伴隨著對云計算的擁抱、新的DevOps流程的普及、物聯網設備的蔓延、供應鏈的復雜交織以及更多數字基建的涌現,新一代網絡攻擊手段也在持續演進,有效的威脅檢測與響應能力作為重要的攻防手段,是提升實戰化對抗能力的關鍵因素。
推出《高級威脅檢測與響應解決方案》系列訪談,邀請相關安全廠商分享主動感知、分析、防御、溯源高級威脅的成功經驗,及其方案服務的能力和特色,為企業用戶提升安全建設水平提供一定參考。
本期,我們走進科來網絡技術股份有限公司(以下簡稱“科來”),一睹他們在該領域的觀察思考和實踐。
科來成立于2003年,專注于網絡流量分析技術研究與產品開發,在國內率先提出“全流量”、“回溯”概念,并推出了以網絡全流量采集與分析技術為基礎的網絡回溯產品,形成了面向政府、金融、能源、運營商、交通等不同行業、不同規模、不同應用的解決方案,廣泛應用于國內外用戶的網絡智能運維與網絡安全分析等關鍵領域。
攻擊不斷進階 防守面臨巨大挑戰
根據科來觀察,現在的網絡攻擊更為復雜化,尤其當下的攻擊工具存在相對泛濫性與易得性,比如一些攻擊武器,如新的漏洞、攻擊代碼等等都比以往更容易獲取。換句話說,從整個攻擊成本和困難程度而言,攻擊相對更加容易了。
另一方面,防守的難度卻在加大——面向目前的網絡安全市場,大多數的客戶的業務都趨于精細化,維護與防御的難度更大,同時盤根錯節的業務流程由數字工具承載,且暴露于互聯網上,這就導致很容易被攻擊。此消彼長,當下整體的網絡安全態勢更為嚴峻,主要表現在:很多攻擊不再是單一作戰,如國內外的APT組織依然活躍,其攻擊手法也更為復雜;除了傳統的竊取信件、植入木馬等等慣用手段,針對虛擬環境、甚至發展到控制運營商網絡的高級攻擊不時發生;而威脅的影響范圍,除了會針對傳統的重點單位和關基設施之外,近兩年通過攻擊供應鏈來制造破壞的情況也在變多,進而一舉輻射牽連到成百上千的組織,危害性較大。
在這些新興的、嚴峻的威脅攻擊手法面前,企業正面臨前所未有的安全挑戰:
第一點是難以發現。現在許多新型攻擊手段往往能繞過防火墻、殺毒軟件這類傳統的安全檢測設備,如果企業僅僅沿用過去的防御手段,就會產生防護盲區和漏洞。
第二點是難以回溯。通常,企業的安全團隊發現了內部(或橫向)的一些異常,但是不能完整地復現整個攻擊過程,包括攻擊如何產生、如何進入、控制了誰、橫向內部攻擊了誰。無法還原整個攻擊鏈就如同盲人摸象,不能掌握整個攻擊的發展趨勢,在后續的防御中也會比較被動。
第三點是難以溯源。更艱難的是,除了不知道對方是怎么攻擊你的之外,還不知道是誰在攻擊你。站在企業的角度,如果想要了解是什么因素引發了攻擊、攻擊者的背景等等信息,對很多企業來說是不小的挑戰。
全流量分析技術
成為應對高級威脅的必備手段
面對逐級進化的威脅攻擊態勢,安全防守也并不是一成不變的。科來為我們總結了安全檢測技術的演化路徑,早期比較常見的防御手段是部署防火墻、網絡隔離,以及比較原始的一代檢測技術,如基于漏洞庫以及威脅特征的IDS、WAF等產品。隨著一些新型威脅的出現,比如通過釣魚郵件進行內部感染,沙箱技術就是隨之出現的檢測方法。
