近年来，受各类外部事件影响，全球局势动荡，网络空间安全事件、APT攻击事件频发，目前行业中在攻防领域存在几个痛点：传统网络设备容易被绕过，无法发现新型的网络攻击（0day漏洞或者变种的nday、高级未知威胁攻击等）；缺乏东西向流量检测发现内网渗透攻击行为的能力；强攻防对抗场景下，缺少实时处理海量数据并且快速切断攻击的能力来支撑事后调查取证，做到事件闭环等。

目前国内NDR（网络检测与响应）仍处于初期阶段，作为网安行业的新赛道，各家网安厂商纷纷在该领域做出技术、产品和业务布局，但伴随着用户业务场景的多样化、复杂化，产品能力的更新迭代也在加速。

国际研究机构Gartner®近年来一直跟踪研究全球NDR厂商的产品进展，通过市场指南、增长洞察等报告为企业的选择做参考。据了解，腾讯安全NDR（网络威胁检测与响应系统）已经连续三年被Gartner®列为全球NDR市场代表供应商。

近日，数世咨询创始人李少鹏、综合分析师刘宸宇、腾讯安全NDR研发负责人李晨东、高级产品经理程碧淳等人围绕NDR的技术路径、能力价值、企业实践应用等展开了深入的探讨。

对于NDR，Gartner最关注的是什么？

1、李少鹏：请问对于NDR厂商来说，Gartner比较看中哪些能力？腾讯安全连续三年被列为全球代表供应商，请问Gartner看中了腾讯安全NDR哪些地方？

程碧淳：（一）NDR属于一个比较新的赛道， Gartner在研报里也对NDR进行了定义，它不仅要求有适用规则的检测手法，还有除规则以外（比如AI或者情报等）检测手段。腾讯安全NDR不仅能够识别南北向的流量，也能识别东西向的，在发现威胁的同时，及时做出响应阻断。在安全事件调查阶段，能对海量安全告警做聚合关联分析并取证。当这些能力赋能于用户时会发现NDR完全能够吻合对市场的定义，满足安全运营团队需要的“检测-响应”、“调查-取证”核心用例，所以腾讯NDR就纳入到了分析师的调研范围里面。

（二）在检测方面，我们应用了AI算法+威胁情报+哈勃沙箱+规则引擎等等多层次的检测方式，能够发现多种新型威胁，其特点和传统的防火墙、WAF的检测规则有所不同，所以能够发现一些以前设备没有能够发现的威胁，我们称之为“未知威胁”。

（三）在闭环-响应方面，基于我们内部20多年的攻防经验，像腾讯“NDR天幕”能够做到毫秒级的方式阻断海量攻击，阻断成功率高达99.99%，在多云、混合云的场景下满足用户的实际需求。另外，我们还有国内领先的威胁情报库，可以实时联动，快速响应最新漏洞和事件。

2、李少鹏：目前市场上有很多NDR厂商，刚才说到的沙箱其实也是一个很多年的技术了，市面上也有各种不同的沙箱，请问腾讯安全NDR比较特别的优势在哪里？

李晨东：沙箱是APT攻击检测中的一种有效手段，相较于一般传统的特征匹配技术，沙箱对未知的恶意程序攻击具有较好的检测能力，能解决特征匹配对新型攻击的滞后性。具体来说，可以将实时流量引进沙箱，通过对沙箱的文件系统、进程、网络行为、注册表等进行监控，监测流量中是否包含了恶意代码。

腾讯安全的哈勃沙箱有着十多年的技术沉淀。腾讯安全从最早C端安全发展至如今B端安全，已有20年多安全运营与黑灰产对抗经验，包括在反病毒领域也自研了很多年。

哈勃沙箱相比于市面上的沙箱优势比较明显，我们有大量样本积累去学习和分析，依靠沙箱中自研的动态分析模块、静态分析模块以及稳定高效的任务调度框架，使得沙箱的对抗能力、检出能力、恶意发现能力、仿真能力等都逐步积累起来，实现自动化、智能化、可定制化的样本分析以及高级未知威胁检测。现如今，作为国内首家接入google virustotal的沙箱供应商，沙箱内部每日吞吐量已达到百万、千万级别样本，持续为安全业务提供强有力的支持。

