Suricata是一個開源的安全引擎,提供高性能的網路偵測和反應(NDR)能力。Suricata結合了威脅偵測、入侵偵測(IDS)、入侵防禦(IPS)、網路安全監控(NSM)和封包捕捉功能,形成了一個強大的系統。
Suricata 網路感測器是任何成功的Suricata部署的核心。建立一個企業級的Suricata部署可能會面臨一些挑戰。其中一個挑戰是,開源的 Suricata 感測器是一種「自製」的設備,因此感測器的效能和容量可能會根據選擇用於構建感測器的硬體而有所不同。因此,選擇提供所需的介面速度、規模和容量的最佳硬體組合,以便接收和分析要監控的網路流量,是非常重要的。受損的 Suricata 感測器性能可能導致網路流量可視化的致命漏洞,進而導致正在演進中的威脅和攻擊未被檢測到,使其在網路中滯留更長時間並向更深入的地方擴散,甚至影響到關鍵系統。
網路流量挑戰
第二個挑戰是網路流量的速度、速率和容量已經以許多數量級增長,並且可以預期將繼續呈指數增長 - 這是由於採用了更高速度的網路連結用於伺服器和互聯。單個100G連結上一小時的原始網路流量達到45 TB,這使得Suricata感測器很容易被大量要監控的流量淹沒。流量容量的挑戰因需要監控更多的流量路徑而加劇,例如東西流量以觀察橫向移動。
網路情報的價值
為了從 Suricata 提供的強大網路監測和保護中獲益,必須達成對網路的最大可視化。網路可視化在識別新的、未知的惡意軟體、零日攻擊以及發展緩慢的攻擊方面非常有效。觀察網路活動也可以識別內部網路的不良行為 - 包括未經授權的活動或可能已被入侵的內部人員身份。
- 最佳化感測器位置 - 正確和全面的感測器位置(網路儀器)至關重要。為了實現對網路流量的有效可視性,運營商需要觀察所有跨越共同功能邊界的通訊,以從網路中提取情報,以識別並精確定位入侵活動。基於流量的網路情報暴露了流量的模式、協議和數據量,以了解使用者、設備和系統之間的通訊方式。
- 最佳化感測器以達到最大性能 - Suricata 感測器的容量和性能由物理計算裝置所定義;包括其CPU和選擇部署為感測器的專用NIC卡。監視 100G 連結與 10G 或 40G 連結相比,需要更多的處理能力以確保感測器的適當性能。請記住,線速100G流量的容量會對大多數商業網路感測器和封包捕獲裝置構成挑戰,Suricata也不例外。雖然成本始終是一個因素,但最重要的是優化以獲得最大性能。性能不足的感測器將丟棄封包並造成瓶頸,這可能導致遺漏惡意活動的重要指標。
- 最佳化流量進入感測器以增加吸收規模 - 實時評估每個封包以對數千個攻擊簽名進行檢查,以供應數百或數千個並行流量需要大量的處理能力。即使具有 Suricata 的旁路能力,Suricata感測器仍然很容易被大量要監控和分析的流量所壓倒。事實上,並非所有的網路流量流都是相同的,也不是所有的網路流量都需要進行分析。某些流量,如加密流量,並不總是可以進行分析,而某些其他類型的流量,如串流服務,較不可能包含惡意活動的指標,因此不值得進行監控。在流量到達感測器的 NIC 和 CPU 之前對要呈現給感測器的流量進行優先處理,可以顯著減輕封包處理的負擔,極大地提高 Suricata 感測器的吸收能力和規模。這將進一步增加網路覆蓋範圍,同時需要更少的物理感測器,從而顯著降低儀器成本和管理複雜性。
克服流量容量挑戰
根據網路環境,多達80%的網路流量可能是加密的,超過50%的流量被認為是「無法監控」或無用的。Suricata 確實允許一些流量被「旁路」,這允許符合特定條件的流量被排除在更深層次的分析之外。然而,Suricata的旁路規則並不阻止這些流量到達感測器。因此,感測器的NIC和CPU仍然必須接收和處理這些流量,這將影響感測器的容量。
使用網路封包分配器(NPB)來平衡流量可以幫助將高容量的收集的網路流量分解並分發給多個感測器,以確保某個感測器不會被大量的流量淹沒。另一方面,為了跟上被監測的流量量,對於100G連結的流量進行負載平衡將需要添加多個速度較低的感測器。
雖然封包分配器是監控架構的重要組成部分,可以協助訪問封包流量,但僅僅依靠封包分配器無法解決一個挑戰,即傳遞給感測器的高比例的網路流量可能是加密的、無法監控或可操作的。處理無關和無法監控的流量會消耗寶貴的感測器分析資源,試圖評估或旁路不需要的流量。
並非所有的網路流量都需要由 Suricata 進行分析。最基本的流量管理原則是不要將不希望被檢查的流量發送到 Suricata 感測器。為了提高感測器的規模,目標是讓 NIC、CPU 和內核在一開始就不必處理不需要的流量。
擴展Suricata性能的有效方法是優化和限制呈現給感測器的流量。智能流量優化使Suricata能夠更有效地監視大量的網路流量,從而實現規模化的網路可視性和威脅情報。消除低價值的流量,特別是優化加密和串流流量,可以顯著減輕Suricata感測器的封包處理負擔,將檢查重點集中在盡可能多的相關網路流量上,以識別新興的威脅。
NetQuest Packet Services Broker通過智能評估網路流量,自動將價值高的封包傳遞到Suricata感測器,為Suricata部署帶來了顯著價值。Packet Services Broker 能夠高效識別、優先處理和優化封包流量,以線速將僅相關的封包傳遞到 Suricata 感測器,從而減輕了流量處理負擔。這種優化促進了更有效的流量吸收、更快速的分析、更相關的警報,並且使封包記錄更加高效,以減少存儲需求並延長封包保留時間。其功能包括:
- 通過將特定高價值類型的流量定向到Suricata感測器,優化Suricata分析資源,從而減輕低價值流量的處理負擔
- 優化特定類型的流量,如加密或串流服務流量
- 去除不需要的封包元素,以提高流量吸收效率,滿足隱私和合規要求
- 去除封包標頭和協議解封裝,僅將內部封包傳遞到感測器,使封包更容易吸收和分析
我們邀請您了解更多有關優化Suricata的流量監控,以實現規模化的前所未有的威脅情報、更好地抵禦不斷變化的威脅,並支持更全面的調查活動。
NetQuest 如何幫助
NetQuest Packet Services Broker 通過智能評估網路流量,自動將價值高的封包傳遞到Suricata感測器,為 Suricata 部署帶來了顯著價值。Packet Services Broker能夠高效識別、優先處理和優化封包流量,以線速將僅相關的封包傳遞到Suricata感測器,從而減輕了流量處理負擔。這種優化促進了更有效的流量吸收、更快速的分析、更相關的警報,並且使封包記錄更加高效,以減少存儲需求並延長封包保留時間。其功能包括:
- 通過將特定高價值類型的流量定向到 Suricata 感測器,優化 Suricata 分析資源,從而減輕低價值流量的處理負擔
- 優化特定類型的流量,如加密或串流服務流量
- 去除不需要的封包元素,以提高流量吸收效率,滿足隱私和合規要求
- 去除封包標頭和協議解封裝,僅將內部封包傳遞到感測器,使封包更容易吸收和分析