近些年,随着企业上云、5G落地、物联网设备激增,网络爆炸式发展,网络流量海量化、复杂化成为常态,如何识别、监测、分析网络流量成为重要研究方向和企业关注热点。所谓大隐隐于市,异常的通信内容隐蔽伪装在常用协议中,是很多恶意应用的常用手段。数据包从来不会说谎,这正是很多场景需要分布式全流量抓包的真实原因。数据包不是一种解析,也不是一种总结描述——它就是最底层的真相。分布式全流量抓包的价值是能够抓取并细节地展示真实发生的事情。
网络流量分析技术(NTA)通过DFI和DPI技术来分析网络流量,通常部署在关键的网络区域对东西向和南北向的流量进行分析,既是流量监测与分析技术的落地产品,也可以理解为一种功能和能力。目前,很多NTA产品都集流量收集、分析、报告于一体,解决谁在什么时间、什么地方、执行什么行为等安全流程中的重要问题,是发现APT网络攻击的重要技术手段。
以下数据引用于《中国网络流量监测与分析产品研究报告》(2020年),由FreeBuf咨询调研完成。
NTA/NDR产品部署现状:
没有部署 10.4% 计划部署 18.8% 已部署NTA/NDR 39.6% 已部署IDS/NIDS 27.4% 部署WAF等带有网络流量监测功能的产品 22.8%
部署NTA/NDR产品的主要原因:
资产测绘与识别 8% 监测东西、监测南北流量 16% 实时分析原始网络数据包流量(NetFlow记录等) 27% 提升可视性 14% 提升威胁分析和溯源能力 35%
全天候全方位实时识别网络流量数据,通过与威胁情报、行为模型匹配,发现未知威胁、木马通讯、隐蔽信道等异常行为。利用流量可视化能力,看见资产、看清安全洼地、看透安全隐患,为用户构建灵敏的网络威胁感知能力,展示全方位的网络安全态势。
特征识别、行为识别、AI识别三大引擎感知网络风险。及时发现主动外联、木马通讯、隐蔽信道、异常DNS解析、僵尸网络、违规操作等行为。
对网络原始通讯数据进行全流量完整保存,通过数据分析与挖掘,帮助用户对事件进行原始数据取证。针对各种告警行为,可以设定自动取证或者人工取证,取证数据永久保存。
通过安全事件关联分析,完整拓线各类事件数据,判断告警的准确性、严重性及威胁事件的结果,帮助用户进行影响面评估,发现安全弱点和盲点,并及时采取相应处置措施,阻止事态继续发展。
流量可视化展示、流量回溯分析、流量安全分析处置、智能运维管理等场景。
事前防御优化、事中检测响应、事后回溯分析
1、安全域基础架构可视
清晰看到核心资产在网络中的分布,摸清业务系统与网络对象间的逻辑连接与访问控制关系,看清当前安全域划分与安全控制设置是否合理。
2、资产网络暴露面风险评估
监控主机对外开放的源地址、端口和路径,设定安全域矩阵,及时发现违规路径,降低资产被攻击的风险。
3、攻击威胁可视
4、自动化安全编排,阻断攻击
根据攻击五元组信息呈现攻击的详细路径,一键封堵并下发安全策略,阻断攻击源头,避免威胁扩大化。
5、回溯分析取证定损
1、资产自动发现
基于多种协议,自动搜索发现全网的网络设备,识别设备类型、型号等;通过算法分析,自动搜索发现交换机下挂设备。
2、动态拓扑可视
自动生成网络拓扑关系,并通过可视化技术展示设备及其链接关系;支持分级拓扑和拓扑自动更新功能。
3、链路自动识别
应用多种物理拓扑发现技术,自动识别设备间聚合链路接口信息及物理互联链路信息。
4、监控告警联动
依托对大数据的分析和统计,可自定义设备台账、设备变更、拓扑链接更新等监控告警及报表报告。
网络资产可视化,摸清家底
动态拓扑可视化,高效排故
监控告警可视化,智能运维
已知中寻找异常,未知中排除正常。不管是在企业安全防御者与黑客的实际对抗场景中,或是规模化攻防演练过程中,都表明企业对于网络流量的监测与分析产品的需求正在持续增长,这也预示着NTA网络流量分析可能也会顺应潮流,在海量数据中实现巨大增长。
上一篇:2022年数据安全及合规领域行业保护趋势展望
下一篇:无需重启即可生效|Log4j2漏洞热补丁