利用網(wǎng)絡(luò)流量分析來提高網(wǎng)絡(luò)安全可視性

多年來，安全專家一直在爭論究竟是外部人員還是內(nèi)部人員帶來更大的風(fēng)險。如今，這種辯論已經(jīng)沒有實(shí)際意義：因?yàn)榫W(wǎng)絡(luò)界限已經(jīng)模糊化，威脅正無處不在。

例如，內(nèi)部人員可能在家里辦公或遠(yuǎn)程辦公;員工可能需要利用BYOD;業(yè)務(wù)合作伙伴和銷售人員經(jīng)常需要訪問云中關(guān)鍵任務(wù)服務(wù)。現(xiàn)在企業(yè)比以往任何時候都更難了解在給定的時間內(nèi)誰在網(wǎng)絡(luò)上，以及有多少設(shè)備在訪問服務(wù)、系統(tǒng)和數(shù)據(jù)。企業(yè)正在逐漸失去對網(wǎng)絡(luò)的控制，而攻擊者則在研究這些新技術(shù)，并利用它們來繞過傳統(tǒng)防御。

為了克服這些安全隱患，并獲得更好的可視性來確定誰在使用網(wǎng)絡(luò)，安全專家紛紛轉(zhuǎn)向網(wǎng)絡(luò)流量分析來提高網(wǎng)絡(luò)安全的可視性。

網(wǎng)絡(luò)安全可視性超越傳統(tǒng)防御的范圍

上面提到的情況強(qiáng)調(diào)了企業(yè)應(yīng)該超越傳統(tǒng)安全技術(shù)的范圍，實(shí)時研究更大環(huán)境的安全性。企業(yè)不應(yīng)該在攻擊發(fā)生后才阻止攻擊，而是在攻擊發(fā)生時檢測攻擊，觀察網(wǎng)絡(luò)流量能夠?yàn)槠髽I(yè)提供更好的網(wǎng)絡(luò)可視性和對惡意事件更快的檢測。網(wǎng)絡(luò)流量是分析IP、TCP、UDP以及與信息源、目標(biāo)端口和IP地址相關(guān)的其他header信息。這種網(wǎng)絡(luò)流量分析工作需要網(wǎng)絡(luò)安全管理人員進(jìn)行戰(zhàn)略性的轉(zhuǎn)變，構(gòu)建對整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施的全面視角。

然而，這種轉(zhuǎn)變受到人員和技術(shù)的制約。在人員方面，大多數(shù)企業(yè)已經(jīng)被迫轉(zhuǎn)變?yōu)樯倩ㄥX多辦事。設(shè)計安全系統(tǒng)架構(gòu)、抵御高級攻擊以及識別和緩解入侵等工作要求熟練的安全工作人員，而很多企業(yè)找不到或者負(fù)擔(dān)不起這種人才。與此同時，安全企業(yè)通常嚴(yán)重依賴于數(shù)據(jù)泄露防護(hù)(DLP)和企業(yè)權(quán)限管理(ERM)等產(chǎn)品來檢測安全違規(guī)情況。雖然這些技術(shù)能夠發(fā)揮一定作用，但它們并不是萬能的，企業(yè)需要采取一種新的方法。

網(wǎng)絡(luò)流量分析：三管齊下

強(qiáng)調(diào)網(wǎng)絡(luò)流量分析的新計劃：檢測、精煉和分析數(shù)據(jù)流三管齊下。它利用多個內(nèi)部和外部信息來源，并實(shí)時處理數(shù)據(jù)來檢測威脅。這里關(guān)鍵是使用已經(jīng)部署的可用的現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

流量分析對網(wǎng)絡(luò)中流量的移動情況提供了一個不同的視角。它能夠分析在給定的度量內(nèi)一個事件的發(fā)生頻率。例如，在周末的凌晨至凌晨2點(diǎn)，包含加密.zip文件的流量離開網(wǎng)絡(luò)并發(fā)往亞洲的頻率?通過流量分析工具，安全專家可以近乎實(shí)時查看這種類型的用戶活動。

通過使用標(biāo)準(zhǔn)，能讓這些對實(shí)時數(shù)據(jù)的分析變得更簡單，例如Net-Flow標(biāo)準(zhǔn)。有了標(biāo)準(zhǔn)，企業(yè)可以采用通用格式，從而挑選適合的分析工具。流量聚合和數(shù)據(jù)輸出的標(biāo)準(zhǔn)是由IETF來處理的，而企業(yè)可以選擇的日志分析工具包括LogRhythm、Nagios和Splunk。企業(yè)有太多數(shù)據(jù)需要管理，這成了一個問題，但云計算可以幫忙。云計算允許用戶根據(jù)需求的增加來擴(kuò)展，這樣使他們幾乎可以瞬時創(chuàng)建虛擬服務(wù)器來滿足需求。

網(wǎng)絡(luò)流量分析：不是一朝一夕的解決方案

很顯然，防病毒技術(shù)等傳統(tǒng)抵御方法已經(jīng)無法抵御零日攻擊和高級持續(xù)威脅。現(xiàn)在，網(wǎng)絡(luò)流量分析為我們提供了一個令人信服的選擇，但整個行業(yè)遷移到這一模式還將需要時間。

網(wǎng)絡(luò)流量分析需要企業(yè)付出一些努力以及安排培訓(xùn)，特別是第一次部署的時候;安全專業(yè)人員可能不知道他們需要尋找什么，因此自然需要一個學(xué)習(xí)曲線來培養(yǎng)他們尋找異常的能力。另外，還需要專門的網(wǎng)絡(luò)分析工具，而這需要投入資金來部署。此外，模式轉(zhuǎn)變并不容易，它們不是受思維方式的驅(qū)動，而是受變革的推動。

轉(zhuǎn)移到網(wǎng)絡(luò)流量分析需要先奠定一定的基礎(chǔ)。首先應(yīng)該與高級管理人員協(xié)商，向他們解釋部署Net-Flow如何實(shí)現(xiàn)“雙贏”的局面—它支持廣泛的企業(yè)用途。如果你是代表安全部門，可以聯(lián)合網(wǎng)絡(luò)團(tuán)隊(duì)，因?yàn)樗麄儗β酚善骱徒粨Q機(jī)有直接控制權(quán)，讓他們加入你的陣營非常重要。你還將需要確認(rèn)現(xiàn)有設(shè)備支持網(wǎng)絡(luò)流量，以及未來采購滿足你的預(yù)計需求。

從戰(zhàn)略上來看，大多數(shù)企業(yè)已經(jīng)落后于高級攻擊的能力，而網(wǎng)絡(luò)流量分析是恢復(fù)這一平衡的重要一步。