辨識大規模的網路安全威脅

  

辨識大規模的網路安全威脅

隨著網路的使用持續以驚人的速度指數級增長——尤其是在商業領域——公司不僅要為全新的收入和增長機會做好準備,還應該為面臨網路安全性和可靠性方面的挑戰做好準備。 正如應用程式、計算基礎結構和連接設備數量的增加一樣,網路也正在擴展,通常呈指數級增長。 隨著您的網路基礎架構透過擴充頻寬或者雲端遷移的同時,需要同步的大規模監控網路安全與識別資安風險,對於威脅追踪非常重要。 當網路複雜性的增加,保護關鍵數據並將安全漏洞的風險降至最低也至關重要。

隨著網路的發展,您需要了解有關網路監控和網路安全威脅識別的訊息。

使用基於網路流分析(Flow-Based Analysis) v.s 基於數據包分析( Packet-Based Analysis)來檢測網路安全分析

監控網路中的潛在威脅對企業安全至關重要,因為網路是公司的命脈。傳統的安全指南會建議監控分析每個封包,以檢測所有網路異常並找出潛在的安全威脅。而新的方法,則透過檢查基於網路流 Flow Data(每個網路連線的資訊),而不是基於封包的數據檢查。監測網路流量等同於測量您的體溫和血壓,以快速監控您的健康情況,而不是在每次就診時,都進行詳細的醫學實驗室檢驗和X光檢查。基於封包和基於網路流 Flow Data 的策略,對於網路安全分析都各有優缺點。以下是對於兩者的快速分析以及如何將它們組合在一起以獲得最大的效率和可擴充性。

基於封包的分析(Packet-Based Analysis)

優點

  • 多年來,許多 IT 專業人員一直喜歡基於封包的分析,僅僅是因為它能夠進行徹底完整的分析。這種類型的分析不會錯過任何重要的細節。
  • 防火牆和入侵檢測系統的核心就是封包分析器。
  • 網路封包的內容涵蓋了您業務中每筆交易的所有資訊。

缺點

  • 處理用於保護高速網路或電信業者骨幹網的封包需要大量昂貴的伺服器進行存儲和分析。
  • 由於頻寬成本,在標準雲端基礎架構中處理封包的成本很高 - 您需要為這些流量支付兩倍的成本。
  • 基於封包的可視化系統無法檢查加密流量,加密流量可能佔典型網路鏈路上所有流量的 50% 以上。

基於網路流量的分析(Flow-Based Analysis)

優點

  • 基於網路流的分析提供封包流量的摘要,可以將安全工具的網路流量減少近 98%,同時仍能提供對細微威脅 100% 的可視性。
  • 現在基於網路流的分析可以識別應用程式和其他有用的應用程式層資訊,即使流量已加密也是能夠被識別。
  • 基於網路流的數據的創建、收集、存儲和分析成本遠低於基於封包的分析。

缺點

  • 對於檢測特定惡意軟體變體或位於數據包深處的其他數據所需的細粒度詳細資訊,需要基於數據包的系統。
  • 某些網路流部的署依賴採樣收集,每 1000 個數據包中僅查看 1 個或每 10000 個封包中的 1 個。遺憾的是,這在標準安全應用程式中毫無用處。

使用基於網路流的分析來補充基於封包的分析:兩全其美

幸運的是,您的組織不必在基於網路流分析或基於封包分析之間做選擇。您可以兩全其美的通過使用網路服務節點(具有更多功能的探測器)(一種將原始數據包重新配置為未採樣的數據流的網路設備),同時引導目標封包包以進行更深層次的取證。網路服務節點( Service Node )還可以通過移除封包表頭來「清理」封包數據,以訪問最內層的 IP 封包,以便傳送到下游分析工具。使用Metadata 元數據串流來補充基於封包分析,是可以根據需要進一步擴展到全面網路監控的絕佳策略。

什麼是 IPFIX?

IPFIX 是一種 IETF 標準,它定義了一種從網路路由器、交換機和探測器中提取詳細網路流信息的機制。IPFIX 基於 NetFlow,NetFlow 是 Cisco 創建的網路協定,旨在通過監控傳入和傳出 IP 網路流量來提高網路性能。

瞭解 NetFlow 和 IPFIX 之間的區別

如何使用IPFIX

託管 IT 安全提供者和其他 IT 專業人員使用未採樣的 IPFIX 流數據來:

  • 365 天 7 x 24 小時的即時觀察網路流量
  • 可保留任何時間點網路瞬間狀態
  • 檢測針對網路、Web 伺服器或企業IT系統的低速和慢速安全攻擊。
  • 針對內部和外部網路安全威脅提供多層防禦
  • 收集有關網路流的數據,以便進行充分的流量工程和容量規劃

取樣還是非取樣網路流紀錄(Sampled or Unsampled Flows)

取樣封包流量紀錄是交換器和路由器使用的一種技術,通過檢查一小部分具有代表性的流量(通常為每 1000 個封包中的 1 個或 10k 封包中的 1 個)來提供有關網路行為的資訊。這使流量工程師能夠了解網路的使用方式。使用取樣的流量紀錄的缺點是,此技術對於細粒度安全威脅分析沒有用處。

非取樣的流量紀錄則是一種更高階的網路流量探測器、感測器或服務節點支援的技術。這些設備提供詳細資訊,詳細說明拜訪網路鏈路的每個網路流。資安團隊越來越多使用非取樣的網路流量紀錄進行大規模網路安全威脅識別。

立即獲取有關網路監控的相關資訊

NetQuest 在提供高速 WAN 廣域監控和電信業者骨幹網路監控擁有 30 多年的經驗,可實現可擴展的網路可視化。NetQuest 的 OMX3200 IPFIX 感測器 (SNS)將非取樣的網路流量紀錄生成傳送到安全分析工具以避免網路盲點。立即聯繫 NetQuest,瞭解更多有關智能擴展網路可視化和保護您的公司免受惡意網路威脅的資訊。

Source: https://netquestcorp.com/network-monitoring-and-cyber-security-threat-identification-at-scale/ (Cyber Security Threat Identification At Scale)

Photo Credit: Photo by Tima Miroshnichenko


Tags:
較新的 較舊