網絡安全的趨勢和技術選擇

網絡空間安全涉及的安全響應，是指在安全事件發(fā)生后，通過人工或者自動化的方式，能采取相應的措施，降低安全事件帶來的危害和影響;從啟明星辰發(fā)布的近幾年安全態(tài)勢觀察報告來看，安全響應都作為重要的一個技術領域被提及。在安全防御體系的演進中，從PPDR模型，到NIST（美國國家標準組織）定義的比較權威的IPDRR模型，都強調了安全響應是在安全事件處理中的非常重要的能力。

啟明星辰認為，在安全響應中，最主要的應用思路，是基于安全攻擊鏈模型發(fā)掘完整的攻擊過程，并針對此攻擊過程中發(fā)現(xiàn)的系統(tǒng)薄弱點，進行針對性的加固。通過一個攻擊線索，找到攻擊的利用手段和系統(tǒng)薄弱環(huán)節(jié)，以及安全檢測設備在此場景下的失效原因，需要全流程全維度的過程和行為追蹤，而全流量分析取證往往成為了不二之選。

惡意軟件市場已經高度組織化

啟明星辰認為，基于網絡流量元數(shù)據(jù)和數(shù)據(jù)包的采集，進行流行為的安全威脅分析和取證，是未來最重要安全技術之一。Gartner的最新報告也指出：NTA（網絡流量分析）和NFT（網絡取證工具）正在逐步演變?yōu)橥ㄟ^采集和存儲網絡分析以外的更多數(shù)據(jù)，實現(xiàn)更大范圍的威脅檢測和攻擊取證能力。

傳統(tǒng)的“預防加檢測”有其天然局限性，“持續(xù)檢測與響應”才能應對今天不斷變化的威脅局面。

全流量分析取證在安全中的價值

1：具備完整攻擊鏈的全過程信息存儲和展示

網絡攻擊的成功實施，通常是利用系統(tǒng)的薄弱環(huán)節(jié)，通過多種手段最終進入系統(tǒng)內部，造成系統(tǒng)破壞或者是獲取所需信息。即使我們已經部署了防火墻、IDS、IPS、數(shù)據(jù)庫防御、郵件防御系統(tǒng)等產品，貌似扎緊了防御的籬笆，但面對持續(xù)的、層出不窮的高級威脅攻擊手法和樣本變體，有時還是無法阻止各類攻擊的發(fā)生，這足以說明當前攻擊形勢的復雜性和隱蔽性。通過對攻擊過程的分析和分解，洛克希德·馬丁公司提出了攻擊鏈的概念，此概念一經推出就得到了廣大安全廠商的認可;近兩年非?；馃岬腁TT&CK模型，也是在此技術上結合攻擊鏈的各個階段，提煉出常用的攻擊手法和方式，成為了很多安全廠商設計安全檢測設備的一個標尺。

ATT&CK在Google Trends上過去一年多的趨勢變化

然而，品類繁多復雜的安全檢測設備，往往只能覆蓋攻擊鏈的幾個過程，而無法完整的呈現(xiàn)出一個完整的攻擊活動。這些相互重疊的安全設備的檢測能力，往往會給攻擊者帶來可乘之機：每個設備只能展示部分相關的攻擊信息，無法完整的展示攻擊行為過程和前后的串聯(lián)關系，那么在后續(xù)的響應環(huán)節(jié)就做不到毫發(fā)無遺，只會導致同類型的攻擊讓我們疲于應付，安全事件層出不窮了。

全流量分析取證，通過存儲網絡中所有的流量（可過濾掉一些低價值的視頻流量等），實現(xiàn)完整的攻擊過程在網絡數(shù)據(jù)傳輸中的快照，依據(jù)一定的自動查詢規(guī)則或者是手工查詢的方式，展示出整個攻擊鏈的所有相關信息。

同時對于全流量分析取證產品，通過和傳統(tǒng)安全檢測設備、流量分析設備系統(tǒng)聯(lián)動，能實現(xiàn)一點檢測，全攻擊鏈還原取證的能力，實現(xiàn)100%準確的攻擊有效性判斷和關鍵證據(jù)的獲取，是構建攻擊活動的完整證據(jù)鏈的數(shù)據(jù)基座。

2：協(xié)助識別網絡攻擊的有效性，可實現(xiàn)網絡攻擊超低誤報

因為網絡業(yè)務的低時延要求，自動化攻擊行為的發(fā)生，和每年大幅增長的系統(tǒng)漏洞，對安全檢測設備的快速響應能力提出了更高的要求。另一方面，因為需要降低漏報率的因素，大量的攻擊誤報就成為了網絡攻擊檢測中的常態(tài)。

通過傳統(tǒng)安全檢測設備和全流量分析取證設備的聯(lián)動，通過對一條流的客戶端行為，服務器的行為，以及同一個客戶端&服務器端的多條流的行為的驗證，能快速準確的分析出是否是一個成功的攻擊行為：

啟明星辰全流量分析取證設備和檢測設備聯(lián)動

近年來各大安全廠商不停的在SIEM/SOAR上進行能力布局，是類似的分析取證的思路，但此類分析取證還是基于已有的網絡安全設備的日志信息等，完整性和準確性上存在一定的不足。而全流分析取證設備上有完整的攻擊過程信息，有攻擊前和攻擊后的客戶端/服務器行為，這些都能較容易的幫助安全檢測設備快速準確甄別誤報信息，真正發(fā)揮安全檢測設備的快速檢測優(yōu)勢和實時的安全響應處置策略。

3：實現(xiàn)基于多種復雜流量組合的攻擊過程分析

全流分析取證產品在pcap原始數(shù)據(jù)、協(xié)議元數(shù)據(jù)、流統(tǒng)計信息等全維度信息的基礎上，可以實現(xiàn)在線/實時，離線/批量的安全模型分析，彌補當前網絡安全設備檢測能力的不足。

啟明星辰全流取證方案的多場景安全分析能力

基于全流分析取證產品的完整數(shù)據(jù)，可以實現(xiàn)由最簡單的統(tǒng)計分析，到最復雜的人工智能等多種場景的安全威脅分析，驗證攻擊是否成功，分析模型是否準確，能良好的解決傳統(tǒng)的基于特征、指紋和用戶網絡行為的攻擊檢測方式帶來的誤報和漏報的問題，此種自證能力是全流分析取證產品獨特且難以被其他產品取代的優(yōu)秀能力。
責任編輯:pj