演練是維護網絡空間安全的綢繆之舉,通過對抗、復盤和研討,總結經驗教訓,對提升網絡安全保障整體能力和水平具有重要意義。這是有目的、有計劃、有組織的網絡安全對抗演練,是一場攻防雙方同時具備高水平的“神仙打架”。

斬斷“達摩克利斯之劍”

當傳統的安防手段遇到非常的攻擊手法時,便形成了“不知己,不知彼”的尷尬局面。雙方在信息和投入不對稱的情況下,盡管防御者堆砌再多的安全設備,卻更像是在告訴對方“我這里是槍口”,而無法告訴自己“誰在攻擊哪里”。這種無法感知的威脅猶如一柄“達摩克里斯之劍”,看似和平、安寧的背后卻時刻存在著不安與危險。

在暗流涌動的網絡攻防當中,流量記錄著一切,這是讓防御者變被動為主動的關鍵因素。高級的攻擊往往只產生極少極難捕捉的流量,然而,再高級的攻擊都會留下網絡痕跡。在對全流量的采集與保存的同時,要具備對全流量的駕馭能力,即全協議解析、全行為建模,做到對網絡行為的追溯甚至攔截,讓防御者知己更知彼。

演練期間的針對性安全防護比日常防護更為艱巨。全流量分析如同網絡中的攝像頭,進行實時監測、實時全量記錄,不但能夠敏銳地發現攻方的第一個動作,在演練全程中能夠對未知威脅做到第一時間發現,第一時間響應,讓防守方看的清、看的全、看的準。

實例——

某大型金融機構在互聯網邊界及各安全區域,特別是與第三方外連區域增加部署多臺科來流量分析設備。在演練期間,通過全天候全方位識別網絡流量數據,與威脅情報、行為模型進行匹配,發現未知威脅、木馬通訊、隱蔽信道等異常行為。防守人員通過對流量數據的采集、分析、展現、評估、溯源取證形成完整閉環,從而發現安全弱點和盲點,共定位溯源近2000起攻擊,明確黑客身份數名,最終取得了防守方最優成績。

零信任下的全覆蓋

有別于演練,日常的安全防護是一個系統工程。在零信任的網絡安全理念下,流量分析是幫助企業打贏這場“持久攻防”的重要手段。零信任安全理念要求“不應該信任網絡內部和外部的任何人/設備/系統”,科來全流量回溯分析能夠在零信任的安全架構下,做到全方位采集、全流量分析,對任何設備或系統實現安全監測無死角;同時,基于全流量回溯分析技術,科來產品可針對用戶的合理性固定行為和不可控隨機行為部署不同規則,通過持續的監控和動態的分析保障網絡安全性,幫助企業在零信任下構建自適應網絡安全架構。

開放進取,合作共贏

全流量采集與分析技術,是一項高投入、見效慢的基礎性研究,需要大量人力、物力和財力的投入,然而投入產出比又相對較低。科來自2003年起,已經對此項技術進行了十六年持續不斷的投入與技術積淀,掌握了大量的知識和技術儲備。科來秉承開放、進取的心態,將全流量數據標準化、開放化,通過配置自定義的方式,與各廠商進行數據、產品、能力的疊加,實現用戶與能力者之間的合作共贏。

真正優秀的廠商不止是數據的運營方,還是數據價值的提供方。僅僅得到數據沒有任何意義,只有充分利用和挖掘數據背后的價值才能贏得未來。得流量者,得數據;知數據者,得價值;用價值者,贏天下。

結語

全流量回溯分析在演練中的應用僅是冰山一角,在當今網絡軍火民用化、網絡攻擊組織化的大背景下,全流量回溯分析能夠幫助企業全面感知未知威脅,做到第一時間發現、第一時間響應,實現安全監測無死角,抵御更加嚴峻的挑戰。同時,科來也將繼續深耕網絡流量分析技術,更好地發揮數據價值、疊加廠商能力、完善數據服務,在網絡安全領域貢獻更大的力量。