全流分析取证:高级威胁哪里跑?!

网络安全的趋势和技术选择

网络空间安全涉及的安全响应,是指在安全事件发生后,通过人工或者自动化的方式,能采取相应的措施,降低安全事件带来的危害和影响;从启明星辰发布的近几年安全态势观察报告来看,安全响应都作为重要的一个技术领域被提及。在安全防御体系的演进中,从 PPDR 模型,到 NIST(美国国家标准组织)定义的比较权威的 IPDRR 模型,都强调了安全响应是在安全事件处理中的非常重要的能力。

启明星辰认为,在安全响应中,最主要的应用思路,是基于安全攻击链模型发掘完整的攻击过程,并针对此攻击过程中发现的系统薄弱点,进行针对性的加固。通过一个攻击线索,找到攻击的利用手段和系统薄弱环节,以及安全检测设备在此场景下的失效原因,需要全流程全维度的过程和行为追踪,而全流量分析取证往往成为了不二之选。

图1 :恶意软件市场已经高度组织化(来源:启明星辰安全态势报告)

启明星辰认为,基于网络流量元数据和数据包的采集,进行流行为的安全威胁分析和取证,是未来最重要安全技术之一。Gartner的最新报告也指出:NTA(网络流量分析)和 NFT(网络取证工具)正在逐步演变为通过采集和存储网络分析以外的更多数据,实现更大范围的威胁检测和攻击取证能力。

传统的“预防加检测”有其天然局限性,“持续检测与响应”才能应对今天不断变化的威胁局面。

全流量分析取证在安全中的价值

1:具备完整攻击链的全过程信息存储和展示

网络攻击的成功实施,通常是利用系统的薄弱环节,通过多种手段最终进入系统内部,造成系统破坏或者是获取所需信息。即使我们已经部署了防火墙、IDS、IPS、数据库防御、邮件防御系统等产品,貌似扎紧了防御的篱笆,但面对持续的、层出不穷的高级威胁攻击手法和样本变体,有时还是无法阻止各类攻击的发生,这足以说明当前攻击形势的复杂性和隐蔽性。通过对攻击过程的分析和分解,洛克希德·马丁公司提出了攻击链的概念,此概念一经推出就得到了广大安全厂商的认可;近两年非常火热的ATT&CK模型,也是在此技术上结合攻击链的各个阶段,提炼出常用的攻击手法和方式,成为了很多安全厂商设计安全检测设备的一个标尺。

图2:ATT&CK在Google Trends上过去一年多的趋势变化

然而,品类繁多复杂的安全检测设备,往往只能覆盖攻击链的几个过程,而无法完整的呈现出一个完整的攻击活动。这些相互重叠的安全设备的检测能力,往往会给攻击者带来可乘之机:每个设备只能展示部分相关的攻击信息,无法完整的展示攻击行为过程和前后的串联关系,那么在后续的响应环节就做不到毫发无遗,只会导致同类型的攻击让我们疲于应付,安全事件层出不穷了。

全流量分析取证,通过存储网络中所有的流量(可过滤掉一些低价值的视频流量等),实现完整的攻击过程在网络数据传输中的快照,依据一定的自动查询规则或者是手工查询的方式,展示出整个攻击链的所有相关信息。

同时对于全流量分析取证产品,通过和传统安全检测设备、流量分析设备系统联动,能实现一点检测,全攻击链还原取证的能力,实现100%准确的攻击有效性判断和关键证据的获取,是构建攻击活动的完整证据链的数据基座。

2:协助识别网络攻击的有效性,可实现网络攻击超低误报

因为网络业务的低时延要求,自动化攻击行为的发生,和每年大幅增长的系统漏洞,对安全检测设备的快速响应能力提出了更高的要求。另一方面,因为需要降低漏报率的因素,大量的攻击误报就成为了网络攻击检测中的常态。

通过传统安全检测设备和全流量分析取证设备的联动,通过对一条流的客户端行为,服务器的行为,以及同一个客户端&服务器端的多条流的行为的验证,能快速准确的分析出是否是一个成功的攻击行为:

