前言

近年來，隨著企業(yè)數(shù)字化轉(zhuǎn)型加速，云上業(yè)務(wù)規(guī)模迅猛擴張，云上安全威脅呈指數(shù)級增長，攻擊手法向多樣化、持久化方向演進(jìn)： 實戰(zhàn)中 ，攻擊暴露面持續(xù)擴大，漏洞利用頻率和破壞率深度不斷攀升； 重保期間 ，面臨攻擊流量激增、內(nèi)網(wǎng)威脅潛伏難察、事后溯源取證困難等多重挑戰(zhàn)。

在此背景下，實現(xiàn)對高級威脅事件精準(zhǔn)感知與深度分析及實時數(shù)據(jù)泄露監(jiān)控能力的全流量檢測方案已成為企業(yè)云上安全建設(shè)的剛需。

5月23日，騰訊云安全正式發(fā)布 公有云全 流量檢測與響應(yīng)NDR 產(chǎn)品，定位為 “紅藍(lán)攻防對抗防護(hù)神器” ，以 “云原生接入、全流量檢測 、全流量可視” 三大創(chuàng)新突破，直擊企業(yè)核心痛點，幫助企業(yè)快速建立網(wǎng)絡(luò)高級威脅防護(hù)能力。

騰訊云NDR高級產(chǎn)品經(jīng)理程碧淳和騰訊云NDR產(chǎn)品研發(fā)負(fù)責(zé)人李晨東，分別圍繞公有云NDR產(chǎn)品、技術(shù)和應(yīng)用場景做了分享。

重保必備 ：200+客戶攻防實戰(zhàn)檢驗

騰訊云安全公有云全 流量檢測與響應(yīng)NDR經(jīng)過200+客戶的攻防實戰(zhàn)檢驗，在多家頭部客戶重保期間和日常運營場景中，均發(fā)揮了關(guān)鍵作用。對比第三方 Agent 采集方案，公有云全流量檢測與響應(yīng)NDR部署成本和工作量低，無需長期專人維護(hù)，一次性付費成本低；能覆蓋東西向流量、子網(wǎng)及加密流量檢測，可快速溯源定位具體資產(chǎn)、時間和傳輸文件，整體獲得客戶良好反饋。

如某頭部 互聯(lián)網(wǎng) 公司希望對所有業(yè)務(wù)進(jìn)行流量全審計，因之前防護(hù)僅覆蓋北向邊界流量，且發(fā)現(xiàn)部分業(yè)務(wù)存在數(shù)據(jù)泄露和異常數(shù)據(jù)外傳情況，希望定位具體業(yè)務(wù)。騰訊云安全公有云NDR以鏡像流量方式覆蓋其云上 400 多臺服務(wù)器資產(chǎn)，對約 60Gbps 流量進(jìn)行解析，留存整體日志及異常行為原始流量包，提供 180 天以上日志存儲，可回溯定位相關(guān)業(yè)務(wù)機器。同時，通過深度回包檢測快速識別真正攻擊成功事件，及時作出處置響應(yīng)。

旁路免部署：一鍵開啟，不影響業(yè)務(wù)

傳統(tǒng)NDR產(chǎn)品多以硬件盒子或交換機鏡像的形式部署，實施復(fù)雜，需要協(xié)調(diào)網(wǎng)絡(luò)運維等多團隊，運維壓力大。而騰訊云安全公有云NDR支持云原生一鍵部署與開通，采用旁路鏡像 + 自動化超量保護(hù)機制，確保業(yè)務(wù)零影響，極大降低了部署門檻。

●? 騰訊云安全公有云 NDR目前有兩種流量采集模式： 流量鏡像模式：可直接通過云API使用彈性網(wǎng)卡鏡像流量至NDR集群進(jìn)行分析，對業(yè)務(wù)無影響。終端采集模式：目前云上約10%的老舊機型還未支持網(wǎng)卡流量鏡像功能，NDR也可自動化在服務(wù)器上安裝agent探針采集流量。

