多年来,安全专家一直在争论究竟是外部人员还是内部人员带来更大的风险。如今,这种辩论已经没有实际意义:因为网络界限已经模糊化,威胁正无处不在。
例如,内部人员可能在家里办公或远程办公;员工可能需要利用BYOD;业务合作伙伴和销售人员经常需要访问云中关键任务服务。现在企业比以往任何时候都更难了解在给定的时间内谁在网络上,以及有多少设备在访问服务、系统和数据。企业正在逐渐失去对网络的控制,而攻击者则在研究这些新技术,并利用它们来绕过传统防御。
为了克服这些安全隐患,并获得更好的可视性来确定谁在使用网络,安全专家纷纷转向网络流量分析来提高网络安全的可视性。
网络安全可视性超越传统防御的范围
上面提到的情况强调了企业应该超越传统安全技术的范围,实时研究更大环境的安全性。企业不应该在攻击发生后才阻止攻击,而是在攻击发生时检测攻击,观察网络流量能够为企业提供更好的网络可视性和对恶意事件更快的检测。网络流量是分析IP、TCP、UDP以及与信息源、目标端口和IP地址相关的其他header信息。这种网络流量分析工作需要网络安全管理人员进行战略性的转变,构建对整个网络基础设施的全面视角。
然而,这种转变受到人员和技术的制约。在人员方面,大多数企业已经被迫转变为少花钱多办事。设计安全系统架构、抵御高级攻击以及识别和缓解入侵等工作要求熟练的安全工作人员,而很多企业找不到或者负担不起这种人才。与此同时,安全企业通常严重依赖于数据泄露防护(DLP)和企业权限管理(ERM)等产品来检测安全违规情况。虽然这些技术能够发挥一定作用,但它们并不是万能的,企业需要采取一种新的方法。
网络流量分析:三管齐下
强调网络流量分析的新计划:检测、精炼和分析数据流三管齐下。它利用多个内部和外部信息来源,并实时处理数据来检测威胁。这里关键是使用已经部署的可用的现有网络基础设施。
流量分析对网络中流量的移动情况提供了一个不同的视角。它能够分析在给定的度量内一个事件的发生频率。例如,在周末的凌晨至凌晨2点,包含加密.zip文件的流量离开网络并发往亚洲的频率?通过流量分析工具,安全专家可以近乎实时查看这种类型的用户活动。
