流量分析工具 redis(流量分析工具来源)

流量分析工具 redis(流量分析工具来源)

数世咨询分析师:星云

XDR是这两年来安全行业的热词。事实上,将XDR拆分来看,也代表了网络安全发展的两个方向。

首先是“X”,代表着“Extended”——安全需要扩展。前几年火热的“EDR”已经不足以构筑安全的防线了——仅靠端点上的防御是无法真正掌握自身的安全态势的。安全需要扩展,这并非是增加单独的安全能力,而是需要能够相互联系,才能实现真正意义上的“扩展”。

其次是“DR”,代表着“Detection and Response”——安全不仅仅需要检测,也需要响应。传统的安全理念是对攻击进行各种堵截,但是显然随着攻击的变化越来越快,将所有攻击完全提前摸透并进行防御,几乎是不现实的。因此,企业更需要的是能够当攻击发生时及时知晓,并且能够采取适当的行动进行响应。

这就是当下安全发展的一个趋势:需要不同安全能力之间配合,形成检测与响应的防御体系。因此,在在基于端点安全能力的EDR建设之上,基于流量的NDR也会越来越受到关注。

NTA的局限性

基于流量的安全能力始终都受到关注。安全研究人员一直都明白在万物互联时代,流量的重要性。NTA的出现代表了安全行业对流量的重视。

然而,NTA,正如其名“Network Traffic Analysis”——网络流量分析,其主要能力在于对流量进行分析。Gartner对NTA的定义是“运用机器学习、高级分析和规则检测等多种技术对企业网络中的可疑行为进行检测”。但是,NTA的出发点依然是就流量进行检测,使用的能力还是局限在对流量的分析上;同时尽管Gartner认为NTA需要能够运用机器学习和高级分析的技术,但是在实现阶段,受限于当时的技术能力,还是以规则匹配为主,导致NTA本身在检测和分析层面的能力同样不理想。

企业对于流量的分析,目的是要能够识别真正会对自身环境产生影响的威胁——而不仅仅是可疑行为。NTA的检测结果往往会产生大量的告警——任何可疑行为引起注意,安全人员则会被淹没在海量的告警之中,无法精确发现真正需要解决的问题——那些已经对攻击成功的事件。

另一方面,即使NTA能够识别企业环境中的可疑行为,然后呢?

对于企业而言,发现问题只是第一步,还需要解决问题。NTA在这一方面显然还不够完善。这时,NDR就应运而生——NDR不仅仅是为了呼应EDR的另一个“DR”,NDR本身也是基于企业“不止检测,也要响应”的安全需求而出现的。

基于流量的安全的一大步

从单纯的分析到有能力进行响应,是基于流量的安全的一大步。从当前来看,响应手段确实非常有限,除了阻断、隔离之外并没有太多其他有效的措施,但是在具体操作时,“如何合理地阻断”则是一个至关重要的问题。安全是需要保障业务运行的,如果为了安全使得业务无法运作,就本末倒置。从检测到响应的跨度,是需要在检测可疑行为的基础上,能够将流量的可疑情况与业务相关联,更进一步了解流量与业务的关系,明确可疑行为可能产生的后果,并且提出合适的阻断策略,从而引导相关安全人员做出正确的决策。

除了增加了响应能力,NDR的检测能力相对NTA也有极大的改变。除了规则匹配能力,NDR的检测能力还融合了机器学习、威胁情报等多维度的能力。

先看一下EDR的局限性:

  • 成本高:EDR需要部署在被保护的端点上,而随着企业IT环境规模增大,端点数量增多,成本也会大幅度提升。
  • 影响业务:EDR需要直接部署在端点上的另一个问题,在于EDR的存在可能会影响业务的性能。对于业务敏感性高的组织,承载业务能力的端点又恰恰是最需要保护的对象,但是EDR的存在又可能反而影响业务的性能,这就成了另一个安全与业务的矛盾点。
  • 易被绕过:因为EDR会在端点存在一定的对抗能力,反而容易被攻击者针对,通过主动对抗的方式对EDR进行逆向,摸清EDR的检测规则进行绕过。同时,现有的EDR多以hook技术为主,容易被攻击者采取针对性的方式进行绕过。
  • 还原局限性:由于EDR能采集的信息局限在端点,很难从整体环境对整个安全事件进行还原。只能在端点侧进行还原,无法对整个威胁的流动进行还原。

而NDR恰恰在这几个问题上有自己的优势:

  • 成本低:NDR部署在环境的流量出入口处,能够获取整个环境对外的交互情况,但是由于部署的位置较少,在作用于同等大小的网络环境时,NDR的成本会远低于EDR。如果从企业整体的安全投入收益角度来看,NDR的建设优先级高于EDR。
  • 业务零影响:NDR在流量出入口旁路部署,对业务几乎无影响。
  • 静默无感知:旁路部署不仅仅对业务的影响小,同时处于静默状态,对攻击者而言也是透明的,使得攻击者更难针对性攻击。同时,处于静默状态的NDR不直接进行对抗,攻击者无法通过测试攻击来掌握NDR的运行模式,从而对防御进行绕过。
  • 更完整的威胁分析:由于NDR能够对整个南北流量进行分析,可以对整个攻击“路径”进行更完善的复现,了解攻击如何从外部进入,而不是只是在端点对攻击的“结果”进行重演。

