黄网在线观看免_先锋影音欧美在线_97zyz超碰最新总站_国产中文无码日韩

如今，安全團(tuán)隊(duì)意識(shí)到數(shù)據(jù)包監(jiān)控對(duì)網(wǎng)絡(luò)安全的價(jià)值。隨著他們發(fā)現(xiàn)數(shù)據(jù)包監(jiān)控的更多用途，他們打破了后者本身不足的不實(shí)說(shuō)法。

如果您的回答是“真實(shí)”，您可能會(huì)驚訝地發(fā)現(xiàn)，不少企業(yè)已使用基于數(shù)據(jù)包的監(jiān)控來(lái)更好地檢測(cè)、調(diào)查和應(yīng)對(duì)分布在越來(lái)越分散的網(wǎng)絡(luò)基礎(chǔ)設(shè)施中的安全威脅。與安全信息和事件管理（SIEM）以及端點(diǎn)檢測(cè)和響應(yīng)（EDR）工具等其它解決方案相輔相成，基于分析數(shù)據(jù)包的網(wǎng)絡(luò)檢測(cè)和響應(yīng)解決方案（NDR）越來(lái)越多地為安全團(tuán)隊(duì)提供詳細(xì)的網(wǎng)絡(luò)上下文和調(diào)查能力，這些能力已成為滿足現(xiàn)代網(wǎng)絡(luò)安全需求必不可少的。

盡管數(shù)據(jù)包監(jiān)控傳統(tǒng)上用于分析網(wǎng)絡(luò)、管理流量和識(shí)別性能問(wèn)題，但大型企業(yè)發(fā)現(xiàn)，將唯一基于數(shù)據(jù)包的數(shù)據(jù)源用于網(wǎng)絡(luò)和安全用途具有額外的優(yōu)勢(shì)。

本文將特別探討將數(shù)據(jù)包監(jiān)控用于企業(yè)安全的幾個(gè)用例，包括威脅檢測(cè)和調(diào)查、發(fā)現(xiàn)異常、以及為新環(huán)境建立基線，這些用例徹底打破了數(shù)據(jù)包監(jiān)控在當(dāng)今安全團(tuán)隊(duì)中不值得進(jìn)行的錯(cuò)誤思維。

威脅檢測(cè)、發(fā)現(xiàn)異常和回溯性調(diào)查

近年來(lái)，企業(yè)托管環(huán)境變得越來(lái)越復(fù)雜。隨著SaaS環(huán)境中運(yùn)行的自帶設(shè)備（BYOD）和物聯(lián)網(wǎng)（IoT）應(yīng)用程序的快速增長(zhǎng)，監(jiān)控這些互相連接的設(shè)備即使不是不可能，也是令人生畏的。例如，物聯(lián)網(wǎng)設(shè)備不支持EDR代理。惡意軟件還可以在端點(diǎn)設(shè)備上掩蓋其蹤跡，使入侵檢測(cè)更難。但是，經(jīng)過(guò)智能元數(shù)據(jù)增強(qiáng)的網(wǎng)絡(luò)數(shù)據(jù)包分析，為企業(yè)安全團(tuán)隊(duì)提供了一種替代方案，可以通過(guò)基于實(shí)時(shí)網(wǎng)絡(luò)流量產(chǎn)生的見(jiàn)解來(lái)填補(bǔ)這些安全可見(jiàn)性缺口，對(duì)其它解決方案可能會(huì)錯(cuò)過(guò)或忽視的事件提供一定程度的審查。

