专注合肥网站推广,上海 房地产网站建设,传奇类网页游戏,uc浏览器手机网页版网络安全的趋势和技术选择
网络空间安全涉及的安全响应#xff0c;是指在安全事件发生后#xff0c;通过人工或者自动化的方式#xff0c;能采取相应的措施#xff0c;降低安全事件带来的危害和影响#xff1b;从启明星辰发布的近几年安全态势观察报告来看#xff0c;安…网络安全的趋势和技术选择
网络空间安全涉及的安全响应是指在安全事件发生后通过人工或者自动化的方式能采取相应的措施降低安全事件带来的危害和影响从启明星辰发布的近几年安全态势观察报告来看安全响应都作为重要的一个技术领域被提及。在安全防御体系的演进中从 PPDR 模型到 NIST美国国家标准组织定义的比较权威的 IPDRR 模型都强调了安全响应是在安全事件处理中的非常重要的能力。
启明星辰认为在安全响应中最主要的应用思路是基于安全攻击链模型发掘完整的攻击过程并针对此攻击过程中发现的系统薄弱点进行针对性的加固。通过一个攻击线索找到攻击的利用手段和系统薄弱环节以及安全检测设备在此场景下的失效原因需要全流程全维度的过程和行为追踪而全流量分析取证往往成为了不二之选。 图1 恶意软件市场已经高度组织化来源启明星辰安全态势报告
启明星辰认为基于网络流量元数据和数据包的采集进行流行为的安全威胁分析和取证是未来最重要安全技术之一。Gartner的最新报告也指出NTA网络流量分析和 NFT网络取证工具正在逐步演变为通过采集和存储网络分析以外的更多数据实现更大范围的威胁检测和攻击取证能力。
传统的“预防加检测”有其天然局限性“持续检测与响应”才能应对今天不断变化的威胁局面。
全流量分析取证在安全中的价值
1具备完整攻击链的全过程信息存储和展示
网络攻击的成功实施通常是利用系统的薄弱环节通过多种手段最终进入系统内部造成系统破坏或者是获取所需信息。即使我们已经部署了防火墙、IDS、IPS、数据库防御、邮件防御系统等产品貌似扎紧了防御的篱笆但面对持续的、层出不穷的高级威胁攻击手法和样本变体有时还是无法阻止各类攻击的发生这足以说明当前攻击形势的复杂性和隐蔽性。通过对攻击过程的分析和分解洛克希德·马丁公司提出了攻击链的概念此概念一经推出就得到了广大安全厂商的认可近两年非常火热的ATTCK模型也是在此技术上结合攻击链的各个阶段提炼出常用的攻击手法和方式成为了很多安全厂商设计安全检测设备的一个标尺。 图2ATTCK在Google Trends上过去一年多的趋势变化
然而品类繁多复杂的安全检测设备往往只能覆盖攻击链的几个过程而无法完整的呈现出一个完整的攻击活动。这些相互重叠的安全设备的检测能力往往会给攻击者带来可乘之机每个设备只能展示部分相关的攻击信息无法完整的展示攻击行为过程和前后的串联关系那么在后续的响应环节就做不到毫发无遗只会导致同类型的攻击让我们疲于应付安全事件层出不穷了。
全流量分析取证通过存储网络中所有的流量可过滤掉一些低价值的视频流量等实现完整的攻击过程在网络数据传输中的快照依据一定的自动查询规则或者是手工查询的方式展示出整个攻击链的所有相关信息。
同时对于全流量分析取证产品通过和传统安全检测设备、流量分析设备系统联动能实现一点检测全攻击链还原取证的能力实现100%准确的攻击有效性判断和关键证据的获取是构建攻击活动的完整证据链的数据基座。
2协助识别网络攻击的有效性可实现网络攻击超低误报
因为网络业务的低时延要求自动化攻击行为的发生和每年大幅增长的系统漏洞对安全检测设备的快速响应能力提出了更高的要求。另一方面因为需要降低漏报率的因素大量的攻击误报就成为了网络攻击检测中的常态。
通过传统安全检测设备和全流量分析取证设备的联动通过对一条流的客户端行为服务器的行为以及同一个客户端服务器端的多条流的行为的验证能快速准确的分析出是否是一个成功的攻击行为 图3启明星辰全流量分析取证设备和检测设备联动
近年来各大安全厂商不停的在SIEM/SOAR上进行能力布局是类似的分析取证的思路但此类分析取证还是基于已有的网络安全设备的日志信息等完整性和准确性上存在一定的不足。而全流分析取证设备上有完整的攻击过程信息有攻击前和攻击后的客户端/服务器行为这些都能较容易的帮助安全检测设备快速准确甄别误报信息真正发挥安全检测设备的快速检测优势和实时的安全响应处置策略。
3实现基于多种复杂流量组合的攻击过程分析
全流分析取证产品在pcap原始数据、协议元数据、流统计信息等全维度信息的基础上可以实现在线/实时离线/批量的安全模型分析弥补当前网络安全设备检测能力的不足。 图4启明星辰全流取证方案的多场景安全分析能力
基于全流分析取证产品的完整数据可以实现由最简单的统计分析到最复杂的人工智能等多种场景的安全威胁分析验证攻击是否成功分析模型是否准确能良好的解决传统的基于特征、指纹和用户网络行为的攻击检测方式带来的误报和漏报的问题此种自证能力是全流分析取证产品独特且难以被其他产品取代的优秀能力。
