多年來����,安全專家一直在爭論究竟是外部人員還是內(nèi)部人員帶來更大的風(fēng)險��。如今�,這種辯論已經(jīng)沒有實際意義:因為網(wǎng)絡(luò)界限已經(jīng)模糊化����,威脅正無處不在。
例如�����,內(nèi)部人員可能在家里辦公或遠程辦公;員工可能需要利用BYOD;業(yè)務(wù)合作伙伴和銷售人員經(jīng)常需要訪問云中關(guān)鍵任務(wù)服務(wù)?����,F(xiàn)在企業(yè)比以往任何時候都更難了解在給定的時間內(nèi)誰在網(wǎng)絡(luò)上�,以及有多少設(shè)備在訪問服務(wù)�����、系統(tǒng)和數(shù)據(jù)����。企業(yè)正在逐漸失去對網(wǎng)絡(luò)的控制,而攻擊者則在研究這些新技術(shù)��,并利用它們來繞過傳統(tǒng)防御。
為了克服這些安全隱患��,并獲得更好的可視性來確定誰在使用網(wǎng)絡(luò)�����,安全專家紛紛轉(zhuǎn)向網(wǎng)絡(luò)流量分析來提高網(wǎng)絡(luò)安全的可視性�����。
網(wǎng)絡(luò)安全可視性超越傳統(tǒng)防御的范圍
上面提到的情況強調(diào)了企業(yè)應(yīng)該超越傳統(tǒng)安全技術(shù)的范圍����,實時研究更大環(huán)境的安全性。企業(yè)不應(yīng)該在攻擊發(fā)生后才阻止攻擊�����,而是在攻擊發(fā)生時檢測攻擊��,觀察網(wǎng)絡(luò)流量能夠為企業(yè)提供更好的網(wǎng)絡(luò)可視性和對惡意事件更快的檢測��。網(wǎng)絡(luò)流量是分析IP����、TCP����、UDP以及與信息源��、目標(biāo)端口和IP地址相關(guān)的其他header信息��。這種網(wǎng)絡(luò)流量分析工作需要網(wǎng)絡(luò)安全管理人員進行戰(zhàn)略性的轉(zhuǎn)變��,構(gòu)建對整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施的全面視角�����。
然而�,這種轉(zhuǎn)變受到人員和技術(shù)的制約�����。在人員方面�����,大多數(shù)企業(yè)已經(jīng)被迫轉(zhuǎn)變?yōu)樯倩ㄥX多辦事�����。設(shè)計安全系統(tǒng)架構(gòu)、抵御高級攻擊以及識別和緩解入侵等工作要求熟練的安全工作人員��,而很多企業(yè)找不到或者負(fù)擔(dān)不起這種人才��。與此同時�,安全企業(yè)通常嚴(yán)重依賴于數(shù)據(jù)泄露防護DLP和企業(yè)權(quán)限管理ERM等產(chǎn)品來檢測安全違規(guī)情況。雖然這些技術(shù)能夠發(fā)揮一定作用��,但它們并不是萬能的����,企業(yè)需要采取一種新的方法。
網(wǎng)絡(luò)流量分析:三管齊下
強調(diào)網(wǎng)絡(luò)流量分析的新計劃:檢測��、精煉和分析數(shù)據(jù)流三管齊下�����。它利用多個內(nèi)部和外部信息來源�����,并實時處理數(shù)據(jù)來檢測威脅��。這里關(guān)鍵是使用已經(jīng)部署的可用的現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施�����。
流量分析對網(wǎng)絡(luò)中流量的移動情況提供了一個不同的視角。它能夠分析在給定的度量內(nèi)一個事件的發(fā)生頻率�。例如,在周末的凌晨至凌晨2點�,包含加密.zip文件的流量離開網(wǎng)絡(luò)并發(fā)往亞洲的頻率?通過流量分析工具,安全專家可以近乎實時查看這種類型的用戶活動�。
