三大终极哲学问题“我是谁?我从哪里来?我要到哪里去?”这个问题谁也没有办法给出标准答案,但网络信息安全的几大问题,有个产品可以给出非常精准的答案。
◆ 攻击者有没有来?
◆ 攻击者是谁?
◆ 来了走没走?
◆ 走了又带走了什么?
◆ 谁(Who)在什么时间(When)、什么地方(Where)、执行了什么操作(What)?
安全圈里关心的这些问题,谁可以给你答案?
NTA(网络流量分析)产品可以!
01 NTA类产品如何发现攻击?
流量有南北向流量,东西向流量,同样攻击也分为外网到内网的攻击,内网横向渗透攻击,而攻击的直接载体就是失陷主机。
◆ 攻击过程:对于攻击者来说,需要做的是 肉鸡制造->保持控制->下发命令。(对肉鸡制造,保持控制,下发命令的详细解释请参见后文专有名词解析)
◆ 失陷主机发现:发现失陷主机是发现攻击,减少损失的关键!
◆ 攻击者有没有来(入站监测)?——网络嗅探或者口令暴力破解,在流量上会有端口分散度,IP分散度异常的流量行为特征。
◆ 攻击者是谁?——对于流量分析设备来说,提取流量中必要的元数据和情报进行碰撞匹配,同时通过流量记录来串接出攻击链路,找到攻击源,是发现攻击者的一个有效手段。
◆ 攻击者走没走?——端口上的回连操作,需要对内网资产(不仅仅是重要的业务系统)的端口使用分布情况,端口服务类型进行持续的监测,形成端口使用基线,只要出现有回连操作行为方式的流量就触发相应的告警。
◆ 攻击者带走了什么(出站监测)?——一般来说,DNS 的53端口是防火墙不会封堵的端口,那么利用DNS Tuning隧道来拖拽窃取到的数据确实是一个不错的选择。对DNS服务器的流量与连接进行持续的监测和可疑字段检测,并记录DNS的所有可疑数据包是目前流量分析设备可以提供的一个有效取证手段。
02 NTA类产品常用场景有哪些?
NTA产品一方面用于流量趋势分析,威胁分析,恶意行为监测,另一方面NTA通过流量梳理与分析,为网络管理者进行网络规划与优化、网络监控等工作提供数据仓库。无论是流量趋势分析还是恶意流量检测,很重要的一点是网络取证能力。
下图为流量分析产品常见的应用场景,同时标注了此场景体现出的流量分析设备的价值点。
上述场景在不同的行业,不同用户处有不同的名称。
在军工行业,非授权的访问被命名为不可信访问,越权访问;
在金融行业,对失陷主机的分析也会称为主机信誉分析(被金融行业用户称为“信誉库”的特征库是一种特殊的威胁情报库)。
有些场景是特定行业特别关注的,比如流量超常,SYN FLOOD,UDP FLOOD等常规DDOS攻击,对攻击源或僵尸机的溯源是运营商用户关注的焦点。
03NTA是什么?网欣科技NTA从哪里来?到哪里去?
NTA,即网络流量分析(Network traffic analysis),通过监控网络流量、连接和对象来识别恶意的行为迹象。打个比方,它就是流量摄影师——痕迹记录者,记录流量的每一刻行为,每一步轨迹。而NTA正是通过监测这些“网络流量,连接,对象 ”来识别绕过了传统边界防护设备的高级攻击。(对网络流量,连接,对象的详细描述请见后文专有名词解析)
网欣科技的NTA产品Leadsec-NBA能够监测完整的网络数据包以及常用的xFlow协议的FLOW数据,利用多种智能模型,从空间维,时间维,特征维来分析流量、连接和对象,来可视化流量现状,梳理访问关系,展示流量随时间变化趋势。利用自适应的基线学习模型来发现异常流量,通过逻辑关联,统计关联技术将内存中的流量数据,存储中的流量记录形成流量的实时审计和历史关联。通过自动化,半自动化的分析机制来梳理网络秩序,同时快速发现,准确定位恶意的行为。
微信平台
扫一扫,进入手机官网 
