随着企业数字化转型步伐的加快,云业务规模呈现出爆炸式增长,而伴随而来的云上安全威胁也日益严峻。近年来,这些威胁不仅在数量上激增,而且在攻击手法上变得更加多样化与持久化。在实际的安全防御战中,攻击暴露面不断扩大,漏洞被利用的频率和造成的破坏程度也在不断加深。特别是在重大安全保障期间,企业面临着攻击流量激增、内网威胁难以察觉、事后追溯与取证困难等一系列挑战。
为了有效应对这些高级安全威胁,企业急需一种能够精准感知、深度分析高级威胁事件,并实时监控数据泄露的全流量检测方案。在此背景下,腾讯云安全于5月23日正式推出了公有云全流量检测与响应(NDR)产品,被誉为“红蓝攻防对抗的防护神器”。该产品凭借“云原生接入、全流量检测、全流量可视”三大创新点,直击企业的核心痛点,助力企业迅速构建起强大的网络高级威胁防护能力。
腾讯云NDR的高级产品经理程碧淳与产品研发负责人李晨东,分别从产品特性、技术细节及应用场景等方面对这款公有云NDR产品进行了详细介绍。他们指出,该产品已经通过了200多家客户的实战检验,在多家头部企业的重大安全保障期间和日常运营中均发挥了关键作用。
与传统的第三方Agent采集方案相比,腾讯云安全公有云NDR的部署成本和工作量更低,无需长期专人维护,且一次性付费成本更为经济。更重要的是,它能够覆盖东西向流量、子网及加密流量检测,快速溯源定位具体资产、时间和传输文件,因此获得了客户的一致好评。例如,某头部互联网公司希望对所有业务流量进行全审计,但之前的防护仅覆盖北向边界流量,并发现部分业务存在数据泄露和异常数据外传情况。腾讯云安全公有云NDR通过镜像流量方式覆盖了其云上的400多台服务器资产,对约60Gbps的流量进行解析,留存整体日志及异常行为原始流量包,提供180天以上的日志存储,成功回溯定位了相关业务机器,并通过深度回包检测快速识别并处置了真正的攻击事件。
腾讯云安全公有云NDR的另一大优势在于其旁路免部署的特性。传统NDR产品多以硬件盒子或交换机镜像的形式部署,实施复杂且需要协调多个团队,运维压力大。而腾讯云安全公有云NDR支持云原生一键部署与开通,采用旁路镜像+自动化超量保护机制,确保业务不受影响,极大地降低了部署门槛。该产品目前提供两种流量采集模式:流量镜像模式和终端采集模式。当镜像流量+业务流量总带宽超过实例带宽的80%或最大容量时,会自动停止流量镜像或优先丢弃镜像报文,以保障业务流量的正常转发。
在云环境中,东西向流量(即内部网络通信)是传统安全工具的盲区。腾讯云安全公有云NDR通过全流量镜像技术,对云上南北向、东西向流量进行实时解析,彻底消除了这一盲区。它覆盖公网流量、VPC间流量、VPC内流量,并支持入出站双向加密流量解密分析,无需客户证书,不影响原有业务架构。在深度上,它能够解析30种协议,还原文件传输,并实现4-7层协议全量留存,支持恶意文件沙箱分析。特别是在加密流量分析方面,腾讯云安全公有云NDR无需客户提供证书或更改现有架构,即可实现对加密流量的深度分析。
腾讯云安全公有云NDR内置强大的安全检测能力,覆盖2000余项已知CVE漏洞、66种主流应用服务及30种网络协议解析能力。这些检测规则能够针对各类已知漏洞利用、Web攻击、暴力破解等威胁手段进行精准检测,并结合腾讯安全情报实现实时动态更新。它还引入了AI驱动分析引擎,通过学习历史流量数据与实时行为模式,动态识别异常数据传输、隐蔽信道通信等潜在恶意活动。依托腾讯云丰富的威胁情报生态,公有云NDR能够持续迭代检测规则,确保对新型威胁的精准识别,显著降低误报率。