事實(shí)上，根據(jù)Omdia最近對(duì)企業(yè)中智能使用數(shù)據(jù)包的情況進(jìn)行的一項(xiàng)調(diào)查（assessing-the-role-of-packet-intelligence-in-securing-the-modern-enterprise-network-environment.pdf (informa.com)），發(fā)現(xiàn)不少安全團(tuán)隊(duì)正在使用網(wǎng)絡(luò)數(shù)據(jù)來(lái)支持其它安全解決方案，實(shí)時(shí)威脅檢測(cè)被是過(guò)去12個(gè)月內(nèi)數(shù)據(jù)包監(jiān)控的主要安全用例。通過(guò)將威脅情報(bào)源與跨網(wǎng)絡(luò)環(huán)境的全面安全可見(jiàn)性相結(jié)合，可以在潛在威脅對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施造成損害或敏感信息被泄露之前盡早被發(fā)現(xiàn)。公司還可以利用之前捕獲的數(shù)據(jù)包所派生的網(wǎng)絡(luò)元數(shù)據(jù)進(jìn)行回溯，因此在發(fā)生數(shù)據(jù)泄露或惡意軟件出現(xiàn)的情況下，他們可以追溯到問(wèn)題的源頭。除了威脅調(diào)查和檢測(cè)以外，數(shù)據(jù)包監(jiān)控還有助于驗(yàn)證其它安全設(shè)備是否運(yùn)行正確。例如，基于網(wǎng)絡(luò)檢測(cè)和響應(yīng)解決方案（NDR）可以確認(rèn)網(wǎng)絡(luò)細(xì)分（network micro-segmentation）是否按設(shè)計(jì)執(zhí)行。

圖 1  過(guò)去12個(gè)月內(nèi)數(shù)據(jù)包監(jiān)控的主要安全用例

給新環(huán)境制定基線

自疫情以來(lái)，企業(yè)越來(lái)越多地轉(zhuǎn)向使用云和邊緣進(jìn)行遠(yuǎn)程訪問(wèn)。數(shù)據(jù)包智能可以幫助為這些新環(huán)境制定基準(zhǔn)安全級(jí)別，因?yàn)樗诖蠖鄶?shù)企業(yè)全網(wǎng)還是使用物理數(shù)據(jù)中心的時(shí)代就采用了。在Omdia的調(diào)查中，大多數(shù)企業(yè)要么已經(jīng)在云中捕獲數(shù)據(jù)包數(shù)據(jù)，要么計(jì)劃這樣做。只有15%的受訪企業(yè)沒(méi)有計(jì)劃將數(shù)據(jù)包監(jiān)控用于云安全。

圖 2  大多數(shù)企業(yè)已經(jīng)或計(jì)劃在云中捕獲數(shù)據(jù)包數(shù)據(jù)應(yīng)用于云網(wǎng)絡(luò)安全

數(shù)據(jù)包監(jiān)控應(yīng)用于安全的障礙

Omdia的調(diào)查還提到了數(shù)據(jù)包監(jiān)控應(yīng)用于網(wǎng)絡(luò)安全的主觀性障礙。其中包括不擅長(zhǎng)數(shù)據(jù)包分析的工作人員、無(wú)法擴(kuò)展到高網(wǎng)絡(luò)速率（例如，40Gbps）、較差的分析性能（例如，查詢結(jié)果需要太長(zhǎng)時(shí)間）、操作成本（例如，需要太多的存儲(chǔ)空間和檢測(cè)加密流量的能力）。

圖 3  數(shù)據(jù)包監(jiān)控應(yīng)用于網(wǎng)絡(luò)安全的主觀性障礙

NETSCOUT的安全產(chǎn)品和技術(shù)

