{$php $info=array();}
行業動態
當前位置:首頁 > 行業動態
終日惶惶不安,攻擊者疑似無處不在,不如讓它給你解決
發布時間:2018-07-05瀏覽次數:54文章來源:網欣科技
        三大終極哲學問題“我是誰?我從哪里來?我要到哪里去?”這個問題誰也沒有辦法給出標準答案,但網絡信息安全的幾大問題,有個產品可以給出非常精準的答案。
 
        ◆ 攻擊者有沒有來?
        ◆ 攻擊者是誰?
        ◆ 來了走沒走?
        ◆ 走了又帶走了什么?
        ◆ 誰(Who)在什么時間(When)、什么地方(Where)、執行了什么操作(What)?
 
        安全圈里關心的這些問題,誰可以給你答案?
 
        NTA(網絡流量分析)產品可以!
 
        01 NTA類產品如何發現攻擊?
        流量有南北向流量,東西向流量,同樣攻擊也分為外網到內網的攻擊,內網橫向滲透攻擊,而攻擊的直接載體就是失陷主機。
 
 
        ◆ 攻擊過程:對于攻擊者來說,需要做的是 肉雞制造->保持控制->下發命令。(對肉雞制造,保持控制,下發命令的詳細解釋請參見后文專有名詞解析)
 
        ◆ 失陷主機發現:發現失陷主機是發現攻擊,減少損失的關鍵!
 
 
        ◆ 攻擊者有沒有來(入站監測)?——網絡嗅探或者口令暴力破解,在流量上會有端口分散度,IP分散度異常的流量行為特征。
 
        ◆ 攻擊者是誰?——對于流量分析設備來說,提取流量中必要的元數據和情報進行碰撞匹配,同時通過流量記錄來串接出攻擊鏈路,找到攻擊源,是發現攻擊者的一個有效手段。
 
        ◆ 攻擊者走沒走?——端口上的回連操作,需要對內網資產(不僅僅是重要的業務系統)的端口使用分布情況,端口服務類型進行持續的監測,形成端口使用基線,只要出現有回連操作行為方式的流量就觸發相應的告警。
 
        ◆ 攻擊者帶走了什么(出站監測)?——一般來說,DNS 的53端口是防火墻不會封堵的端口,那么利用DNS Tuning隧道來拖拽竊取到的數據確實是一個不錯的選擇。對DNS服務器的流量與連接進行持續的監測和可疑字段檢測,并記錄DNS的所有可疑數據包是目前流量分析設備可以提供的一個有效取證手段。
 
        02 NTA類產品常用場景有哪些?
        NTA產品一方面用于流量趨勢分析,威脅分析,惡意行為監測,另一方面NTA通過流量梳理與分析,為網絡管理者進行網絡規劃與優化、網絡監控等工作提供數據倉庫。無論是流量趨勢分析還是惡意流量檢測,很重要的一點是網絡取證能力。
\
        下圖為流量分析產品常見的應用場景,同時標注了此場景體現出的流量分析設備的價值點。

\

        上述場景在不同的行業,不同用戶處有不同的名稱。
 
        在軍工行業,非授權的訪問被命名為不可信訪問,越權訪問;
 
        在金融行業,對失陷主機的分析也會稱為主機信譽分析(被金融行業用戶稱為“信譽庫”的特征庫是一種特殊的威脅情報庫)。
 
        有些場景是特定行業特別關注的,比如流量超常,SYN FLOOD,UDP FLOOD等常規DDOS攻擊,對攻擊源或僵尸機的溯源是運營商用戶關注的焦點。
 
        03NTA是什么?網欣科技NTA從哪里來?到哪里去?
NTA,即網絡流量分析(Network traffic analysis),通過監控網絡流量、連接和對象來識別惡意的行為跡象。打個比方,它就是流量攝影師——痕跡記錄者,記錄流量的每一刻行為,每一步軌跡。而NTA正是通過監測這些“網絡流量,連接,對象 ”來識別繞過了傳統邊界防護設備的高級攻擊。(對網絡流量,連接,對象的詳細描述請見后文專有名詞解析)
 
        網欣科技的NTA產品Leadsec-NBA能夠監測完整的網絡數據包以及常用的xFlow協議的FLOW數據,利用多種智能模型,從空間維,時間維,特征維來分析流量、連接和對象,來可視化流量現狀,梳理訪問關系,展示流量隨時間變化趨勢。利用自適應的基線學習模型來發現異常流量,通過邏輯關聯,統計關聯技術將內存中的流量數據,存儲中的流量記錄形成流量的實時審計和歷史關聯。通過自動化,半自動化的分析機制來梳理網絡秩序,同時快速發現,準確定位惡意的行為。

\

 

< ?