多年來��,安全專家一直在爭論究竟是外部人員還是內部人員帶來更大的風險。如今�����,這種辯論已經沒有實際意義:因為網絡界限已經模糊化�,威脅正無處不在。
例如��,內部人員可能在家里辦公或遠程辦公;員工可能需要利用BYOD;業(yè)務合作伙伴和銷售人員經常需要訪問云中關鍵任務服務?��,F(xiàn)在企業(yè)比以往任何時候都更難了解在給定的時間內誰在網絡上���,以及有多少設備在訪問服務、系統(tǒng)和數(shù)據����。企業(yè)正在逐漸失去對網絡的控制,而攻擊者則在研究這些新技術�,并利用它們來繞過傳統(tǒng)防御。
為了克服這些安全隱患���,并獲得更好的可視性來確定誰在使用網絡����,安全專家紛紛轉向網絡流量分析來提高網絡安全的可視性。
網絡安全可視性超越傳統(tǒng)防御的范圍
上面提到的情況強調了企業(yè)應該超越傳統(tǒng)安全技術的范圍�����,實時研究更大環(huán)境的安全性��。企業(yè)不應該在攻擊發(fā)生后才阻止攻擊���,而是在攻擊發(fā)生時檢測攻擊�,觀察網絡流量能夠為企業(yè)提供更好的網絡可視性和對惡意事件更快的檢測���。網絡流量是分析IP、TCP����、UDP以及與信息源、目標端口和IP地址相關的其他header信息��。這種網絡流量分析工作需要網絡安全管理人員進行戰(zhàn)略性的轉變���,構建對整個網絡基礎設施的全面視角�。
然而��,這種轉變受到人員和技術的制約。在人員方面���,大多數(shù)企業(yè)已經被迫轉變?yōu)樯倩ㄥX多辦事��。設計安全系統(tǒng)架構�����、抵御高級攻擊以及識別和緩解入侵等工作要求熟練的安全工作人員�����,而很多企業(yè)找不到或者負擔不起這種人才���。與此同時,安全企業(yè)通常嚴重依賴于數(shù)據泄露防護(DLP)和企業(yè)權限管理(ERM)等產品來檢測安全違規(guī)情況���。雖然這些技術能夠發(fā)揮一定作用�����,但它們并不是萬能的��,企業(yè)需要采取一種新的方法���。
網絡流量分析:三管齊下
強調網絡流量分析的新計劃:檢測���、精煉和分析數(shù)據流三管齊下。它利用多個內部和外部信息來源�����,并實時處理數(shù)據來檢測威脅�。這里關鍵是使用已經部署的可用的現(xiàn)有網絡基礎設施。
流量分析對網絡中流量的移動情況提供了一個不同的視角�。它能夠分析在給定的度量內一個事件的發(fā)生頻率。例如���,在周末的凌晨至凌晨2點,包含加密.zip文件的流量離開網絡并發(fā)往亞洲的頻率?通過流量分析工具���,安全專家可以近乎實時查看這種類型的用戶活動���。