在國內攻防演練形成常態之后,安全人員發現,在面對高可疑攻擊行為的時候,對抗的關鍵點在于怎樣去快速驗證、研判以及擴線分析。這么一來,怎樣去提升研判效率與準確度,就成為防守方的取勝要訣。在這種情況下,如果能夠具備對于網絡流量的全協議解析、保存、分析能力,實現對于告警數據的全量全包、以及全協議檢測,無疑能大大提升對于攻擊的研判準確率。目前,網絡流量分析技術成為應對未知威脅的技術發展趨勢,并曾被Gartner評為十一項頂級安全技術之一。
據了解,科來在發展早期就決定獨立研發面向國內的網絡流量分析產品。在其與客戶的交流中,得到反饋發現網絡流量分析技術在諸多方面可以滿足用戶對于網絡安全的需求。
傳統的基于策略、特征的安全產品,在面臨諸如APT攻擊等高級未知威脅對抗的時候,很難成功察覺,為了更清楚地透析威脅情況、破壞范圍與攻擊走向,更需要對全流量采集、存儲與分析,對流量進行挖掘,獲取里面的線索情報,并回溯整個安全事件,讓客戶知道整個安全事件是怎么發展的,比如網絡遭受攻擊的原因、是否產生了橫向擴展、擴展后的行為等等,讓客戶對整個攻擊路徑、攻擊者情況等等都有清晰的了解。
“再高級的攻擊也會產生流量”,科來強調,流量分析技術對于安全防御體系建設,有著不可或缺的作用。
作為一項重要、底層的基礎技術,全流量分析在實際業務中有眾多的應用場景。首先,可以對企業的業務資產和未知的業務訪問關系進行梳理,幫助企業有效收斂業務暴露面,從而提升防御的強度。同時,針對APT攻擊、隱蔽信道傳輸以及高級木馬等威脅,基于高檢出效率的流量分析進行的異常行為建模,也是當下使用廣泛的安全防御措施,在各種安全事件響應、攻防演練場景下廣受重視和應用。
科來全流量分析:
為用戶賦能“檢測”和“響應”雙重能力
科來介紹,其全流量分析是建立在海量數據的保存和處理基礎上的檢測技術,結合大數據處理、機器學習、深度學習等技術,通過全流量分析設備,實現網絡全流量采集與保存、全行為分析與全流量回溯,并提取網絡元數據上傳到大數據分析平臺,從而滿足客戶更為細致與豐富的需求。
安全防御的能力取決于安全感知能力,而安全感知能力的重點則在于對未知安全威脅的感知能力上。從流量視角來看,這種能力就體現在對于協議的理解和解析上。
科來在全量數據采集與保存的基礎上,實現了全行為建模與分析、全流量回溯,能夠在網絡攻防對抗中精準發現與確認攻擊威脅。“無論是針對攻擊的隱蔽信道,還是發現網絡中傳輸協議的異常流量,當我們能透析更多的網絡流量內容,那么我們就能看得更清楚、更透徹、更全面,這樣一來,利用協議漏洞的網絡攻擊就無所遁形。”
未來整體技術趨勢正轉向智能化與聚合化
隨著未來數字化系統越來越多地應用到社會關鍵基礎設施,數字化系統自身的安全、穩定、可靠將至關重要。以往,如果只依靠關鍵詞的反饋會產生大量的告警,安全設備提供的告警驗證只讓安全人員看到單個請求或響應包的情況,不僅無法及時確認真正的威脅所在之處,也不能對攻擊行為進行進一步的研判與分析。科來分析,未來整體技術趨勢正在轉向智能化與聚合化,從單一警報轉向事件集合,來進一步賦能安全體系,以實現對于企業精細化安全防御的完善與補充。
科來表示,網絡流量分析技術是一項在不同領域有著豐富應用場景的底層基礎技術,可以衍生出更多的可能。未來將進一步圍繞數字化互聯智能系統保障的相關技術產品開發,在網絡流量分析技術、網絡性能分析、網絡安全分析等產品和技術開發的基礎上尋求更多可能,為圍繞數字化互聯智能系統保障的相關技術產品的開發,成為真正的數字化互聯智能時代的守護者。
更多信息可以來這里獲取==>>電子技術應用-AET<<