●? 流量鏡像帶寬超量的處理的兩種邏輯： 自動啟停流量鏡像：當(dāng)鏡像流量+業(yè)務(wù)流量總帶寬超過實例帶寬80%時，會自動停止流量鏡像，等待帶寬使用下降后再自動恢復(fù)，保障業(yè)務(wù)流量不受影響；優(yōu)先丟棄鏡像報文：當(dāng)鏡像流量+業(yè)務(wù)流量總帶寬超過實例帶寬最大容量時，會優(yōu)先丟棄流量鏡像報文，保障優(yōu)先轉(zhuǎn)發(fā)業(yè)務(wù)流量。

全流量覆蓋：南北/東西/容器/加密

在云環(huán)境中，東西向流量（即內(nèi)部網(wǎng)絡(luò)通信）是傳統(tǒng)安全工具的盲區(qū)。騰訊云安全公有云NDR通過全流量鏡像技術(shù)，對云上南北向、東西向流量實時解析，徹底消除傳統(tǒng)安全工具的監(jiān)測盲區(qū)。騰訊云安全公有云NDR廣度上覆蓋公網(wǎng)流量、VPC 間流量、VPC 內(nèi)流量，支持入出站雙向加密流量解密分析，無需客戶證書，不影響原有業(yè)務(wù)架構(gòu)，內(nèi)外網(wǎng)全流量防護(hù)審計最大處理能力達(dá) 100Gbps；深度上解析 30 種協(xié)議，還原文件傳輸，對比傳統(tǒng)云產(chǎn)品，NDR 實現(xiàn) 4-7 層協(xié)議全量留存，支持惡意文件沙箱分析。尤其在加密流量分析方面，騰訊云安全公有云NDR無需客戶提供證書或更改現(xiàn)有架構(gòu)，入向流量通過彈性網(wǎng)卡鏡像采集，由于從 CLB 到服務(wù)器的流量已完成證書卸載，可直接獲取解密后流量；出向流量則通過在服務(wù)器上部署的 Agent 探針采集 TLS 會話密鑰，并將其發(fā)送至流量分析集群，結(jié)合原始流量進(jìn)行解密和檢測，整個過程無需客戶干預(yù)，在確保業(yè)務(wù)正常運行的同時實現(xiàn)對加密流量的深度分析。

海量規(guī)則+深度內(nèi)網(wǎng)解析

威脅檢測的準(zhǔn)確性直接影響安全團隊的響應(yīng)效率。騰訊云安全公有云NDR內(nèi)置強大的安全檢測能力，覆蓋2000余項已知CVE漏洞、66種主流應(yīng)用服務(wù)及30種網(wǎng)絡(luò)協(xié)議解析能力。這些檢測規(guī)則可針對各類已知漏洞利用、Web攻擊、暴力破解等威脅手段進(jìn)行精準(zhǔn)檢測，并結(jié)合騰訊安全情報實現(xiàn)實時動態(tài)更新。此外，騰訊云安全公有云NDR引入AI驅(qū)動分析引擎，通過學(xué)習(xí)歷史流量數(shù)據(jù)與實時行為模式，動態(tài)識別異常數(shù)據(jù)傳輸、隱蔽信道通信等潛在惡意活動。依托騰訊云豐富的威脅情報生態(tài)，公有云NDR能夠持續(xù)迭代檢測規(guī)則，確保對新型威脅的精準(zhǔn)識別，顯著降低誤報率。 ?

同時，騰訊云安全公有云NDR針對內(nèi)網(wǎng)重點應(yīng)用的傳輸協(xié)議進(jìn)行深度解析，涵蓋共享協(xié)議、數(shù)據(jù)庫協(xié)議、認(rèn)證協(xié)議、遠(yuǎn)程調(diào)用協(xié)議等核心場景，能夠覆蓋58個橫向滲透檢測場景。

當(dāng)前全球數(shù)字化浪潮中，網(wǎng)絡(luò)安全防護(hù)已從邊界防御進(jìn)階到全流量治理。騰訊云安全公有云NDR產(chǎn)品發(fā)布為企業(yè)應(yīng)對云上安全威脅提供強有力武器，解決重保響應(yīng)、內(nèi)網(wǎng)防護(hù)、合規(guī)審計等核心挑戰(zhàn)。未來隨著攻防對抗持續(xù)升級，騰訊安全將致力打造為企業(yè)云原生安全體系核心組件，為數(shù)字 經(jīng)濟 發(fā)展筑牢底層防線。