网络安全的本质在于持续对抗,而攻防演练的实战性对抗形式近年来已然成为政府机构、各大企业的安全建设、安全自查的重要组成部分。
可以明显发现,实战化攻防演练涉及的单位数量逐年增多,攻击手段逐年多样,攻防白热化程度也在逐年提高。在攻防演练常态化发展的背景下,企业关注的核心问题就在于如何有效地应对演练,提升威胁检测和响应能力。
然而,随着攻防对抗升级,传统的基于黑特征的检测防御能力大大下降,基于边界和签名的防护思路同样无法抵御新型网络犯罪分子使用的复杂攻击手段。因此,越来越多企业开始寻求基于网络流量的资产探测和漏洞发现,以及高级威胁检测分析。
一、流量监测与分析技术
网络流量是记录和反映网络及其用户活动的重要信息载体,随着企业上云、5G落地、物联网设备激增,网络爆炸式发展,网络流量海量化、复杂化成为常态,如何识别、监测、分析网络流量成为重要研究方向和企业关注热点。
技术介绍
目前,网络流量监测分析既指特定用途的硬件设备(比如各家安全厂商提供的NTA/NDR),也指基于网络层的安全分析技术。不同于主机层、应用层是以日志、请求等为分析对象,流量分析面对的是更底层的网络数据包,信息元素更多,分析更复杂。
过去,常用的网络流量监测技术主要包括主机内嵌软件监测、基于SNMP协议的流量监测、基于NetFlow的流量监测、基于硬件探针的检测等。而网络流量分析则从带宽、网络协议、基于网段的业务、网络异常流量、应用服务异常等方面着手。
近年来,业界则主要使用DPI(深度包检测技术)和DFI(深度流检测技术)来进行流量分析,尤其是DPI技术可以大幅增强流量识别的精度。总体来说,DFI注重量的统计、DPI注重内容的分析。
产品落地
2017年,网络流量分析(NTA)技术入选Gartner《2017年11大顶尖信息安全技术》,同时也被认为是五种检测高级威胁的手段之一。随着技术发展的日渐成熟,NTA技术已经直接或间接成为各类整体威胁防护解决方案,尤其是用来应对识别绕过边界安全的高级攻击。
NTA通过DFI和DPI技术来分析网络流量,通常部署在关键的网络区域对东西向和南北向的流量进行分析,既是流量监测与分析技术的落地产品,也可以理解为一种功能和能力。目前,很多NTA产品都集流量收集、分析、报告于一体,解决谁在什么时间、什么地方、执行什么行为等安全流程中的重要问题,帮助企业全面了解网络活动。而NDR是一类新的安全解决方案,实际能力与NTA几乎相似。
纵观网络流量监测与分析技术的发展,可以发现其朝着”采集原始流量—流分析—应用协议元数据—持续监测网络对象—分析异常流量—溯源可疑行为—联动威胁情报应对高级威胁”的方向持续演进。目前,网络流量监测与分析技术已被应用于多个领域,如带宽资源的合理性管控、网络链路排障以及热门的安全攻防演练。
二、流量监测与分析在攻防中的应用
网络层异常检测和拦截上的天然契合,不同于传统的主机安全检测响应,结合流量分析可以做到高危资产主动发现,威胁入侵溯源,基于流量层面进行威胁情报建设、pdns积累、0day漏洞发现等等特征都促使越来越多的企业将NTA/NDR等网络流量监测与分析技术/产品应用于攻防演练。
首先,企业基于正常业务情况与威胁的流量行为模式进行建模,在攻防演练备战期间对正常以及恶意的流量进行行为态势的感知与了解,建立正反行为的模型基线,为异常流量检测做准备。
在演练过程中,通过网络流量监测,对比分析之前的模型,企业可以从正反两个角度发现攻击行为,提升威胁检测精度减少误报。而在演练结束后,通过对之前监测的异常流量进行追溯定位,可以还原整个攻击流程,便于企业事后总结。
三、报告正式启动
目前,FreeBuf 咨询《2020中国网络流量监测与分析产品研究报告》调研工作已正式启动。
本报告将通过现场走访、资料整合及问卷调查的形式,通过定量分析与定性分析相结合的分析手段,对比国内近百家企业的使用情况,总结以NTA/NDR为代表的国内网络流量监测与分析产品的基本现状, 并尝试对其发展趋势进行评估和预测, 为企业提升在攻防演练中的入侵检测和快速响应能力提供有效参考。
报告内容将主要围绕国内网络流量监测与分析技术发展现状、NTA/NDR为代表的国内网络流量监测与分析产品在攻防演练中的有效应用、NTA/NDR产品的市场应用情况、国内流行NTA/NDR产品名录等多方面展开,旨在呈现客观、完整的产品研究报告内容,为企业的安全建设提供相应参考。
产品名录:图中产品仅为当前所收录,后续将继续补充
现诚挚邀请有NTA/NDR等网络监测与分析产品的厂商参与本次报告调研活动,共同完善内容质量,期待大家的回复。
注:调研问卷中的部分内容有机会在报告中体现。
如有任何疑问,可联系FreeBuf 咨询研究经理高老师:
电话:13818487135(同微信)
问卷
甲方入口:http://freebuf2019.mikecrm.com/iZO0Tsp
乙方入口:http://freebuf2019.mikecrm.com/Xv3uaV2
关于 FreeBuf 咨询
FreeBuf.COM是斗象科技旗下国内领先的互联网安全新媒体,每日发布专业的安全资讯、技术剖析,分享国内外安全资源与行业洞见,是深受安全从业者与爱好者关注的网络安全网站与社区。
FreeBuf咨询集结安全行业经验丰富的安全专家和分析师,常年对信息安全技术、行业动态保持追踪,洞悉安全行业现状和趋势,呈现最专业的研究与咨询服务。
来源:freebuf.com 2020-05-11 16:58:21 by: FreeBuf咨询
请登录后发表评论
注册