三十多年來(lái)，NETSCOUT一直是NPM解決方案供應(yīng)商的翹首。如前所述，NPM的一個(gè)關(guān)鍵組件是深度包檢測(cè)（DPI）。DPI提供數(shù)據(jù)包的連續(xù)可見(jiàn)性，當(dāng)有了這種可見(jiàn)性后，可以為威脅檢測(cè)和取證調(diào)查添加上下文數(shù)據(jù)。在安全方面，NETSCOUT提供了Omnis Cyber Intelligence，這是一種基于可擴(kuò)展的DPI的NDR解決方案，由Omnis CyberStream傳感器提供動(dòng)力。Omnis Cyber Intelligence背后的分析方法被稱為自適應(yīng)服務(wù)智能（ASI）。ASI 是一項(xiàng)NETSCOUT的專利技術(shù)，可以實(shí)時(shí)將原始數(shù)據(jù)包轉(zhuǎn)換為一組強(qiáng)勁的2-7層元數(shù)據(jù)，用于網(wǎng)絡(luò)/應(yīng)用性能分析和網(wǎng)絡(luò)安全場(chǎng)景。重要的是，在2015年7月，NETSCOUT收購(gòu)了業(yè)界著名的DDoS防護(hù)方案提供商Arbor Networks，后者通過(guò)其在全球部署的DDoS防護(hù)產(chǎn)品和服務(wù)，幫助提供精心挑選的威脅情報(bào)（稱為ATLAS intelligence）。ATLAS 威脅情報(bào)與第三方情報(bào)（通過(guò)支持STIX/TAXII）持續(xù)地利用數(shù)百萬(wàn)的IoC去武裝Omnis Cyber Intelligence。

Omnis CyberStream網(wǎng)絡(luò)傳感器最重要的能力之一是，它可以以高達(dá)100Gbps的速度連續(xù)捕獲完整的數(shù)據(jù)包。 這是CyberStream與其他廠商的網(wǎng)絡(luò)傳感器的重大區(qū)別，后者在檢測(cè)到威脅后才開(kāi)始捕獲數(shù)據(jù)包并使用數(shù)據(jù)包切片，或使用其它完整性較差的數(shù)據(jù)（如NetFlow）。CyberStream結(jié)合使用NETSCOUT ASI技術(shù)及索引和壓縮技術(shù)來(lái)創(chuàng)建一個(gè)強(qiáng)勁的2-7層元數(shù)據(jù)集，NETSCOUT稱之為“智能數(shù)據(jù)”。智能數(shù)據(jù)存儲(chǔ)在本地的CyberStream 傳感器上（存儲(chǔ)容量達(dá)數(shù)百TB）。

如前所述，SOC的強(qiáng)大程度與它必須保護(hù)的攻擊面的可見(jiàn)程度大致相關(guān)。這聽(tīng)起來(lái)不錯(cuò)，但一個(gè)簡(jiǎn)單的人為問(wèn)題出現(xiàn)了——互聯(lián)網(wǎng)的保護(hù)通常是由適合不同情境的不同工具實(shí)現(xiàn)的。對(duì)于每個(gè)新加的工具，必須開(kāi)發(fā)API來(lái)鏈接其它工具，通常syslog與批處理數(shù)據(jù)、設(shè)備數(shù)據(jù)和流數(shù)據(jù)不同。使用Omnis Cyber Intelligence的優(yōu)勢(shì)在于，通過(guò)提供對(duì)底層流量的實(shí)時(shí)顆粒度分析，使用者可以無(wú)縫高效地為云流量提供與On-premises的流量相同的流量管理、安全性和監(jiān)控策略，即在云環(huán)境中也具有與傳統(tǒng)數(shù)據(jù)中心相同的功能。

對(duì)于網(wǎng)絡(luò)和安全操作，NETSCOUT的技術(shù)可以將大容量的網(wǎng)絡(luò)流量實(shí)時(shí)轉(zhuǎn)換為高度結(jié)構(gòu)化、多維的元數(shù)據(jù)， 即“智能數(shù)據(jù)”（見(jiàn)圖4）。vSTREAM傳感器為云和虛擬化環(huán)境提供了CyberStream設(shè)備的全部功能。 vSTREAM傳感器可以作為云環(huán)境中的實(shí)例部署，也可以作為hypervisor中的虛擬機(jī)部署。此外，傳感器可以作為公有云的實(shí)例實(shí)現(xiàn)，包括AWS、Azure、GCP和Oracle云基礎(chǔ)設(shè)施。

