多年來(lái)���,安全專(zhuān)家一直在爭(zhēng)論究竟是外部人員還是內(nèi)部人員帶來(lái)更大的風(fēng)險(xiǎn)���。如今,這種辯論已經(jīng)沒(méi)有實(shí)際意義:因?yàn)榫W(wǎng)絡(luò)界限已經(jīng)模糊化����,威脅正無(wú)處不在��。
例如�,內(nèi)部人員可能在家里辦公或遠(yuǎn)程辦公;員工可能需要利用BYOD;業(yè)務(wù)合作伙伴和銷(xiāo)售人員經(jīng)常需要訪問(wèn)云中關(guān)鍵任務(wù)服務(wù)?���,F(xiàn)在企業(yè)比以往任何時(shí)候都更難了解在給定的時(shí)間內(nèi)誰(shuí)在網(wǎng)絡(luò)上�����,以及有多少設(shè)備在訪問(wèn)服務(wù)���、系統(tǒng)和數(shù)據(jù)���。企業(yè)正在逐漸失去對(duì)網(wǎng)絡(luò)的控制,而攻擊者則在研究這些新技術(shù)��,并利用它們來(lái)繞過(guò)傳統(tǒng)防御����。
為了克服這些安全隱患,并獲得更好的可視性來(lái)確定誰(shuí)在使用網(wǎng)絡(luò)���,安全專(zhuān)家紛紛轉(zhuǎn)向網(wǎng)絡(luò)流量分析來(lái)提高網(wǎng)絡(luò)安全的可視性�。
網(wǎng)絡(luò)安全可視性超越傳統(tǒng)防御的范圍
上面提到的情況強(qiáng)調(diào)了企業(yè)應(yīng)該超越傳統(tǒng)安全技術(shù)的范圍����,實(shí)時(shí)研究更大環(huán)境的安全性��。企業(yè)不應(yīng)該在攻擊發(fā)生后才阻止攻擊�����,而是在攻擊發(fā)生時(shí)檢測(cè)攻擊�,觀察網(wǎng)絡(luò)流量能夠?yàn)槠髽I(yè)提供更好的網(wǎng)絡(luò)可視性和對(duì)惡意事件更快的檢測(cè)�����。網(wǎng)絡(luò)流量是分析IP�����、TCP��、UDP以及與信息源�、目標(biāo)端口和IP地址相關(guān)的其他header信息。這種網(wǎng)絡(luò)流量分析工作需要網(wǎng)絡(luò)安全管理人員進(jìn)行戰(zhàn)略性的轉(zhuǎn)變����,構(gòu)建對(duì)整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的全面視角。
然而��,這種轉(zhuǎn)變受到人員和技術(shù)的制約���。在人員方面����,大多數(shù)企業(yè)已經(jīng)被迫轉(zhuǎn)變?yōu)樯倩ㄥX(qián)多辦事����。設(shè)計(jì)安全系統(tǒng)架構(gòu)、抵御高級(jí)攻擊以及識(shí)別和緩解入侵等工作要求熟練的安全工作人員����,而很多企業(yè)找不到或者負(fù)擔(dān)不起這種人才。與此同時(shí)��,安全企業(yè)通常嚴(yán)重依賴于數(shù)據(jù)泄露防護(hù)DLP和企業(yè)權(quán)限管理ERM等產(chǎn)品來(lái)檢測(cè)安全違規(guī)情況���。雖然這些技術(shù)能夠發(fā)揮一定作用�����,但它們并不是萬(wàn)能的���,企業(yè)需要采取一種新的方法。
網(wǎng)絡(luò)流量分析:三管齊下
強(qiáng)調(diào)網(wǎng)絡(luò)流量分析的新計(jì)劃:檢測(cè)��、精煉和分析數(shù)據(jù)流三管齊下。它利用多個(gè)內(nèi)部和外部信息來(lái)源����,并實(shí)時(shí)處理數(shù)據(jù)來(lái)檢測(cè)威脅。這里關(guān)鍵是使用已經(jīng)部署的可用的現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施�。
流量分析對(duì)網(wǎng)絡(luò)中流量的移動(dòng)情況提供了一個(gè)不同的視角。它能夠分析在給定的度量?jī)?nèi)一個(gè)事件的發(fā)生頻率�����。例如�����,在周末的凌晨至凌晨2點(diǎn)�����,包含加密.zip文件的流量離開(kāi)網(wǎng)絡(luò)并發(fā)往亞洲的頻率?通過(guò)流量分析工具�,安全專(zhuān)家可以近乎實(shí)時(shí)查看這種類(lèi)型的用戶活動(dòng)。