程碧淳：除了沙箱之外，腾讯安全的云端能力也是一大优势，我们一直强调用云做好安全。云端的能力主要是体现在威胁情报和沙箱上，因为如果情报只是局限于本地的话，它的实时性、质量和丰富度都是受限。我们的威胁情报，可以依托腾讯云算法算力平台，对海量云端安全大数据进行持续挖掘，不断迭代优化。也就是说，我们可以通过云的能力，让威胁情报又丰富又快又准。

这些优势，除了Gartner比较认可，在客户实践里大家也是比较认可的点。

3、李少鹏：Gartner报告里有提到，像NDR已经扩展到新的应用场景，比如IaaS层，并预计到2027年会超过一半的NDR检测会来自云环境，想问一下你们在NDR方面有没有比较前瞻性或者突破性的东西，或者未来会朝什么方向发展？

程碧淳：我们认为未来还是和腾讯云做强结合，先服务好我们自己云上的用户，然后在技术层面上，更多地与云的底层去结合。举个例子来说，当其它传统安全厂商的产品接入云的话，不一定能追溯到某个CVM的IP，但是腾讯安全NDR在云上接的话，我们通过解析底层网络协议流量，能溯源到这个攻击具体的CVM IP，还可以区分租户流量的安全事件。同时要用好云上的能力，比如情报能力、大数据能力等等。

NDR实战检验，响应速度是核心

李少鹏：刚才提到腾讯安全NDR的一些能力和优势也是客户比较认可的点，能否分享一些实战案例？

程碧淳：比如之前有个客户，随着业务的快速扩张，面向互联网侧开放的业务也逐步增多，这样就导致用户的互联网暴露面也逐步加大。在重大攻防演练期间，整个集团的日均攻击量1亿+(主要针对集团的扫描、公众号小程序、APP和网站),并且在某一天晚上,集团暴露在互联网侧的业务,被攻击队找到漏洞，直接打进集团内部。

对此，腾讯安全就帮助客户建立了一个情报驱动、面向实战的重保/攻防演练防护体系。其中，我们的NDR表现优异，上报了近500起攻击事件，针对重保期间爆出的漏洞，腾讯安全NDR也做到了独家告警，其他厂商没有告警。

另外还有一个漏洞的故事，之前的Log4j漏洞，腾讯安全NDR响应的事件基本上是比行业内其他友商快一天到半天时间，这些对一些券商包括金融类客户来说，他们是非常认可的。因为漏洞响应速度很快，所以我们也能联动其他产品线，无论是本地化的也好，还是云端的云WAF、云防护、云主机等等，都达到同样的漏洞响应速度，然后给企业一个整体闭环的解决方案。所以，这也是腾讯安全的产品体系对于客户来说比较大的价值，它不是单品上的好处，而是一体化的方案。

李少鹏：在Log4j漏洞刚刚发布，腾讯云就对Log4j漏洞进行了全面防范，腾讯安全NDR的响应速度比其他厂商快一天到半天，想问下你们是如何做到的？

李晨东：首先，在整体安全响应来看，腾讯内部有一套比较完善的体系。我们会把漏洞分为不同级别，不同级别对应不同响应要求，比如我们的威胁情报云在大网，云上、云下、云管端都会有持续的检测，从威胁发现到实验室分析属性，再到腾讯内部做回溯验证，最后到产品侧下发，整体流程非常完善。对于整体响应时间，如果是前场发现的0day，就会实现分钟级解决，如果是云端发现，就会是两个小时左右，如果是严重0day，也会要求在两个小时内做出响应。

