數(shù)據(jù)包不會(huì)撒謊:怎樣暴露出網(wǎng)絡(luò)攻擊的DNA

責(zé)任編輯:editor005

作者:nana

2017-10-26 14:12:35

摘自:安全牛

成功處理攻擊,意味著能夠快速了解攻擊發(fā)生時(shí)間和方法,知道讓攻擊者得以溜進(jìn)公司系統(tǒng)的漏洞,以及有哪些數(shù)據(jù)和系統(tǒng)可能遭到了泄露或破壞。在與客戶(hù)溝通的時(shí)候,這是一個(gè)有力的信息子集,對(duì)打造更健壯的安全也有助力。

網(wǎng)絡(luò)攻擊事件中,快速準(zhǔn)確地量化事件影響是最重要的。正如近期數(shù)起高調(diào)數(shù)據(jù)泄露事件所展現(xiàn)的,無(wú)法快速準(zhǔn)確地理解并溝通網(wǎng)絡(luò)攻擊事件,可對(duì)客戶(hù)信任和品牌忠誠(chéng)度造成災(zāi)難性影響,并最終影響到盈利。

在網(wǎng)絡(luò)犯罪愈趨盛行的今天,后見(jiàn)之明真的是很棒的東西,或許也是公司最有力的武器。調(diào)查網(wǎng)絡(luò)攻擊事件時(shí),信息安全分析師通常需要從各種源收集數(shù)據(jù)來(lái)重建事件,包括日志文件、高層網(wǎng)絡(luò)流量(NetFlow)和多個(gè)不同的安全監(jiān)視工具??梢韵胂?,這會(huì)是個(gè)慢到令人抓狂,而且經(jīng)常會(huì)毫無(wú)效果的過(guò)程。于是,企業(yè)往往就會(huì)積壓起大量未解析事件,持續(xù)形成未知威脅。

成功處理攻擊,意味著能夠快速了解攻擊發(fā)生時(shí)間和方法,知道讓攻擊者得以溜進(jìn)公司系統(tǒng)的漏洞,以及有哪些數(shù)據(jù)和系統(tǒng)可能遭到了泄露或破壞。

沒(méi)有這種程度的網(wǎng)絡(luò)可見(jiàn)性,公司企業(yè)幾乎沒(méi)有機(jī)會(huì)可以恰當(dāng)響應(yīng)攻擊,或者預(yù)防將來(lái)的攻擊。這也正是網(wǎng)絡(luò)原始數(shù)據(jù)記錄入場(chǎng)的原因所在:但原始數(shù)據(jù)記錄到底涉及到哪些東西?又能如何幫助全球公司企業(yè)呢?

評(píng)估你的網(wǎng)絡(luò)流量

基礎(chǔ)設(shè)施中各種組件之間的通信,比如說(shuō),服務(wù)器、桌面系統(tǒng)、筆記本電腦、移動(dòng)設(shè)備之間,被作為網(wǎng)絡(luò)“數(shù)據(jù)包”流加以捕捉。這些數(shù)據(jù)包含有各種原始信息,比如流量來(lái)源、目的流向、被傳輸?shù)?ldquo;載荷”——實(shí)際數(shù)據(jù),等等。

數(shù)據(jù)包相當(dāng)于“真相唯一來(lái)源”,其好處有二:

獲得原始數(shù)據(jù)全面信息來(lái)源以進(jìn)行網(wǎng)絡(luò)安全事件調(diào)查;

從性能角度審查數(shù)據(jù),鎖定并解決可能影響性能的問(wèn)題。

兩個(gè)典型應(yīng)用場(chǎng)景如下:

場(chǎng)景1:已被入侵,是時(shí)候警告客戶(hù)數(shù)據(jù)安全遭破壞的事實(shí)了。

從好的方面看,有1個(gè)月的原始網(wǎng)絡(luò)數(shù)據(jù)可供分析,你就可以更具體地描述問(wèn)題,而不是干巴巴地說(shuō)一句:“我們被入侵了,客戶(hù)請(qǐng)小心!”你可以找出事件的準(zhǔn)確發(fā)生時(shí)間,攻擊者對(duì)網(wǎng)絡(luò)的侵入程度;還可以確定入侵前攻擊者有沒(méi)有做過(guò)什么“偵察”行動(dòng),具體有什么數(shù)據(jù)被盜,數(shù)據(jù)被滲漏的方式和位置等等。

在與客戶(hù)溝通的時(shí)候,這是一個(gè)有力的信息子集,對(duì)打造更健壯的安全也有助力。

場(chǎng)景2:你的網(wǎng)絡(luò)發(fā)生嚴(yán)重性能故障,甚至影響到為客戶(hù)提供服務(wù)。

如果問(wèn)題沒(méi)有出在你的ISP身上,那很可能也不是你網(wǎng)絡(luò)的問(wèn)題。通過(guò)分析數(shù)據(jù)包,公司企業(yè)通常可以快速確定并修復(fù)常見(jiàn)性能問(wèn)題。比如應(yīng)用與給定數(shù)據(jù)庫(kù)的互操作方式問(wèn)題等。

集成是關(guān)鍵

公司擁有數(shù)個(gè)安全解決方案,往往造成難以獲得網(wǎng)絡(luò)上威脅及活動(dòng)的統(tǒng)一連貫視圖。這表明我們需要更好的集成。

集成過(guò)程未必很復(fù)雜,也未必涉及新基礎(chǔ)設(shè)施的部署實(shí)現(xiàn)。通過(guò)在現(xiàn)有工具中集成進(jìn)網(wǎng)絡(luò)記錄功能,分析師們可以直接從這些工具的警報(bào),轉(zhuǎn)向檢查底層數(shù)據(jù)包級(jí)網(wǎng)絡(luò)歷史,看清網(wǎng)絡(luò)發(fā)生過(guò)的具體事務(wù)。這能精簡(jiǎn)平滑調(diào)查,幫助分析師去除誤報(bào),更快地識(shí)別、排序并響應(yīng)真正的威脅。

在與網(wǎng)絡(luò)犯罪的對(duì)抗,和以頂級(jí)表現(xiàn)贏取市場(chǎng)份額的競(jìng)爭(zhēng)中,公司企業(yè)不需要重新發(fā)明輪子,也無(wú)需成為網(wǎng)絡(luò)DNA測(cè)序?qū)<?。只要有包含了?dāng)下很多數(shù)據(jù)泄露和性能問(wèn)題答案的原始數(shù)據(jù),公司企業(yè)便在快速利用后見(jiàn)之明上具有巨大優(yōu)勢(shì),也能更快修復(fù)安全漏洞和性能問(wèn)題。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)