圖 4  面向企業(yè)網(wǎng)絡(luò)中所有表面可見(jiàn)性的Omnis Cyber Intelligence架構(gòu)

在網(wǎng)絡(luò)環(huán)境中，用戶體驗(yàn)和應(yīng)用安全可能會(huì)發(fā)生沖突。如果沒(méi)有適當(dāng)?shù)慕?jīng)驗(yàn)，日志數(shù)據(jù)和應(yīng)用洞察分析之間的差距很大。隨著DPI提供的強(qiáng)大可見(jiàn)性，網(wǎng)絡(luò)安全設(shè)備可以更多地了解在網(wǎng)絡(luò)上運(yùn)行的實(shí)際應(yīng)用、傳遞的信息以及這些信息是否適合于所使用的協(xié)議和預(yù)期的目的地。這讓信任區(qū)域中流量的重新路由，比早期實(shí)施的隱式“拒絕所有入站”和“允許所有出站”的訪問(wèn)控制，更有效地實(shí)現(xiàn)一個(gè)精細(xì)的零信任策略網(wǎng)絡(luò)。通過(guò)在電信和各個(gè)垂直行業(yè)（醫(yī)療保健提供商、金融科技等）長(zhǎng)期積累的經(jīng)驗(yàn)，NETSCOUT可以快速識(shí)別正在運(yùn)行的應(yīng)用以及每個(gè)會(huì)話中的預(yù)期標(biāo)準(zhǔn)體驗(yàn)值（延遲、路由等）。

NETSCOUT的ASI利用對(duì)網(wǎng)絡(luò)事件的洞察來(lái)揭示網(wǎng)絡(luò)異常和IoC。圖5解釋了ASI技術(shù)提供了什么類型的可見(jiàn)性來(lái)理解正常和異常行為。

圖 5  自適應(yīng)服務(wù)智能（Adaptive Service Intelligence，簡(jiǎn)稱ASI）事件、主機(jī)、會(huì)話與報(bào)文

Omnis Cyber Intelligence 和ASI技術(shù)的技術(shù)組件強(qiáng)調(diào)了NETSCOUT為客戶提供的目標(biāo)。如前所述，使用DPI作為支撐和統(tǒng)一的Omnis Cyber Intelligence平臺(tái)，NETSCOUT提供了一種它稱之為“可視性無(wú)邊界”的能力。DPI 觸發(fā)了“智能檢測(cè)”，對(duì)應(yīng)用中出現(xiàn)的變化進(jìn)行線速分析及提供可見(jiàn)性，增強(qiáng)的數(shù)據(jù)幫助SOC確定要調(diào)查哪些應(yīng)用。在一個(gè)應(yīng)用中，例如域名系統(tǒng)（DNS）會(huì)話，服務(wù)器可能需要更長(zhǎng)的時(shí)間來(lái)響應(yīng)，或者 DNS包的大小已經(jīng)增長(zhǎng)，這都意味著可能的DNS隧道?；?/span>DPI的Omnis Cyber Intelligence可以檢測(cè)到正在發(fā)生的 事情。

NETSCOUT網(wǎng)絡(luò)性能監(jiān)控所產(chǎn)生的協(xié)同效應(yīng)帶來(lái)了一系列的效益，這不僅僅包括威脅檢測(cè)和應(yīng)用保證。重要的能力包括：

? NETSCOUT提供的安全能力是“風(fēng)起于青萍之末，浪成于微瀾之間”。在活動(dòng)變成事件之前，SOC建立 正常的操作監(jiān)控，對(duì)可疑活動(dòng)發(fā)出警報(bào)，然后確認(rèn)事件已被檢測(cè)，告警機(jī)制包括早期預(yù)警和持續(xù)的攻擊 面監(jiān)控。如果確實(shí)發(fā)生了攻擊或疑似攻擊，SOC可以啟動(dòng)接觸者追蹤，并對(duì)2-7層元數(shù)據(jù)或數(shù)據(jù)包進(jìn)行 回溯調(diào)查。

