隨著 Zettabyte 時代的來臨,不斷演變的網路威脅以及日益增加的網路違規與資訊外洩,使得網路安全變得越來越重要。網路安全團隊需要一套有效的工具,讓他們可以利用這項工具來對抗這些威脅。而隨著網路頻寬的快速增長,這項挑戰會變得更加複雜。
如果沒有可靠的網路安全系統,遭受攻擊的風險將會成指數型成長,網路流量分析設備通常用來監控日常活動並檢測異常行為,以便機器學習演算法能阻絕惡意行為,以期能最大程度地減少損害。
本文將解釋 Zeek 是什麼?以及它如何優化網路安全。
ZEEK的基礎
ZEEK已被許多的網路業者和運營商所使用,是一種被動式的開放原始碼的流量分析工具,透過分析網路流量並建立“Zeek 日誌”,可用於檢測網路中的惡意活動。不同類型的網路元數據 (Metadata),如 Zeek 日誌、IPFIX 和 NetFlow,可以對於特定 IP 通訊,更有效的達成網路可視化。
對於每個網路流,網路元數據通常傳達基本的 5-Tuple 資訊(IP 位址、通信協定、Port)以及可以幫助資安團隊進行分析的特殊流量,例如 DNS 封包資訊、TLS的加密細節和第 7 層應用層的資訊。 網路安全偵測演算法可以根據這些資訊,來檢測網路中的殭屍網路和惡意軟體的異常活動。
隨著全球網路流量的增加,高速乙太網路安全的重要性變得至關重要,透過使用網路元數據(Metadata)的技術(例如 Zeek),可以幫助擴展網路安全解決方案。
ZEEK的發展歷史
如果您熟悉一些網路安全通訊協議,應該知道 Zeek 不算是一個新的名稱或技術。 事實上,這種依賴分析 Metadata 元數據的開源工具早在 1990 年代就已經存在。 這套軟體最初由 Vern Paxson 於 1995 年設計,在勞倫斯柏克萊國家實驗室 (LBNL) 首次亮相。
兩年後,Vern 在 USENIX 資訊安全研討會上發表了他的作品 Bro. 時,獲得了最佳論文獎。
更進一步的軟體研發
最終,由Vern 所領導的 ICSI 網路和安全小組開始支持 Bro 的研發,Bro 的開發一直持續到 2000 年代中期且Bro 的社群用戶的數量也在同時增長。
到了2018 年,此工具名稱從 Bro 更改為 Zeek。專案領導團隊決定挑選一個更能反映社群價值觀的名稱,既然外界對於「兄弟文化」有負面印象,他們也想避免,因此以 Zeek 取而代之,反映了該社群具有效率的歷史印記。
使用增強安全性的網路元數據的好處
作為以 Metadata 元數據為基礎的網路安全工具,Zeek 提供了幾個優勢。
- 強大的安全語言:Zeek 日誌提供了一組強大的基於網路流(flow-based)訊息,能被網路安全工具所使用。
- 開源工具:您可以輕鬆創建用於分析網路數據的整合第三方工具。
- 威脅搜尋:Zeek 可以通過基於行為的分析來檢測主動威脅,相比傳統方法,Zeek 日誌為主動式威脅搜尋提供了更有效的基礎。
- 加密流量分析:隱私問題導致加密流量急劇上升,Zeek 提供了一種使用特定原始指標(如 JA3 Fingerprint 特徵碼和 TLS ciphers)來分析加密流量的機制。
結論
網路攻擊正以前所未有的速度增長,因此您必須相對的採取行動,借助 Zeek 相關工具與技術,企業可以輕鬆且相應地自己定義與解讀 Metadata 元數據背後的含義與潛在攻擊。
在 Zeek 和其他形式的豐富元數據的幫助下,您可以輕鬆監控完整的網路活動,包含最微小的細節。
如果您對網路 Metadata 元數據的優化使用來強化資安更多疑問,或需要任何協助? 讓 NetQuest 經驗豐富的專業人員為您服務。如果您需要任何使用網路元數據上的協助,也歡迎聯繫我們諮詢如何升級您的網路威脅情報。
Source: https://netquestcorp.com/3-minute-crash-course-on-zeek/ (3 Minute Crash Course on Zeek)