测能力方面，AI算法+威胁情报+哈勃沙箱+规则引擎+全流量溯源五大领先利器，强力对抗攻击绕过和0day漏洞；在响应速度上，腾讯云NDR具备全面的互联网漏洞检测机制及国内领先的威胁情报库，能实现实时联动，快速响应最新漏洞和事件；在阻断效果上，腾讯云NDR采用非侵入式旁路阻断攻击行为，闭环处置事件，阻断成功率高达99.99%。

同时，在多云和复杂的IT环境、人工智能的应用、与其他产品集成中，腾讯云NDR均有创新举措与应用案例。

针对多云和复杂的IT环境，腾讯云NDR支持在公有云原生接入镜像流量和线下机房。提供对互联网出口流量、负载均衡、NAT网关等南北向流量，和子网内、容器间等东西向流量做检测，实时发现资产风险、入侵事件、内部渗透攻击事件等能力。同时，留存原始报文和流量日志方便事后做溯源分析。通过云沙箱和静态文件检测能力，腾讯云NDR能发现恶意文件传输，洞察恶意文件的一切行为，发现未知威胁。

在部署方式上，腾讯云NDR兼容了不同企业IT环境的需求，能根据客户流量规模的需求，结合企业自身的IT架构进行灵活部署。腾讯云NDR一方面与腾讯云做强结合，在服务好云上客户的同时，在技术层面上更多地与云底层去结合，提供多云、混合云场景的流量安全运营体系和部署方案。

在AI的应用上，NDR根据正常流量创建了用户行为基线模型，通过机器学习等方式，帮助企业在海量数据里发现偏离模型的异常流量，发现潜在高危威胁。与单纯基于统计或设置阈值的检测方法相比，无监督的AI模型可以更完美地贴合客户的环境，并且不需要操作人员通过长期的阈值报警观察来手动调整报警阈值。另外，通过有监督的检测模型，提升SQL注入、XSS攻击、Webshell传输等攻击手法的检出率，有效应对变种攻击。

在与其他产品集成上，NDR提供几十个开放API和便捷的数据获取方式，方便用户根据自己的需要，快速做接入联动和数据分析，融入当前已有的运营流程。目前NDR阻断能力API已被国内多家主流检测厂商和客户接入，形成自动化检测响应流程，大幅提升企业的威胁处置效率和能力。

目前，腾讯云NDR已经扩展到多个新的应用场景，成功为工业、政务、金融、关基单位在重保期间的网络安全保驾护航，帮助客户快速发现网络威胁、响应安全事件，智能化部署网络安全防御体系。在2024年的大型攻防演练中，腾讯云NDR帮助某大型银行阻断了近20亿次攻击，保障了100多个系统、近6000个服务器正常运转，实现演练零事故。