多年來�����,安全專家一直在爭論究竟是外部人員還是內(nèi)部人員帶來更大的風(fēng)險。如今�����,這種辯論已經(jīng)沒有實(shí)際意義:因?yàn)榫W(wǎng)絡(luò)界限已經(jīng)模糊化��,威脅正無處不在�����。
例如,內(nèi)部人員可能在家里辦公或遠(yuǎn)程辦公;員工可能需要利用BYOD;業(yè)務(wù)合作伙伴和銷售人員經(jīng)常需要訪問云中關(guān)鍵任務(wù)服務(wù)?����,F(xiàn)在企業(yè)比以往任何時候都更難了解在給定的時間內(nèi)誰在網(wǎng)絡(luò)上����,以及有多少設(shè)備在訪問服務(wù)、系統(tǒng)和數(shù)據(jù)��。企業(yè)正在逐漸失去對網(wǎng)絡(luò)的控制�����,而攻擊者則在研究這些新技術(shù)���,并利用它們來繞過傳統(tǒng)防御�����。
為了克服這些安全隱患���,并獲得更好的可視性來確定誰在使用網(wǎng)絡(luò)���,安全專家紛紛轉(zhuǎn)向網(wǎng)絡(luò)流量分析來提高網(wǎng)絡(luò)安全的可視性。
網(wǎng)絡(luò)安全可視性超越傳統(tǒng)防御的范圍
上面提到的情況強(qiáng)調(diào)了企業(yè)應(yīng)該超越傳統(tǒng)安全技術(shù)的范圍�,實(shí)時研究更大環(huán)境的安全性。企業(yè)不應(yīng)該在攻擊發(fā)生后才阻止攻擊����,而是在攻擊發(fā)生時檢測攻擊,觀察網(wǎng)絡(luò)流量能夠?yàn)槠髽I(yè)提供更好的網(wǎng)絡(luò)可視性和對惡意事件更快的檢測�。網(wǎng)絡(luò)流量是分析IP、TCP��、UDP以及與信息源����、目標(biāo)端口和IP地址相關(guān)的其他header信息。這種網(wǎng)絡(luò)流量分析工作需要網(wǎng)絡(luò)安全管理人員進(jìn)行戰(zhàn)略性的轉(zhuǎn)變�,構(gòu)建對整個網(wǎng)絡(luò)基礎(chǔ)設(shè)施的全面視角��。
然而��,這種轉(zhuǎn)變受到人員和技術(shù)的制約�。在人員方面,大多數(shù)企業(yè)已經(jīng)被迫轉(zhuǎn)變?yōu)樯倩ㄥX多辦事。設(shè)計安全系統(tǒng)架構(gòu)��、抵御高級攻擊以及識別和緩解入侵等工作要求熟練的安全工作人員���,而很多企業(yè)找不到或者負(fù)擔(dān)不起這種人才�����。與此同時����,安全企業(yè)通常嚴(yán)重依賴于數(shù)據(jù)泄露防護(hù)(DLP)和企業(yè)權(quán)限管理(ERM)等產(chǎn)品來檢測安全違規(guī)情況��。雖然這些技術(shù)能夠發(fā)揮一定作用�,但它們并不是萬能的,企業(yè)需要采取一種新的方法��。
網(wǎng)絡(luò)流量分析:三管齊下
強(qiáng)調(diào)網(wǎng)絡(luò)流量分析的新計劃:檢測�����、精煉和分析數(shù)據(jù)流三管齊下�。它利用多個內(nèi)部和外部信息來源,并實(shí)時處理數(shù)據(jù)來檢測威脅��。這里關(guān)鍵是使用已經(jīng)部署的可用的現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
流量分析對網(wǎng)絡(luò)中流量的移動情況提供了一個不同的視角��。它能夠分析在給定的度量內(nèi)一個事件的發(fā)生頻率�。例如,在周末的凌晨至凌晨2點(diǎn)��,包含加密.zip文件的流量離開網(wǎng)絡(luò)并發(fā)往亞洲的頻率?通過流量分析工具��,安全專家可以近乎實(shí)時查看這種類型的用戶活動�。
