情報高手｜ThreatBook兩大技術全方位監測網絡流量　誤報率降至0.03%

對於現代網絡安全保護方案而言，NDR（網絡檢測與回應）必不可少，隨著收集的網絡流量數據越來越多，其價值會越來越高！以情報為主打的微步在線（ThreatBook），透過領先且獨特的流量偵測與分析技術，將誤報率大幅降低至 0.03%，更成為 Gartner《網絡檢測與回應魔力象限》報告中唯一入選的中國企業，足見其產品已在國際市場上取得認可。

實現高精準攻擊檢測

ThreatBook 於 10 年前成立，短時間內已獲多個內地的頂級客戶支持，如金融，能源等全球 500 強企業，經數年時間了解及適應香港市場後，至 2023 年全面進軍香港，目前客戶以大型企業為主，包括銀行業、零售業。ThreatBook 聯合創始人李秋石（Chase）指出，其皇牌 NDR 產品 —— 新一代威脅感知平台 TDP，並非單純是個傳統基於硬件的盒子，而是一個包含數據科學和機器學習的產品。

市面上有很多產品都需要對網絡流量進行分析，Chase 以驗血做例子，只進行簡單的驗血，與 DNA 檢驗的收費大為不同，原因在於背後檢測的方法及技術差別很大，「NDR 是同一個道理，我們 TDP 也是對流量進行分析，但不僅如此，背後更運用了大量的數據科學和人工智能（AI）能力，以實現高精準攻擊檢測」。

運用威脅情報及機器學習技術分析

常見的 NDR 產品，都是以分析網絡流量表現的角度作切入點，需要學習、了解常見流量行為，才能辨別出非常見行為，Chase 認為這個邏輯本身會存在謬誤，「有些流量可能是看似不正常，但並不是真正的威脅」。

至於 ThreatBook 的 TDP，「是從攻擊角度做偵測，即是說會有威脅情報（Threat Intelligence）及機器學習（Machine Learning）的技術」，Chase 表示曾根據實際案例對警示進行分析對比，發現 TDP 的誤報率僅為 0.03%，平均偵測時間（ Mean time to detect，MTTD）大幅縮短。他指出，機構 IT 人員每日或要面臨處理逾千個警示，不可能每個警示都進行精準的調查，「我們解決的痛點，就是通過 NDR 快速降低誤報」。

簡單部署即插即用

TDP 同時支援 SaaS 化部署，Chase 解釋道：「市面上部分廠商需要將流量上傳到其數據中心進行分析，我們的分析也需要雲的支持，但我們可以把它下載到裝置分析。」Chase 坦言，這技術沒有絕對的安全與否，只取決於客戶的環境是否適合。

此外，TDP 可自動與現有網絡安全裝置及解決方案聯動，實現閉環處置，無論中外的品牌都能兼容，將非常複雜的情報技術，變成一個非常易用的即插即用產品，大概 1 小時即能成功部署。

ThreatBook 成為 Gartner《網絡檢測與回應魔力象限》報告中，唯一入選的中國企業，Chase 認為意味著網絡安全領域，不只是停留在表面的產品功能或單一的產品層面，而是深入到產品的核心與架構設計，讓產品在安全運營（SecOps）的場景下，也能很好地適應，「亦證明我們在國際市場上，產品能力有自己獨特的市場空間和認可」。