多年来,安全专家一直在争论究竟是外部人员还是内部人员带来更大的风险。如今,这种辩论已经没有实际意义:因为网络界限已经模糊化,威胁正无处不在。
例如,内部人员可能在家里办公或远程办公;员工可能需要利用BYOD;业务合作伙伴和销售人员经常需要访问云中关键任务服务。现在企业比以往任何时候都更难了解在给定的时间内谁在网络上,以及有多少设备在访问服务、系统和数据。企业正在逐渐失去对网络的控制,而攻击者则在研究这些新技术,并利用它们来绕过传统防御。
为了克服这些安全隐患,并获得更好的可视性来确定谁在使用网络,安全专家纷纷转向网络流量分析来提高网络安全的可视性。
网络安全可视性超越传统防御的范围
上面提到的情况强调了企业应该超越传统安全技术的范围,实时研究更大环境的安全性。企业不应该在攻击发生后才阻止攻击,而是在攻击发生时检测攻击,观察网络流量能够为企业提供更好的网络可视性和对恶意事件更快的检测。网络流量是分析IP、TCP、UDP以及与信息源、目标端口和IP地址相关的其他header信息。这种网络流量分析工作需要网络安全管理人员进行战略性的转变,构建对整个网络基础设施的全面视角。
然而,这种转变受到人员和技术的制约。在人员方面,大多数企业已经被迫转变为少花钱多办事。设计安全系统架构、抵御高级攻击以及识别和缓解入侵等工作要求熟练的安全工作人员,而很多企业找不到或者负担不起这种人才。与此同时,安全企业通常严重依赖于数据泄露防护(DLP)和企业权限管理(ERM)等产品来检测安全违规情况。虽然这些技术能够发挥一定作用,但它们并不是万能的,企业需要采取一种新的方法。
网络流量分析:三管齐下
强调网络流量分析的新计划:检测、精炼和分析数据流三管齐下。它利用多个内部和外部信息来源,并实时处理数据来检测威胁。这里关键是使用已经部署的可用的现有网络基础设施。
流量分析对网络中流量的移动情况提供了一个不同的视角。它能够分析在给定的度量内一个事件的发生频率。例如,在周末的凌晨至凌晨2点,包含加密.zip文件的流量离开网络并发往亚洲的频率?通过流量分析工具,安全专家可以近乎实时查看这种类型的用户活动。
对流经现代网络的大量数据进行精炼需要能够聚合和关联数据的工具。思科公司是在市场上推出这种技术的首批供应商之一。很多其他供应商也相继加入了这个领域,包括Vitria、Riverbed和Arbor Networks。对于预算紧张的企业,则可以考虑Softflowd和FlowScan等开源工具。你可以在networkuptime网站找到这些工具。
通过使用标准,能让这些对实时数据的分析变得更简单,例如NetFlow标准--由思科开发而后成为了行业标准。有了标准,企业可以采用通用格式,从而挑选适合的分析工具。流量聚合和数据输出的标准是由IETF来处理的,而企业可以选择的日志分析工具包括LogRhythm、Nagios和 Splunk。企业有太多数据需要管理,这成了一个问题,但云计算可以帮忙。云计算允许用户根据需求的增加来扩展,这样使他们几乎可以瞬时创建虚拟服务器来满足需求。
网络流量分析:不是一朝一夕的解决方案
很显然,防病毒技术等传统抵御方法已经无法抵御零日攻击和高级持续威胁。现在,网络流量分析为我们提供了一个令人信服的选择,但整个行业迁移到这一模式还将需要时间。
网络流量分析需要企业付出一些努力以及安排培训,特别是第一次部署的时候;安全专业人员可能不知道他们需要寻找什么,因此自然需要一个学习曲线来培养他们寻找异常的能力。另外,还需要专门的网络分析工具,而这需要投入资金来部署。此外,模式转变并不容易,它们不是受思维方式的驱动,而是受变革的推动。
转移到网络流量分析需要先奠定一定的基础。首先应该与高级管理人员协商,向他们解释部署NetFlow如何实现“双赢”的局面—它支持广泛的企业用途。如果你是代表安全部门,可以联合网络团队,因为他们对路由器和交换机有直接控制权,让他们加入你的阵营非常重要。你还将需要确认现有设备支持网络流量,以及未来采购满足你的预计需求。
从战略上来看,大多数企业已经落后于高级攻击的能力,而网络流量分析是恢复这一平衡的重要一步。
