多年來(lái)���,安全專家一直在爭(zhēng)論究竟是外部人員還是內(nèi)部人員帶來(lái)更大的風(fēng)險(xiǎn)�。如今����,這種辯論已經(jīng)沒(méi)有實(shí)際意義:因?yàn)榫W(wǎng)絡(luò)界限已經(jīng)模糊化,威脅正無(wú)處不在���。
例如��,內(nèi)部人員可能在家里辦公或遠(yuǎn)程辦公;員工可能需要利用BYOD;業(yè)務(wù)合作伙伴和銷售人員經(jīng)常需要訪問(wèn)云中關(guān)鍵任務(wù)服務(wù)?�,F(xiàn)在企業(yè)比以往任何時(shí)候都更難了解在給定的時(shí)間內(nèi)誰(shuí)在網(wǎng)絡(luò)上��,以及有多少設(shè)備在訪問(wèn)服務(wù)�、系統(tǒng)和數(shù)據(jù)。企業(yè)正在逐漸失去對(duì)網(wǎng)絡(luò)的控制���,而攻擊者則在研究這些新技術(shù),并利用它們來(lái)繞過(guò)傳統(tǒng)防御���。
為了克服這些安全隱患��,并獲得更好的可視性來(lái)確定誰(shuí)在使用網(wǎng)絡(luò)���,安全專家紛紛轉(zhuǎn)向網(wǎng)絡(luò)流量分析來(lái)提高網(wǎng)絡(luò)安全的可視性。
網(wǎng)絡(luò)安全可視性超越傳統(tǒng)防御的范圍
上面提到的情況強(qiáng)調(diào)了企業(yè)應(yīng)該超越傳統(tǒng)安全技術(shù)的范圍����,實(shí)時(shí)研究更大環(huán)境的安全性。企業(yè)不應(yīng)該在攻擊發(fā)生后才阻止攻擊��,而是在攻擊發(fā)生時(shí)檢測(cè)攻擊��,觀察網(wǎng)絡(luò)流量能夠?yàn)槠髽I(yè)提供更好的網(wǎng)絡(luò)可視性和對(duì)惡意事件更快的檢測(cè)�����。網(wǎng)絡(luò)流量是分析IP、TCP����、UDP以及與信息源、目標(biāo)端口和IP地址相關(guān)的其他header信息�����。這種網(wǎng)絡(luò)流量分析工作需要網(wǎng)絡(luò)安全管理人員進(jìn)行戰(zhàn)略性的轉(zhuǎn)變����,構(gòu)建對(duì)整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的全面視角。
然而���,這種轉(zhuǎn)變受到人員和技術(shù)的制約���。在人員方面,大多數(shù)企業(yè)已經(jīng)被迫轉(zhuǎn)變?yōu)樯倩ㄥX多辦事�����。設(shè)計(jì)安全系統(tǒng)架構(gòu)�����、抵御高級(jí)攻擊以及識(shí)別和緩解入侵等工作要求熟練的安全工作人員,而很多企業(yè)找不到或者負(fù)擔(dān)不起這種人才���。與此同時(shí)���,安全企業(yè)通常嚴(yán)重依賴于數(shù)據(jù)泄露防護(hù)(DLP)和企業(yè)權(quán)限管理(ERM)等產(chǎn)品來(lái)檢測(cè)安全違規(guī)情況。雖然這些技術(shù)能夠發(fā)揮一定作用�,但它們并不是萬(wàn)能的���,企業(yè)需要采取一種新的方法���。
網(wǎng)絡(luò)流量分析:三管齊下
強(qiáng)調(diào)網(wǎng)絡(luò)流量分析的新計(jì)劃:檢測(cè)、精煉和分析數(shù)據(jù)流三管齊下�����。它利用多個(gè)內(nèi)部和外部信息來(lái)源��,并實(shí)時(shí)處理數(shù)據(jù)來(lái)檢測(cè)威脅�。這里關(guān)鍵是使用已經(jīng)部署的可用的現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施。
流量分析對(duì)網(wǎng)絡(luò)中流量的移動(dòng)情況提供了一個(gè)不同的視角�。它能夠分析在給定的度量?jī)?nèi)一個(gè)事件的發(fā)生頻率。例如���,在周末的凌晨至凌晨2點(diǎn)�,包含加密.zip文件的流量離開網(wǎng)絡(luò)并發(fā)往亞洲的頻率?通過(guò)流量分析工具,安全專家可以近乎實(shí)時(shí)查看這種類型的用戶活動(dòng)�。