补充一点，其实我们在客户部署NDR的时候就会推荐客户先做资产的梳理和识别，先了解它有哪些组件，如果这些组件后面曝出漏洞的话，我们就可以及时响应给到客户。在资产识别方面，运用到的是威胁情报的攻击面管理服务。所以基于本地NDR被动的流量识别+云端主动的攻击面管理识别，就能够帮助更加高效地响应漏洞。

实现高效安全运营，NDR需与其他产品深度结合

李少鹏：NDR和其他平台的结合点是什么，比如NDR是怎么和日志SIEM结合，如何和EDR配合，有没有接口方面的配合？或者如何通过和这两个东西的配合进而证明我们的NDR比较好。

李晨东：我们基于产品线创建了SOC+体系，整体以云端情报数据为驱动，将NDR与SOC中的其他产品进行深度联动。比如通过NDR采集的数据，可以对接SIEM类的关联分析以及像AI、UEBA的行为学习，通过SOC会加深对这些数据的使用和理解，方便后续可以基于原始的数据去做更多的事情。

腾讯安全SOC+能力图谱

李少鹏：可以介绍下你们的SOC+体系吗，其中“+”的含义是什么？

程碧淳：（一）从产品层面来说，我们现在是四个大的产品矩阵：SOC安全运营平台、TIX威胁情报中心、NDR网络威胁检测与响应、MDR安全运营服务，这四部分共同组成能力矩阵。细分到每一个产线时，我们又会有不同的场景，然后生成不同分支。比如NDR包含“御界”“天幕”。

（二）从能力向来说，我们希望通过原子力、产品力、生态力，三大能力去体现我们的产品全景图。原子力结合了二十多年攻防对抗经验，还有安全实验室通过实战化的演练去推进，具体体现在攻防对抗能力和威胁情报能力；产品力则是刚才介绍的四大矩阵；生态力体现在我们给到第三方去做集成，也将合作伙伴参与帮助我们去完善整个生态和方案，最终给用户更多的选择。

“+”的含义是希望打造一个开放平台，形成安全共赢的朋友圈，我们可以将核心能力开放给其他人使用，也希望各个企业间能够一起协作。另外，通过我们较为全面的产品线，希望打造一个安全生命周期的闭环能力，实现预防、检测发现、分析溯源、阻断响应、整改处置的完整链路，希望通过连接的效能去提升整体产品集群效应。

李少鹏：现阶段市场中和NDR相关的产品还有XDR、态势感知、安全统一管理平台、安全运营平台、安全托管、MDR等等，大多都和NDR相关，你们是如何看待NDR的市场需求及发展前景？

李晨东：（一）从行业市场来看，随着数字化专项和业务复杂度提升，攻击数量显著上升，传统的安全防护解决不了，需要NDR解决，构建主动防御体系。

（二）从网络安全市场看，NDR可以解决的是高级威胁、APT攻击，目前整个安全行业已经过了基础安全建设的阶段，慢慢转向实战化、高级威胁攻防的阶段，面向安全能力建设。 

（三）从政策导向来看，国家对网络安全重视度越来越高，国家/省市级重保演练越来越频繁，同时监管趋严，传统的基础安全检测无法满足实战攻防需求，都迫使企业考虑攻防实战化的转变。

（四）从适用范围来看，NDR的适用范围非常广泛，无论是办公网，IDC，专有云，混合云，NDR都可以再不通场景满足具体的安全诉求。业务部署快、对业务侵入性小，适合各种类型、规模的企业。

数世点评：

目前整个安全行业已经过了基础安全建设的阶段，慢慢转向实战化、高级威胁攻防的阶段。面对高级威胁，传统流量分析产品能够充分利用“流量不说谎”的特性发现威胁，但仍需补全“响应”短板，形成兼具检测与响应的NDR能力。

与此同时，NDR的核心能力仍然在于“分析”。无论是基于海量数据提炼出的威胁情报，亦或是基于终端沙箱的样本检测，以及引入可扩展的AI/ML的算法与算力，都能够迅速提升NDR的分析能力，进而提升威胁检测与响应的准确率与时效性。

数世咨询会持续关注NDR这一细分领域的发展趋势。