多年來,安全專家一直在爭論究竟是外部人員還是內部人員帶來更大的風險����。如今,這種辯論已經(jīng)沒有實際意義:因為網(wǎng)絡界限已經(jīng)模糊化����,威脅正無處不在。
例如�����,內部人員可能在家里辦公或遠程辦公;員工可能需要利用BYOD;業(yè)務合作伙伴和銷售人員經(jīng)常需要訪問云中關鍵任務服務。現(xiàn)在企業(yè)比以往任何時候都更難了解在給定的時間內誰在網(wǎng)絡上�����,以及有多少設備在訪問服務�、系統(tǒng)和數(shù)據(jù)。企業(yè)正在逐漸失去對網(wǎng)絡的控制�����,而攻擊者則在研究這些新技術�,并利用它們來繞過傳統(tǒng)防御。
為了克服這些安全隱患����,并獲得更好的可視性來確定誰在使用網(wǎng)絡����,安全專家紛紛轉向網(wǎng)絡流量分析來提高網(wǎng)絡安全的可視性。
網(wǎng)絡安全可視性超越傳統(tǒng)防御的范圍
上面提到的情況強調了企業(yè)應該超越傳統(tǒng)安全技術的范圍���,實時研究更大環(huán)境的安全性�����。企業(yè)不應該在攻擊發(fā)生后才阻止攻擊��,而是在攻擊發(fā)生時檢測攻擊�����,觀察網(wǎng)絡流量能夠為企業(yè)提供更好的網(wǎng)絡可視性和對惡意事件更快的檢測��。網(wǎng)絡流量是分析IP�、TCP、UDP以及與信息源����、目標端口和IP地址相關的其他 header信息。這種網(wǎng)絡流量分析工作需要網(wǎng)絡安全管理人員進行戰(zhàn)略性的轉變�����,構建對整個網(wǎng)絡基礎設施的全面視角�����。
然而��,這種轉變受到人員和技術的制約。在人員方面�,大多數(shù)企業(yè)已經(jīng)被迫轉變?yōu)樯倩ㄥX多辦事。設計安全系統(tǒng)架構��、抵御高級攻擊以及識別和緩解入侵等工作要求熟練的安全工作人員�,而很多企業(yè)找不到或者負擔不起這種人才。與此同時��,安全企業(yè)通常嚴重依賴于數(shù)據(jù)泄露防護(DLP)和企業(yè)權限管理(ERM)等產(chǎn)品來檢測安全違規(guī)情況���。雖然這些技術能夠發(fā)揮一定作用���,但它們并不是萬能的,企業(yè)需要采取一種新的方法���。
網(wǎng)絡流量分析:三管齊下
強調網(wǎng)絡流量分析的新計劃:檢測����、精煉和分析數(shù)據(jù)流三管齊下�����。它利用多個內部和外部信息來源�����,并實時處理數(shù)據(jù)來檢測威脅���。這里關鍵是使用已經(jīng)部署的可用的現(xiàn)有網(wǎng)絡基礎設施�。
流量分析對網(wǎng)絡中流量的移動情況提供了一個不同的視角�����。它能夠分析在給定的度量內一個事件的發(fā)生頻率��。例如����,在周末的凌晨至凌晨2點,包含加密.zip文件的流量離開網(wǎng)絡并發(fā)往亞洲的頻率?通過流量分析工具��,安全專家可以近乎實時查看這種類型的用戶活動����。
對流經(jīng)現(xiàn)代網(wǎng)絡的大量數(shù)據(jù)進行精煉需要能夠聚合和關聯(lián)數(shù)據(jù)的工具。思科公司是在市場上推出這種技術的首批供應商之一�����。很多其他供應商也相繼加入了這個領域,包括Vitria���、Riverbed和Arbor Networks�����。對于預算緊張的企業(yè)����,則可以考慮Softflowd和FlowScan等開源工具�����。你可以在networkuptime網(wǎng)站找到這些工具�����。
通過使用標準��,能讓這些對實時數(shù)據(jù)的分析變得更簡單���,例如NetFlow標準--由思科開發(fā)而后成為了行業(yè)標準�。有了標準�,企業(yè)可以采用通用格式,從而挑選適合的分析工具�����。流量聚合和數(shù)據(jù)輸出的標準是由IETF來處理的���,而企業(yè)可以選擇的日志分析工具包括LogRhythm���、Nagios和 Splunk。企業(yè)有太多數(shù)據(jù)需要管理����,這成了一個問題,但云計算可以幫忙�。云計算允許用戶根據(jù)需求的增加來擴展,這樣使他們幾乎可以瞬時創(chuàng)建虛擬服務器來滿足需求���。
網(wǎng)絡流量分析:不是一朝一夕的解決方案
很顯然�����,防病毒技術等傳統(tǒng)抵御方法已經(jīng)無法抵御零日攻擊和高級持續(xù)威脅����,F(xiàn)在,網(wǎng)絡流量分析為我們提供了一個令人信服的選擇�,但整個行業(yè)遷移到這一模式還將需要時間。
網(wǎng)絡流量分析需要企業(yè)付出一些努力以及安排培訓���,特別是第一次部署的時候;安全專業(yè)人員可能不知道他們需要尋找什么�����,因此自然需要一個學習曲線來培養(yǎng)他們尋找異常的能力�。另外���,還需要專門的網(wǎng)絡分析工具���,而這需要投入資金來部署。此外����,模式轉變并不容易,它們不是受思維方式的驅動��,而是受變革的推動���。
轉移到網(wǎng)絡流量分析需要先奠定一定的基礎��。首先應該與高級管理人員協(xié)商�����,向他們解釋部署NetFlow如何實現(xiàn)“雙贏”的局面—它支持廣泛的企業(yè)用途�。如果你是代表安全部門����,可以聯(lián)合網(wǎng)絡團隊,因為他們對路由器和交換機有直接控制權���,讓他們加入你的陣營非常重要�����。你還將需要確認現(xiàn)有設備支持網(wǎng)絡流量�,以及未來采購滿足你的預計需求����。
從戰(zhàn)略上來看,大多數(shù)企業(yè)已經(jīng)落后于高級攻擊的能力�����,而網(wǎng)絡流量分析是恢復這一平衡的重要一步。