對流經(jīng)現(xiàn)代網(wǎng)絡(luò)的大量數(shù)據(jù)進行精煉需要能夠聚合和關(guān)聯(lián)數(shù)據(jù)的工具。思科公司是在市場上推出這種技術(shù)的首批供應(yīng)商之一�。很多其他供應(yīng)商也相繼加入了這個領(lǐng)域,包括Vitria�����、Riverbed和ArborNetworks�����。對于預(yù)算緊張的企業(yè)����,則可以考慮Softflowd和FlowScan等開源工具�。你可以在networkuptime網(wǎng)站找到這些工具。
通過使用標(biāo)準(zhǔn)����,能讓這些對實時數(shù)據(jù)的分析變得更簡單����,例如NetFlow標(biāo)準(zhǔn)--由思科開發(fā)而后成為了行業(yè)標(biāo)準(zhǔn)��。有了標(biāo)準(zhǔn)����,企業(yè)可以采用通用格式,從而挑選適合的分析工具����。流量聚合和數(shù)據(jù)輸出的標(biāo)準(zhǔn)是由IETF來處理的,而企業(yè)可以選擇的日志分析工具包括LogRhythm����、Nagios和Splunk。企業(yè)有太多數(shù)據(jù)需要管理�����,這成了一個問題��,但云計算可以幫忙。云計算允許用戶根據(jù)需求的增加來擴展�����,這樣使他們幾乎可以瞬時創(chuàng)建虛擬服務(wù)器來滿足需求����。
網(wǎng)絡(luò)流量分析:不是一朝一夕的解決方案
很顯然,防病毒技術(shù)等傳統(tǒng)抵御方法已經(jīng)無法抵御零日攻擊和高級持續(xù)威脅?�,F(xiàn)在�����,網(wǎng)絡(luò)流量分析為我們提供了一個令人信服的選擇�,但整個行業(yè)遷移到這一模式還將需要時間。
網(wǎng)絡(luò)流量分析需要企業(yè)付出一些努力以及安排培訓(xùn)�,特別是第一次部署的時候;安全專業(yè)人員可能不知道他們需要尋找什么,因此自然需要一個學(xué)習(xí)曲線來培養(yǎng)他們尋找異常的能力�����。另外��,還需要專門的網(wǎng)絡(luò)分析工具��,而這需要投入資金來部署��。此外����,模式轉(zhuǎn)變并不容易,它們不是受思維方式的驅(qū)動�,而是受變革的推動。
轉(zhuǎn)移到網(wǎng)絡(luò)流量分析需要先奠定一定的基礎(chǔ)��。首先應(yīng)該與高級管理人員協(xié)商����,向他們解釋部署NetFlow如何實現(xiàn)“雙贏”的局面—它支持廣泛的企業(yè)用途。如果你是代表安全部門����,可以聯(lián)合網(wǎng)絡(luò)團隊,因為他們對路由器和交換機有直接控制權(quán)�,讓他們加入你的陣營非常重要。你還將需要確認(rèn)現(xiàn)有設(shè)備支持網(wǎng)絡(luò)流量����,以及未來采購滿足你的預(yù)計需求。
從戰(zhàn)略上來看�,大多數(shù)企業(yè)已經(jīng)落后于高級攻擊的能力��,而網(wǎng)絡(luò)流量分析是恢復(fù)這一平衡的重要一步����。
來源:CCTIME飛象網(wǎng)
版權(quán)及免責(zé)聲明:凡本網(wǎng)所屬版權(quán)作品��,轉(zhuǎn)載時須獲得授權(quán)并注明來源“中國產(chǎn)業(yè)經(jīng)濟信息網(wǎng)”����,違者本網(wǎng)將保留追究其相關(guān)法律責(zé)任的權(quán)力。凡轉(zhuǎn)載文章����,不代表本網(wǎng)觀點和立場。版權(quán)事宜請聯(lián)系:010-65363056�。
延伸閱讀