从NTA到NDR,不仅仅是检测能力的提升与响应能力的增加,同时也是作为一项产品的全方面完善,将基于流量的安全能力更上一层楼。

NDR实践之下的挑战

尽管从NTA到NDR,对于企业而言,基于流量的安全能力有了极大的提升,但是NDR依然存在一些挑战。

当前我国的网络安全建设有两大驱动力,分别是合规驱动,以及事件驱动。以EDR为例,EDR作为领先的终端防护能力,得益于合规中对终端防护的要求,在市场上有很大的影响力。另一方面,在EDR本身能力上,能够对端点上发生的事件进行分析,实现一定的未知威胁检测与防护能力;同时,对事件的进一步调查,可以达成溯源取证的效果。因此,EDR又能满足基于攻防演练的“事件驱动”需求。

反观NDR,在当前的合规要求下,相比于端点侧,对于流量侧的规范并不完善,企业对于基于流量的安全产品受合规的驱动力较小。而在演练场景下,当前NDR的实践用例较少,企业对NDR的能力依然存在一定疑虑,也成为了NDR之后市场发展的挑战。

另一方面,在实际检测中,NDR也会在特定的使用场景中出现部分检测盲区:首先,随着加密流量越来越多,NDR也需要增强自身对流量解密的能力,如果解密能力跟不上,检出率会大打折扣;其次,由于成本原因,企业在使用NDR时往往只部署在核心交换机处,虽然能够掌握企业的南北向流量,但是不经过核心交换机、处于单个网络区域内的东西向流量无法被NDR监听,因此成为检测与响应的盲区。

对于NDR市场驱动力的挑战与解决方案的局限性,微步在线有自己的底气。

首先,有NDR需求的企业客户会在一些节点做流量的解密,以共NDR产品实现更完善的检测和响应,同时微步TDP自身也具备比较好的流量解密能力,因此在加密流量日渐增加的当下,TDP仍旧能够检出流量中潜藏的威胁。

其次,用威胁情报强化自身的检测能力,作为国内顶尖的威胁情报厂商,微步在线本身拥有丰富的威胁信息库,对大量的攻击来源、攻击工具特征、最新漏洞利用等信息,从而能够通过NDR,基于流量进行攻击者画像,在风险流量深入环境前采取措施,在南北向流量和不同核心交换机之间的东西流量中,只要TDP能覆盖就可以做到较好的检测响应。

最后,针对潜伏在单个网络区域中的攻击者,微步在线能够用自身免费的闭源蜜罐HFish和TDP打通,从而对单个网络区域内的横向移动行为进行检测。

“我们认为企业中发生的网络攻击在技术水平上符合二八定律,客户遇到的80%的攻击,技术水平都是中等偏下,这类攻击TDP很容易检出,而剩下20%就属于具有针对性的APT攻击,在检测这些攻击时,我们会依靠机器学习、模型和威胁情报技术去进行检出,尤其我们情报的技术相比是最成熟的,所以我们在这20%方面也很有信心。”赵林林说。

流量上的攻防

对于防护产品而言,最重要的还是安全防护的效果。海量的告警相当于没有告警,过高的误报率会导致安全人员无法对真正的威胁进行追踪;而攻击者也正在越来越多通过0day漏洞等手段,直接绕过防御,产生漏报。

对安全团队而言,能够准确判定攻击是否已经成功是非常重要的信息,这样能让安全人员将精力放在真正值得关注的安全事件上,从而有效提升自身的响应能力。因此,安全产品的效果,需要通过实战的考验,才能证明。

为了验证NDR的能力,今年二月,微步在线就用自己的NDR产品威胁检测平台TDP向白帽子们发起了一次流量上的攻防挑战——以为期两周的线上众测模式,检验参赛选手能否成功绕过自己的NDR产品,进行得分。在这次比赛中,微步在线放弃了NDR的静默优势,会将测试结果反馈给参赛选手,并允许参赛选手反复提交测试流量——这就相当于将NDR直接与参赛选手进行了对抗。在这样的情况下,TDP的检出率从第一周的98%,降到了第二周的93.7%。除了参赛选手能够通过测试反馈针对性进行攻击测试之外,还有大量的参赛选手使用0day漏洞进行攻击测试;TDP对0day漏洞的检出率在比赛过程中达到了50%。

仅靠非静默状态下的NDR就能做到对0day漏洞50%的检出率,已经是一个不错的结果了,但同样意味着安全能力依然有提升的需要。在比赛结束后,微步在线针对绕过的0day漏洞对TDP进行了进一步的改进,检出率提升到了98%。

没有攻防的效果,就无法检验安全能力的价值。但是攻防技术又是反复演进的过程,只有不停通过实际的攻防实践,发现自身产品的不足,才能持续输出客户需要的安全能力。这一次基于流量的对决,不仅仅是为了显示微步在线NDR产品的能力,同时可以视为一次针对安全产品的众测活动——只有能够通过不同情况测试的安全产品,才是好的安全产品。赵林林透露,微步在线今后会举行更多的众测活动,可能是新产品的众测,也可能是将本次挑战赛常规化、周期性举办。

网络安全的重心已经逐渐侧向了检测与响应的能力,在端点的检测与响应之后,流量侧的检测与响应也应当被重视。随着NDR技术的越来越成熟,检测效果越来越显著,安全的下一个流量时代或许即将来临。

本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 sumchina520@foxmail.com 举报,一经查实,本站将立刻删除。
如若转载,请注明出处:https://www.sumedu.com/faq/208580.html