? NETSCOUT促進(jìn)安全和ITOps團(tuán)隊(duì)的整合，并放大他們的協(xié)作效益。安全和ITOps的聯(lián)手以幾種不同的方式表現(xiàn)。網(wǎng)絡(luò)本身在滿負(fù)荷前運(yùn)行得最好。如果應(yīng)用很慢或者用戶體驗(yàn)很差，通常需要某種類型的負(fù)載平衡。如果安全設(shè)備的容量達(dá)到最大，它們要么丟包，要么允許不受監(jiān)控的活動(dòng)進(jìn)入?？捎^察性和持續(xù)性監(jiān)控不是同一件事，但肯定是親兄弟。實(shí)施關(guān)鍵性能指標(biāo)（KPI）對(duì)網(wǎng)絡(luò)和安全性都有好處。

? NETSCOUT可以啟動(dòng)智能緩解。Omnis Cyber Intelligence評(píng)估安全態(tài)勢(shì)，通過(guò)與領(lǐng)先的SIEM、SOAR和 NGFW平臺(tái)的集成有助于安全團(tuán)隊(duì)的銜接，并阻止對(duì)手的下一步行動(dòng)。Omnis Cyber Intelligence還可以通 過(guò)Omnis Arbor Edge Defense（AED）防御解決方案在網(wǎng)絡(luò)邊緣支配緩解措施，以阻止入站和出站威脅。Omnis Cyber Intelligence旨在這些安全棧中發(fā)揮作用，包括將NETSCOUT智能數(shù)據(jù)導(dǎo)出到第三方數(shù)據(jù)湖的能力，讓安全分析師能結(jié)合其他安全數(shù)據(jù)集來(lái)豐富信息，進(jìn)行自定義分析。

? NETSCOUT 幫助未來(lái)的網(wǎng)絡(luò)驗(yàn)證。不斷變化的、嶄新的環(huán)境在我們眼前誕生——擁有專有操作系統(tǒng)的IoT/OT場(chǎng)景、5G網(wǎng)絡(luò)和元宇宙。在這些環(huán)境中，網(wǎng)絡(luò)的原基礎(chǔ)變得更加重要。NETSCOUT平臺(tái)隨著網(wǎng)絡(luò)的發(fā)展一起發(fā)展。

粉碎不實(shí)說(shuō)法

總而言之，數(shù)據(jù)包監(jiān)控是詳細(xì)、準(zhǔn)確并且與設(shè)備不相關(guān)，因此對(duì)于尋求網(wǎng)絡(luò)安全解決方案，可以跨設(shè)備并可在內(nèi)部和外部環(huán)境中使用的IT團(tuán)隊(duì)，非常適合。

網(wǎng)絡(luò)完全在物理數(shù)據(jù)中心運(yùn)作的日子已經(jīng)一去不復(fù)返了。隨著遠(yuǎn)程/混合工作模式和云應(yīng)用程序的持續(xù)發(fā)展，安全團(tuán)隊(duì)需要一個(gè)基于數(shù)據(jù)包的NDR解決方案，可以無(wú)縫地跨環(huán)境運(yùn)行，并提供網(wǎng)絡(luò)安全維護(hù)所需的具體信息。在過(guò)去，數(shù)據(jù)包監(jiān)控的確主要應(yīng)用于故障排除目的，但今天的安全團(tuán)隊(duì)已意識(shí)到了使用數(shù)據(jù)包監(jiān)控進(jìn)行網(wǎng)絡(luò)防御的價(jià)值，減輕攻擊即將帶來(lái)傷害的嚴(yán)重性。隨著企業(yè)在疫情后繼續(xù)探索新的網(wǎng)絡(luò)環(huán)境，并為數(shù)據(jù)包監(jiān)控找到更多的安全用途，他們將繼續(xù)打破數(shù)據(jù)包監(jiān)控?zé)o法獨(dú)立提供安全的不實(shí)說(shuō)法。