對(duì)流經(jīng)現(xiàn)代網(wǎng)絡(luò)的大量數(shù)據(jù)進(jìn)行精煉需要能夠聚合和關(guān)聯(lián)數(shù)據(jù)的工具�。思科公司是在市場(chǎng)上推出這種技術(shù)的首批供應(yīng)商之一。很多其他供應(yīng)商也相繼加入了這個(gè)領(lǐng)域����,包括Vitria��、Riverbed和ArborNetworks�����。對(duì)于預(yù)算緊張的企業(yè),則可以考慮Softflowd和FlowScan等開(kāi)源工具����。你可以在networkuptime網(wǎng)站找到這些工具。
通過(guò)使用標(biāo)準(zhǔn)�����,能讓這些對(duì)實(shí)時(shí)數(shù)據(jù)的分析變得更簡(jiǎn)單�,例如NetFlow標(biāo)準(zhǔn)--由思科開(kāi)發(fā)而后成為了行業(yè)標(biāo)準(zhǔn)。有了標(biāo)準(zhǔn)���,企業(yè)可以采用通用格式���,從而挑選適合的分析工具。流量聚合和數(shù)據(jù)輸出的標(biāo)準(zhǔn)是由IETF來(lái)處理的���,而企業(yè)可以選擇的日志分析工具包括LogRhythm��、Nagios和Splunk���。企業(yè)有太多數(shù)據(jù)需要管理��,這成了一個(gè)問(wèn)題��,但云計(jì)算可以幫忙��。云計(jì)算允許用戶根據(jù)需求的增加來(lái)擴(kuò)展����,這樣使他們幾乎可以瞬時(shí)創(chuàng)建虛擬服務(wù)器來(lái)滿足需求���。
網(wǎng)絡(luò)流量分析:不是一朝一夕的解決方案
很顯然�,防病毒技術(shù)等傳統(tǒng)抵御方法已經(jīng)無(wú)法抵御零日攻擊和高級(jí)持續(xù)威脅?���,F(xiàn)在,網(wǎng)絡(luò)流量分析為我們提供了一個(gè)令人信服的選擇��,但整個(gè)行業(yè)遷移到這一模式還將需要時(shí)間���。
網(wǎng)絡(luò)流量分析需要企業(yè)付出一些努力以及安排培訓(xùn)���,特別是第一次部署的時(shí)候;安全專(zhuān)業(yè)人員可能不知道他們需要尋找什么���,因此自然需要一個(gè)學(xué)習(xí)曲線來(lái)培養(yǎng)他們尋找異常的能力。另外�,還需要專(zhuān)門(mén)的網(wǎng)絡(luò)分析工具,而這需要投入資金來(lái)部署����。此外����,模式轉(zhuǎn)變并不容易,它們不是受思維方式的驅(qū)動(dòng)����,而是受變革的推動(dòng)。
轉(zhuǎn)移到網(wǎng)絡(luò)流量分析需要先奠定一定的基礎(chǔ)��。首先應(yīng)該與高級(jí)管理人員協(xié)商���,向他們解釋部署NetFlow如何實(shí)現(xiàn)“雙贏”的局面—它支持廣泛的企業(yè)用途����。如果你是代表安全部門(mén),可以聯(lián)合網(wǎng)絡(luò)團(tuán)隊(duì)�����,因?yàn)樗麄儗?duì)路由器和交換機(jī)有直接控制權(quán)��,讓他們加入你的陣營(yíng)非常重要��。你還將需要確認(rèn)現(xiàn)有設(shè)備支持網(wǎng)絡(luò)流量��,以及未來(lái)采購(gòu)滿足你的預(yù)計(jì)需求�����。
從戰(zhàn)略上來(lái)看�����,大多數(shù)企業(yè)已經(jīng)落后于高級(jí)攻擊的能力�,而網(wǎng)絡(luò)流量分析是恢復(fù)這一平衡的重要一步。
來(lái)源:CCTIME飛象網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時(shí)須獲得授權(quán)并注明來(lái)源“中國(guó)產(chǎn)業(yè)經(jīng)濟(jì)信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力�����。凡轉(zhuǎn)載文章�����,不代表本網(wǎng)觀點(diǎn)和立場(chǎng)�����。版權(quán)事宜請(qǐng)聯(lián)系:010-65363056。
延伸閱讀