图3:启明星辰全流量分析取证设备和检测设备联动

近年来各大安全厂商不停的在SIEM/SOAR上进行能力布局,是类似的分析取证的思路,但此类分析取证还是基于已有的网络安全设备的日志信息等,完整性和准确性上存在一定的不足。而全流分析取证设备上有完整的攻击过程信息,有攻击前和攻击后的客户端/服务器行为,这些都能较容易的帮助安全检测设备快速准确甄别误报信息,真正发挥安全检测设备的快速检测优势和实时的安全响应处置策略。

3:实现基于多种复杂流量组合的攻击过程分析

全流分析取证产品在pcap原始数据、协议元数据、流统计信息等全维度信息的基础上,可以实现在线/实时,离线/批量的安全模型分析,弥补当前网络安全设备检测能力的不足。

图4:启明星辰全流取证方案的多场景安全分析能力

基于全流分析取证产品的完整数据,可以实现由最简单的统计分析,到最复杂的人工智能等多种场景的安全威胁分析,验证攻击是否成功,分析模型是否准确,能良好的解决传统的基于特征、指纹和用户网络行为的攻击检测方式带来的误报和漏报的问题,此种自证能力是全流分析取证产品独特且难以被其他产品取代的优秀能力。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/516812.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

仅用1天,为湖北黄冈中学搭建直播课堂!

一场突如其来的新冠病毒肺炎疫情,让在无数在备考阶段的高三学子陷入苦恼。为了阻断疫情蔓延,减少人员聚集,教育部下发“关于2020年春季延期开学的通知”。距离高考仅剩120多天,虽停课,不能停学。 1天开通直播 助力黄冈…

疫情攻坚战“分秒必争” 宜搭免费开放疫情相关应用

云栖号案例库:【点击查看更多上云案例】 不知道怎么上云?看云栖号案例库,了解不同行业不同发展阶段的上云方案,助力你上云决策! 抗击疫情如救水火,必须与时间赛跑!1月29日,浙江省卫生…

万师傅使用云产品,上手简单、开箱即用、省去运维烦恼

云栖号案例库:【点击查看更多上云案例】 不知道怎么上云?看云栖号案例库,了解不同行业不同发展阶段的上云方案,助力你上云决策! 整体架构 每当我在思考技术选型方案的时候,翻翻阿里云的官网,总…

《2019~2020网络安全态势观察报告》重磅发布!

【导读】过去一年多,各种 APT 攻击事件、勒索挖矿事件,数据泄露事件,漏洞攻击事件仍然不绝于耳。从 ATT&CK 模型框架的兴起到实战化攻防环境的建立,从反序列化漏洞的攻防博弈到 VPN 漏洞的异军突起,从不断“APT”化…

Canal 1.1.5 启动报错:caching_sha2_password Auth failed

文章目录1. 现象2. 分析定位3. 解决方案效果图1. 现象 java.io.IOException: caching_sha2_password Auth failedat com.alibaba.otter.canal.parse.driver.mysql.MysqlConnector.negotiate(MysqlConnector.java:260) ~[canal.parse.driver-1.1.5.jar:na]at com.alibaba.otter.…

MaxCompute2.0 助力众安保险快速成长

摘要:2017云栖大会阿里云大数据计算服务(MaxCompute)专场,众安保险数据总监王超群带来MaxCompute助力众安保险方面的演讲。本文主要从MaxCompute优势开始谈起,进而谈及大数据能够为公司运营带来的好处,最后…

Elasticsearch7.15.2 mysql8.0.26 logstash-input-jdbc 数据全量索引构建

文章目录一、基础软件安装1. 安装mysql2. Elasticsearch7.15.2 安装部署3. kibana 安装部署4. logstash-input-jdbc 安装部署二、数据库准备2.1. 创建数据库2.2. 表结构初始化2.3. 数据初始化三、logstash 配置mysql3.1. 创建目录3.2. 上传mysql驱动3.3. 创建jdbc.conf3.4. 创建…

优酷背后的大数据秘密:资源弹性,可支撑EB级存储

在本文中优酷数据中台的数据技术专家门德亮分享了优酷从Hadoop迁移到阿里云MaxCompute后对业务及平台的价值。 本文内容根据演讲视频以及PPT整理而成。 大家好,我是门德亮,现在在优酷数据中台做数据相关的事情。很荣幸,我正好见证了优酷从没…

Python 本身真的有用吗?CSDN要对Python下手了!

