首頁 > 關于我們 > 新聞動態 > 產品動態

看,NTA(網絡流量分析)產品如何演化、創新、固安全!

發布時間 2018-05-31

近年來,安全威脅形勢愈加嚴峻,網絡安全事件層出不窮:直接影響了美國政治選舉的希拉里郵件泄露事件,導致大學生徐玉玉付出了生命代價的高校信息泄露事件,讓孟加拉銀行損失8100萬美元的黑客入侵事件,國際原子能屬披露的德國核電站遭受到的擾亂性網絡攻擊等等,網絡安全受到了前所未有的關注。
 
作為網絡安全從業者,隨著黑客攻擊逐漸產業化、服務化和普及化,我們的防御機制也在向體系化、智能化邁進,威脅情報、態勢感知、行為分析、追溯取證成為了新的解決手段。

然而,16年8月份的黑客組織“影子經濟人”盜取NSA大量黑客工具和漏洞利用包事件,后被專家證實,這些在網上被公開售賣的攻擊工具,可成功突破國內外一流安全廠商的防火墻,也就是說,我們投入巨大的安全防御體系面臨著重大威脅。
 
在這種情況下,我們迫切需要知道這些問題的答案:”攻擊者有沒有來?來了走沒走?走了又帶走了什么信息?”更進一步的問題是:攻擊者具體什么時間進入我們的網絡?采用什么手段收集網內信息?是否已進入漏洞挖掘階段?是否已成功利用漏洞?有沒有進行權限提升?而能夠提供這些問題答案的全流量分析產品在安全業界也隨即被重視起來。
 
2017年6月份,網絡流量分析NTA技術入選了Gartner《2017年11大頂尖信息安全技術》。這個國際知名的權威咨詢機構是這樣解讀NTA技術的:NTA解決方案通過監控網絡流量、連接和對象來識別惡意的行為跡象。對于那些試圖通過基于網絡的方式去識別繞過邊界安全的高級攻擊的企業而言,應該考慮使用NTA技術來幫助識別、管理和分類這些事件,作出輔助決策??梢钥闯?在新的安全形勢下,流量分析技術在威脅分析,惡意行為監測上的作用進一步的強化了?,F有的安全防護措施屢屢失效,人們迫切需要在常見的網絡三劍客——IPS+IDS+防火墻——的基礎上做進一步補充,而根據“只要有攻擊就會有流量產生”這樣的樸素道理,幾者結合后極大地提升了防御能力。
 
第一代:側重異常流量檢測的NTA
 
在以往的NTA類產品價值介紹中,我們??吹降氖沁@樣的說明:網絡流量分析有助于網絡管理者進行網絡規劃、網絡優化、網絡監控、流量趨勢分析等工作。啟明星辰在2012年推出的NTA側重于互聯網出口的異常流量檢測、網絡流量分布分析,此產品具有面向企業網用戶和運營商行業的多個型號。
 
第二代:側重內網合規審計的NTA
 
近年來,內網威脅問題呈現井噴之勢,為解決攻擊橫向擴散問題,啟明星辰通過多個項目總結與產品融合,在2013年推出了第二代NTA產品(TSOC-NBA網絡行為分析),側重于內網的合規流量審計,基于黑白灰名單的方式來解決內網秩序問題。

 

第三代:融合外網檢測與內網合規,同時兼具追溯取證的NTA
 
以高級持續性威脅(APT)為代表的新型攻擊手段漸漸興起后,對流量分析產品提出了新的要求,既要在網絡層面實時、近實時的呈現網絡流量,又要在受攻擊后(數天/數周)進行網絡入侵取證。同時隨著云計算,大數據等新技術的出現,單位存儲和單位計算的成本越來越低,使得采用更大的樣本空間,更智能的分析算法的技術在安全產品中得以實際應用,那么”需要采集原始流量,FLOW流信息,應用協議元數據,持續監測網絡連接對象,分析異常流量,追溯可疑行為,聯動威脅情報應對高級威脅”,就成為了當前NTA類產品演進的一個重要方向。NTA技術的采集,存儲,分析,挖掘,可視化能力也成為了企業感知網絡安全事件,應對信息安全挑戰的一個可靠選擇。
 

 


正是在這樣的歷史機遇下,啟明星辰的TSOC-NBA再次進行了產品的變革,在2017年11月推出了第三代NTA,同時也是國內第一款集流量可視化與追溯取證功能于一身的大數據架構全流量分析產品。
 


安全領域持續分化,不斷融合,安全領域已細分為十幾個大類信息,五十幾個小類,在2016年安全牛統計分析的安全全景圖中,網絡流量分析類被歸到網絡空間安全大類中。在2017,2018年的安全全景圖中被歸類到安全智能類中,所以說,NTA流量分析產品仍在不斷進行產品演化,來應對新的應用場景,解決新的安全問題。

 

啟明星辰一直密切關注國際上同類產品的發展與迭代,并對Gartner分析報告中說明的“SIEM(SOC)類產品為什么需要流分析?將流量數據和日志數據集成后會給SIEM帶來哪些突破?”等問題進行了長期的討論與實際場景驗證,從而確認:

 

◆加入流分析后,可以拓寬數據源頭,可以加強威脅檢測和修正能力;
◆加入流分析后,可以通過包捕捉加強網絡取證能力;
◆加入流分析后,可以縮短平均響應時間;


同時集成了流量信息的SIEM在以下場景的功能會有很大的提升:


◆有網絡可見性要求的場景;
◆檢測沒有特征的攻擊;
◆上下文感知;
◆態勢感知;
 
就在前不久,啟明星辰在某用戶內網中,通過部署的NTA和SIEM產品,發現了挖礦病毒新變種MsraMiner,通過調查分析,追蹤到了此變種挖礦病毒在用戶內網主機的感染、傳播全過程。文章鏈接:挖礦病毒新變種MsraMiner讓企業內網淪陷為“礦場”??!
 
正是在這樣的理念下,在多個項目的聯動方案實踐中,網絡流量分析產品和態勢感知,SOC(SIEM)產品的技術架構不斷融合,成為了態勢感知產品的流量態勢引擎。通過流量分析產品與態勢感知產品的無縫結合,在流量態勢上增強全天候全方位態勢感知能力,真正做到了1+1>2。2017年,作為中國首個進入GartnerSIEM魔力象限的安全管理平臺(TSOC-USM),TSOC-NBA作為其重要組件也被寫入了SIEM魔力象限報告中。

上一篇 下一篇