前不久,启明星辰重磅发布了网络安全态势观察报告,报告对近年来网络安全的发展态势进行了总结,并对未来的网络安全发展趋势进行了预判。
针对网络安全态势的发展,启明星辰集团合伙人兼副总裁袁智辉用三个词对当前的安全态势进行了简单的概括,即逐利化、体系化、组织化。
所谓逐利化是指目前的网络安全威胁攻击越来越目标具像,无论是勒索病毒还是僵尸木马,其目的性十分明确;体系化是指攻击者的攻击手法会按照攻击链条形成各种攻击武器,形成多个专业分割的体系,譬如有专门挖漏洞的,有专门做攻击载荷的,有专门做木马的,非常有体系化;组织化是指,目前每个安全攻击都不是以一个单点的形式存在,前期可能用很长的时间踩点,随后进行单点突破横向渗透,随后获取关键信息资产并消除痕迹,整体极具组织性,由此一来,检测的重要性尤为凸显。
“取证难”与“溯源难”成为常态
然而报告中有所提及,综合近年来发生的网络安全事故会发现,取证难、溯源难成为常态。无论是Facebook用户信息的泄露,还是知名酒店数据的外泄等事件,都难以对攻击进行有效的追溯分析以及对攻击进行受损评估。
何为有效的分析溯源?不妨给大家举个例子:随着当前网络普及程度的提升,“网络暴力”的出现让很多人为之头疼。很多居心叵测的人会通过录制并发放视频的方式来博取大众的眼球,而这些视频往往会被进行恶意的剪辑,譬如掐头去尾,用以偏概全的方式来抹黑事实,给大众造成譬如“城管打人”“***暴力执法”等不良印象。如果没有完整的视频来阐明事实的真相,那诸如城管打人、***暴力执法就会被大众默认为既定事实。好在现在民警都配有执法记录仪,一旦上述事件发生,民警能够通过完整的执法视频来给大家一个真相。
相类比网络安全世界,诸如此类事件同样在发生。随着大家对网络安全重视程度的不断提升,越来越多的网络安全设备被企业所使用。发现+分析+响应是大家公认的行之有效的网络攻击应对方式,但这些公认的网络安全体系一旦没能奏效,企业业务将面临重大的损失和不良影响。
启明星辰认为,用户在面临网络安全攻击时,往往会遇到以下几点问题:面对海量攻击告警不知如何下手分析;面对可疑攻击不知如何判断攻击的真实性;面对复杂攻击无法获取有效的攻击证据;面对网络被攻破无法判断攻击的影响范围和受害程度;面对数据被盗取无法判断数据损失的严重程度;面对0day漏洞无法判断0day攻击是否已经出现在自己的网络中;面对APT攻击无法确定攻击的隐蔽程度、攻击路径和攻击渠道。
综合来讲,以上这些问题往往是因为证据链不足,导致无法对网络攻击进行行之有效的预判,因此当网络攻击真的发生时,除了进行有效的安全防御外,对网络行为进行取证、分析、回溯也是十分重要的一环,为了满足用户对于网络行为分析取证的需求,启明星辰正式发布了新一代全流量分析取证解决方案——NFT。
网络安全领域的“执法记录仪”
和传统的攻击分析类产品的不同之处在于,启明星辰的全流量分析取证解决方案不仅仅针对攻击行为进行取证,而是对全流量进行取证,无论是否有攻击发生都将进行保存,便于事后进行进一步的取证和线索的跟踪。启明星辰认为,基于网络流量元数据和数据包的采集,进行流行为的安全威胁分析和取证,是未来最重要安全技术之一。相类比来讲,NFT解决方案可以称为网络安全领域的“执法记录仪”。
根据启明星辰高级威胁检测与响应产品线总监倪海洋介绍,本次发布的新一代全流量分析取证解决方案是启明星辰新品和先前成熟的产品相结合。其主要涉及三类产品,分别包括CS、APT、TAR为代表的威胁检测分析产品,以NGFW、IPS、WAF为代表的威胁联动响应产品以及最新发布的全流量分析取证产品NFT,通过对三类产品的部署,能够形成一个完整的闭环,而NFT也是整个解决方案的核心。
倪海洋表示,启明星辰此次发布的新品是网络安全业界第一款全流量分析取证产品,相比传统的网络安全体系来讲,全流分析取证解决方案主要具有以下几点优势:
●网络全流量无损记录:原始网络流量不会说谎。再狡猾的不法分子,只要是通过网络进入攻击目标区域,都会在网络流量上留下痕迹。该方案中的全流量分析取证产品(NFT),通过自研的数据包存储和检索等关键技术,实现了基于单台物理设备上20Gbps的稳定高速抓包能力,可以连续存储长达数月的网络原始流量。
同时该系统拥有完整的网络元数据索引能力,具备目前业界最高的数据检索性能,并支持超高倍速的原始数据包回放,为该方案的威胁取证和数据分析提供了完美的数据基石。
●威胁检测全覆盖:该方案融合了多款威胁检测和分析产品,从已知威胁检测到未知威胁检测,从传统的特征检测到恶意行为检测,融合了精确的威胁情报数据,拥有业界最先进、最全面的检测能力,可以及时发现网络中出现的漏洞攻击、APT攻击、挖矿、僵木蠕攻击等多种威胁行为。
●威胁处理智能化:全流分析取证解决方案将威胁检测、威胁取证分析、威胁响应处置融合在一起,通过检测技术发现威胁,通过取证分析能力确认威胁,通过自动化安全策略阻断威胁,从而实现威胁的智能化闭环处理。
袁智辉表示,启明星辰作为一家以检测技术起家的网络安全公司,其在特征检测层面有着深厚的技术和客户积累。而全流量分析取证解决方案的应用势必会给用户带来更深层次的安全体验,其能够做到全天候的实时安全检测和防护,此外通过高效精准的攻击定位和追溯,能够与串行设备进行实时联动,帮助用户及时阻断攻击行为,防止攻击事态的进一步恶化,从而最大限度的降低客户损失。
写在最后
作为全流量分析取证层面第一个吃螃蟹的企业,启明星辰的全流量分析取证解决方案能够切实解决当前企业所面临的取证、分析、溯源困难的问题。相信在启明星辰的带动下,未来会有越来越多的安全企业加入到全流量分析的行列中,通过全方位、全天候的全流量分析检测,让网络攻击再无匿身之地!