Python 作为一种解释型技术脚本语言,越来越被认可为程序员新时代的风口语言。 无论是刚入门的程序员,还是年薪百万的 BATJ 的技术大牛都无可否认:Python的应用能力是成为一名码农大神的必要项。 而作为Python初学者来讲,最大的问题…

揭秘高德地图如何利用MaxCompute管理海量数据

摘要:随着自媒体的发展,传统媒体面临着巨大的压力和挑战,新华智云运用大数据和人工智能技术,致力于为媒体行业赋能。通过媒体大数据开放平台,将媒体行业全网数据汇总起来,借助平台数据处理能力和算法能力&a…

Elasticsearch7.15.2 mysql8.0.26 logstash-input-jdbc 数据增量索引构建

文章目录一、基础软件安装1. 安装mysql2. Elasticsearch7.15.2 安装部署3. kibana 安装部署4. logstash-input-jdbc 安装部署二、数据库准备2.1. 创建数据库2.2. 表结构初始化2.3. 数据初始化三、logstash 配置mysql3.1. 创建目录3.2. 上传mysql驱动3.3. 创建jdbc.conf3.4. 创建…

为什么说下一个十年的主战场在Serverless?

作者 | 不瞋,阿里云 Serverless 负责人"唯有超越,才能让我们走下去。"这是不瞋在阿里的第十年。从2010 年加入阿里云,不瞋参与了阿里云飞天分布式系统的研发,历任批量计算的架构师、表格存储(NoSQL&#xff…

解密淘宝推荐实战,打造 “比你还懂你” 的个性化APP

如今,推荐系统已经成为各大电商平台的重要流量入口,谁才能够做到比用户更懂用户,谁占据了新零售时代的主动权。手机淘宝的推荐更是淘宝最大的流量入口和最大的成交渠道之一,其背后是最为复杂的业务形态和最复杂的场景技术&#xf…

Elasticsearch7.15.2 基础概念和基础语法

文章目录一、基础概念1. ES是什么?2. 名词定义3. 对应关系4. 索引5. 分词二、基础概念2.1. 索引创建2.2. 索引/文档删除2.3. 索引修改三、ES 查询3.1. 简单查询3.2. 分页查询3.3. 复杂查询四、利用analyze api搜索4.1. 索引创建4.2. 索引查询4.3. 分词结果4.4. 索引…

技术重塑未来工作方式

作者: Nutanix亚太及日本地区高级副总裁兼销售负责人 Matt Young 新冠肺炎被宣布为“大流行病”之后,几乎在一夜之间,业务连续性的概念发生了根本性变化。在此之前,业务连续性通常指的是企业在某一办公地点遭遇像洪灾等恶劣天气或…

Elasticsearch7.15.2 ik中文分词器 定制化分词器之扩展词库(本地)

背景: IK分词提供的两个分词器,并不支持一些新的词汇,有时候也不能满足实际业务需要,这时候,我们可以定义自定义词库来完成目标。 目标: 定制化中文分词器,使得我们的中文分词器支持扩展的词汇 …

多点在线构建Noxmobi全球化精准营销系统

摘要:大数据计算服务(MaxCompute,原名ODPS)是一种快速、完全托管的TB/PB级数据仓库解决方案。MaxCompute向用户提供了完善的数据导入方案以及多种经典的分布式计算模型,能够更快速的解决用户海量数据计算问题,有效降低企业成本&am…

Elasticsearch7.15.2 ik中文分词器 定制化分词器之扩展词库(远程)

IK分词提供的两个分词器,并不支持一些新的词汇,有时候也不能满足实际业务需要,这时候,我们可以定义自定义词库来完成目标。 文章目录一、静态web搭建1. 安装nginx2. 创建es目录3. 创建分词文件4. 存放静态5. 验证二、配置远程分词…

万博智云上云 单机软件升级多并发SaaS平台

云栖号案例库:【点击查看更多上云案例】 不知道怎么上云?看云栖号案例库,了解不同行业不同发展阶段的上云方案,助力你上云决策! 业务痛点 自2016年开发迁移工具主要面向私有云环境,但是随着公有云用户越来…

学会这10大高性能开发技术,轻松躲过裁员名单!

来源 | 编程技术宇宙责编 | Carol封图 | CSDN 下载自视觉中国程序员经常要面临的一个问题就是:如何提高程序性能?这篇文章,我们循序渐进,从内存、磁盘I/O、网络I/O、CPU、缓存、架构、算法等多层次递进,串联起高性能开…