今日的網路正受到攻擊。無論目標是商業網路,如 Equifax,還是美國選舉網路,網路攻擊能夠在不被檢測到的情況下穿透最複雜的安全架構。電信業者、網路服務商和政府機構積極地尋求透過使用高階網路監控應用的即時數據,來識別威脅趨勢與其模式。然而,這些通訊監控工具往往忽略了可從光傳輸網路中取得的關鍵情資。現代通信情報任務需要全面的光通信網路分析,以配合其當前的網路資安工具,以擴大成功偵測的機率。
光通信網路使傳統標準的資安威脅檢測變得複雜。如今的長距離和區域性光網路正在迅速演變,以應對不斷增長的頻寬需求和高速連線。隨著新技術的出現,電信業者正在採用新的網路連線機制,包括 SD-WAN、DWDM、OTN 和 100G+ Coherence 技術,有效地利用已經建置的光纖網路。
在許多情況下,儘管新的通訊方法越來越多,傳統的通信協議也在光網路中持續使用,這為服務提供商帶來了一個獨特的挑戰,因為他們被要求在其網路內管理許多不同的通訊技術與協議。不同世代的技術在相同的光纖網路內的深層通道傳輸,形成了大型多層次的網路,使得傳統的資安威脅檢測複雜化。如圖1所示,現在的光網路通常在一條光纖上傳輸多達 5 至 10 種不同的通訊協定與技術。
下圖呈現了光網路支援複雜的多種編碼和傳輸技術。
全球光傳輸網路正在迅速演變
- 全球網路頻寬需求每2-3年成長一倍。
- 乙太網路的標準從 10GbE 發展到 40GbE,再到100GbE,並出現了 25/50 GbE 的變體,用於數據中心應用。
- 數據中心互連(DCI)推動了 200GbE、400GbE 和 800GbE 的技術路線圖。
- 100G Coherence 部署( DWDM 網路中使用單個波長傳遞 100Gbps 的頻寬)自 2017 年後激增,而多家供應商最近宣布推出 400G 傳輸平台。
- 大型運營商已採用 OTN 用於大規模光網路傳輸,逐漸捨棄了 SONET/SDH,從而創造了一種新的傳輸協議層。
複雜的光網路和多層次的廣域網協議為對辨識偵測可能的資安威脅和入侵監控造成了探測 (Probe) 接取上的障礙。傳統上,通信情報著重於從傳輸網路中提取 IP 網路封包,並對 IP 流量和 Payload 進行重點分析。因此,在高度深層的光通信網路中使用的傳輸 header 被移除,安全監控的設計將 IP 封包導向負責深度封包檢查(DPI)和分散式阻斷服務(DDoS)檢測的工具。有關資訊流如何在光纖網路上傳輸流量的細節都被忽略,並且在傳統的網路資全威脅的檢測過程中未予考慮。
如今,網路情報任務通常需要監控長距離和區域性光網路。現代監控架構已經需要對網路基礎設施進行深入的了解,以解碼光傳輸機制並移除廣域網協議層的表頭。但是,隨著這些網路層被刪除,可能也同時移除有價值的情資嗎?儘管光傳輸網路不斷演變的複雜性,仍然可以從光傳輸信號協議中提取有價值的 Metadata 元數據,這些資訊可能為網路情報任務的成功提供關鍵情資。
光網路分析提供獨特的威脅檢測細節
通信情報應用的程序需要不斷的分析即時的網路流量,以識別潛在的網路安全漏洞和潛在威脅。大量的 IP 網路流量通常被壓縮成一種更容易消化且更具成本效益的格式進行監控。網路監測工具使用的標準機制,如 IPFIX 和 NetFlow,用於彙整 IP 流量並收集其他與流量相關的資訊,這些資訊可以用於識別網路趨勢以及異常行為。使用這些 Flow metadata 流量元數據,是設計威脅偵測系統的專家,防止流量分析成本變得不合理的一種方式。
從光傳輸網絡中提取的 Metadata 元數據的分析,已被證明是監控大量流量的一種有價值且有效的機制。在大多數的資安監控應用中被忽略,每個光信號協議層都包含識別負責傳輸的載波以及詳細的地理資訊,該資訊可以用於識別受監控流量流的物理來源或目的地。隨著網路攻擊手法試圖智慧化,光網路分析的額外層次為增強現代威脅檢測算法提供了新的機會。
各種光傳輸網路參數可用於產出極具價值的情資。網路監測應用需要能夠進行持續地進行的光通訊層的探測,以便即時提取這些參數。可以 Metadata 元數據的形式取出的光網路參數的例子如下:
- 電信運營商ID(例如AT&T、Tata、Verizon等)
- 網路/光纖ID(例如Verizon_seattle_lax_345等)
- 光波長(例如ITU通道16等)
- 信號類型(例如STM-64、100GbE、OTU4等)
- 地理位置和路徑 ID(例如俄羅斯到巴西等)
- 傳輸協議(例如 GFP、POS、乙太網路等)
- 傳輸量(流量模式的變化可能是網路濫用的指標)
這些數據點可以在整個受監控網路或唯一的網路段中進行分析。對這些網路參數的分析可以用來描述光網路,並且可以隨時間跟踪,以收集幾天、幾周、幾個月或幾年的歷史趨勢。通過存取即時和歷史資訊,網路監控應用程式可以確定網路如何在一段時間內運行的基準,但也可以檢測異常的網路行為,並可能提前警告網路攻擊或威脅。
最佳的資安情報來自完整的網路情資
通過從光傳輸網路中提取的 Metadata 元數據與標準的 IP 流量分析相結合,可以強化偵測威脅的機率,從而提供一個完整的網路拓樸,涵蓋所有層面:從物理層的網路到應用服務的數據。光網路內連接設備的增加以及軟體定義網路 SDN 的快速應用意味著拓撲和連接可能會迅速變化,可能隱藏網路威脅。現代通訊情報任務需要全面的光網路分析,以即時的配合當下使用的網路安全工具以及事後分析,以最大限度地防禦網路避免遭受未來的攻擊。
將光網路分析與IP流量分析工具結合,威脅檢測能夠識別出以下情況:
- 使用傳輸網路 OH 的地理空間資訊;
- 由於不尋常的配置更改而導致的未經授權的網路存取;
- 透過偵測到新的傳輸電路或新的加密方法來隱藏通訊;
- 由於來自可疑區域的針對性的流量暴增而引起的DDoS攻擊。
結論
各種類型的網路正在經歷越來越多的攻擊,正如最近的一些知名遭受攻擊的事件所凸顯的。然而,大多數攻擊並沒有如此廣泛的宣傳。在支持數據快速增長的過程中,網路繼續採用光通訊技術,將光訊號擴展到網路的邊緣,突顯了光傳輸結構深層分析並進行監控的必要性,以幫助發現威脅和入侵。
在現有的網路威脅檢測解決方案加入光傳輸網路分析,網路運營商可以將傳統的 IP 流量流分析與光網路行為相關聯,以確定是否正在出現安全威脅,並且立即採取行動來抑制攻擊與威脅。通過標準光網路分析跟踪的情資,來補足過去標準通訊情報任務所忽略的盲點。
隨著新的網路威脅不斷出現,即使光通信網路技術持續演進,威脅檢測解決方案必須找到智慧化的方式,相互關聯其所有可用數據。通過光網路分析獲取的資訊,有助於提高今天數據網路的韌性,並且可以提供更大的威脅保護。
Source: https://pipelinepub.com/Security/cyber-intelligence-missions