三大終極哲學(xué)問題“我是誰?我從哪里來?我要到哪里去?”這個(gè)問題誰也沒有辦法給出標(biāo)準(zhǔn)答案,但網(wǎng)絡(luò)信息安全的幾大問題,有個(gè)產(chǎn)品可以給出非常精準(zhǔn)的答案。
◆ 攻擊者有沒有來?
◆ 攻擊者是誰?
◆ 來了走沒走?
◆ 走了又帶走了什么?
◆ 誰(Who)在什么時(shí)間(When)、什么地方(Where)、執(zhí)行了什么操作(What)?
安全圈里關(guān)心的這些問題,誰可以給你答案?
NTA(網(wǎng)絡(luò)流量分析)產(chǎn)品可以!
01 NTA類產(chǎn)品如何發(fā)現(xiàn)攻擊?
流量有南北向流量,東西向流量,同樣攻擊也分為外網(wǎng)到內(nèi)網(wǎng)的攻擊,內(nèi)網(wǎng)橫向滲透攻擊,而攻擊的直接載體就是失陷主機(jī)。
◆ 攻擊過程:對(duì)于攻擊者來說,需要做的是 肉雞制造->保持控制->下發(fā)命令。(對(duì)肉雞制造,保持控制,下發(fā)命令的詳細(xì)解釋請(qǐng)參見后文專有名詞解析)
◆ 失陷主機(jī)發(fā)現(xiàn):發(fā)現(xiàn)失陷主機(jī)是發(fā)現(xiàn)攻擊,減少損失的關(guān)鍵!
◆ 攻擊者有沒有來(入站監(jiān)測(cè))?——網(wǎng)絡(luò)嗅探或者口令暴力破解,在流量上會(huì)有端口分散度,IP分散度異常的流量行為特征。
◆ 攻擊者是誰?——對(duì)于流量分析設(shè)備來說,提取流量中必要的元數(shù)據(jù)和情報(bào)進(jìn)行碰撞匹配,同時(shí)通過流量記錄來串接出攻擊鏈路,找到攻擊源,是發(fā)現(xiàn)攻擊者的一個(gè)有效手段。
◆ 攻擊者走沒走?——端口上的回連操作,需要對(duì)內(nèi)網(wǎng)資產(chǎn)(不僅僅是重要的業(yè)務(wù)系統(tǒng))的端口使用分布情況,端口服務(wù)類型進(jìn)行持續(xù)的監(jiān)測(cè),形成端口使用基線,只要出現(xiàn)有回連操作行為方式的流量就觸發(fā)相應(yīng)的告警。
◆ 攻擊者帶走了什么(出站監(jiān)測(cè))?——一般來說,DNS 的53端口是防火墻不會(huì)封堵的端口,那么利用DNS Tuning隧道來拖拽竊取到的數(shù)據(jù)確實(shí)是一個(gè)不錯(cuò)的選擇。對(duì)DNS服務(wù)器的流量與連接進(jìn)行持續(xù)的監(jiān)測(cè)和可疑字段檢測(cè),并記錄DNS的所有可疑數(shù)據(jù)包是目前流量分析設(shè)備可以提供的一個(gè)有效取證手段。
02 NTA類產(chǎn)品常用場(chǎng)景有哪些?
NTA產(chǎn)品一方面用于流量趨勢(shì)分析,威脅分析,惡意行為監(jiān)測(cè),另一方面NTA通過流量梳理與分析,為網(wǎng)絡(luò)管理者進(jìn)行網(wǎng)絡(luò)規(guī)劃與優(yōu)化、網(wǎng)絡(luò)監(jiān)控等工作提供數(shù)據(jù)倉庫。無論是流量趨勢(shì)分析還是惡意流量檢測(cè),很重要的一點(diǎn)是網(wǎng)絡(luò)取證能力。
下圖為流量分析產(chǎn)品常見的應(yīng)用場(chǎng)景,同時(shí)標(biāo)注了此場(chǎng)景體現(xiàn)出的流量分析設(shè)備的價(jià)值點(diǎn)。
上述場(chǎng)景在不同的行業(yè),不同用戶處有不同的名稱。
在軍工行業(yè),非授權(quán)的訪問被命名為不可信訪問,越權(quán)訪問;
在金融行業(yè),對(duì)失陷主機(jī)的分析也會(huì)稱為主機(jī)信譽(yù)分析(被金融行業(yè)用戶稱為“信譽(yù)庫”的特征庫是一種特殊的威脅情報(bào)庫)。
有些場(chǎng)景是特定行業(yè)特別關(guān)注的,比如流量超常,SYN FLOOD,UDP FLOOD等常規(guī)DDOS攻擊,對(duì)攻擊源或僵尸機(jī)的溯源是運(yùn)營(yíng)商用戶關(guān)注的焦點(diǎn)。
03NTA是什么?網(wǎng)欣科技NTA從哪里來?到哪里去?
NTA,即網(wǎng)絡(luò)流量分析(Network traffic analysis),通過監(jiān)控網(wǎng)絡(luò)流量、連接和對(duì)象來識(shí)別惡意的行為跡象。打個(gè)比方,它就是流量攝影師——痕跡記錄者,記錄流量的每一刻行為,每一步軌跡。而NTA正是通過監(jiān)測(cè)這些“網(wǎng)絡(luò)流量,連接,對(duì)象 ”來識(shí)別繞過了傳統(tǒng)邊界防護(hù)設(shè)備的高級(jí)攻擊。(對(duì)網(wǎng)絡(luò)流量,連接,對(duì)象的詳細(xì)描述請(qǐng)見后文專有名詞解析)
網(wǎng)欣科技的NTA產(chǎn)品Leadsec-NBA能夠監(jiān)測(cè)完整的網(wǎng)絡(luò)數(shù)據(jù)包以及常用的xFlow協(xié)議的FLOW數(shù)據(jù),利用多種智能模型,從空間維,時(shí)間維,特征維來分析流量、連接和對(duì)象,來可視化流量現(xiàn)狀,梳理訪問關(guān)系,展示流量隨時(shí)間變化趨勢(shì)。利用自適應(yīng)的基線學(xué)習(xí)模型來發(fā)現(xiàn)異常流量,通過邏輯關(guān)聯(lián),統(tǒng)計(jì)關(guān)聯(lián)技術(shù)將內(nèi)存中的流量數(shù)據(jù),存儲(chǔ)中的流量記錄形成流量的實(shí)時(shí)審計(jì)和歷史關(guān)聯(lián)。通過自動(dòng)化,半自動(dòng)化的分析機(jī)制來梳理網(wǎng)絡(luò)秩序,同時(shí)快速發(fā)現(xiàn),準(zhǔn)確定位惡意的行為。
微信平臺(tái)
掃一掃,進(jìn)入手機(jī)官網(wǎng) 
