多年來����,安全專家一直在爭論究竟是外部人員還是內部人員帶來更大的風險���。如今��,這種辯論已經沒有實際意義:因為網(wǎng)絡界限已經模糊化�,威脅正無處不在。
例如���,內部人員可能在家里辦公或遠程辦公;員工可能需要利用BYOD;業(yè)務合作伙伴和銷售人員經常需要訪問云中關鍵任務服務?���,F(xiàn)在企業(yè)比以往任何時候都更難了解在給定的時間內誰在網(wǎng)絡上���,以及有多少設備在訪問服務�����、系統(tǒng)和數(shù)據(jù)��。企業(yè)正在逐漸失去對網(wǎng)絡的控制�����,而攻擊者則在研究這些新技術,并利用它們來繞過傳統(tǒng)防御���。
為了克服這些安全隱患���,并獲得更好的可視性來確定誰在使用網(wǎng)絡�,安全專家紛紛轉向網(wǎng)絡流量分析來提高網(wǎng)絡安全的可視性�。
網(wǎng)絡安全可視性超越傳統(tǒng)防御的范圍
上面提到的情況強調了企業(yè)應該超越傳統(tǒng)安全技術的范圍,實時研究更大環(huán)境的安全性�。企業(yè)不應該在攻擊發(fā)生后才阻止攻擊,而是在攻擊發(fā)生時檢測攻擊�����,觀察網(wǎng)絡流量能夠為企業(yè)提供更好的網(wǎng)絡可視性和對惡意事件更快的檢測���。網(wǎng)絡流量是分析IP�����、TCP�����、UDP以及與信息源���、目標端口和IP地址相關的其他header信息���。這種網(wǎng)絡流量分析工作需要網(wǎng)絡安全管理人員進行戰(zhàn)略性的轉變,構建對整個網(wǎng)絡基礎設施的全面視角�。
然而,這種轉變受到人員和技術的制約��。在人員方面�����,大多數(shù)企業(yè)已經被迫轉變?yōu)樯倩ㄥX多辦事�。設計安全系統(tǒng)架構、抵御高級攻擊以及識別和緩解入侵等工作要求熟練的安全工作人員��,而很多企業(yè)找不到或者負擔不起這種人才��。與此同時�,安全企業(yè)通常嚴重依賴于數(shù)據(jù)泄露防護(DLP)和企業(yè)權限管理(ERM)等產品來檢測安全違規(guī)情況。雖然這些技術能夠發(fā)揮一定作用�,但它們并不是萬能的,企業(yè)需要采取一種新的方法�。
網(wǎng)絡流量分析:三管齊下
強調網(wǎng)絡流量分析的新計劃:檢測、精煉和分析數(shù)據(jù)流三管齊下�。它利用多個內部和外部信息來源��,并實時處理數(shù)據(jù)來檢測威脅。這里關鍵是使用已經部署的可用的現(xiàn)有網(wǎng)絡基礎設施���。
流量分析對網(wǎng)絡中流量的移動情況提供了一個不同的視角����。它能夠分析在給定的度量內一個事件的發(fā)生頻率�。例如,在周末的凌晨至凌晨2點����,包含加密.zip文件的流量離開網(wǎng)絡并發(fā)往亞洲的頻率?通過流量分析工具,安全專家可以近乎實時查看這種類型的用戶活動�。
