隨著惡意軟件變得越來越狡猾，甚至能夠躲避基于特征的反病毒軟件和入侵防護(hù)系統(tǒng)的檢查，一些企業(yè)開始利用網(wǎng)絡(luò)捕獲和分析工具檢測(cè)異常網(wǎng)絡(luò)行為，并在發(fā)生安全威脅時(shí)做出響應(yīng)。網(wǎng)絡(luò)監(jiān)控和安全威脅分析解決方案供應(yīng)商N(yùn)etWitness就是一家提供此類產(chǎn)品的公司，正與網(wǎng)絡(luò)監(jiān)控設(shè)備提供商Solera Networks、網(wǎng)絡(luò)安全軟件廠商Check Point Software Technologies和高速數(shù)據(jù)包捕獲解決方案供應(yīng)商Endace在網(wǎng)絡(luò)取證市場(chǎng)展開角逐。NetWitness的產(chǎn)品可以捕獲和存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)包，并對(duì)其進(jìn)行實(shí)時(shí)分析和檢測(cè)。最近，NetWitness的首席安全官Eddie Schwartz接受了我們的采訪。Schwartz認(rèn)為，由于政府機(jī)構(gòu)、大型金融企業(yè)和電信公司的安全團(tuán)隊(duì)開始越來越多地使用網(wǎng)絡(luò)分析工具，以防范能夠突破傳統(tǒng)安全系統(tǒng)的威脅，網(wǎng)絡(luò)取證這一行業(yè)發(fā)展勢(shì)頭良好。Schwartz指出，基于特征的安全系統(tǒng)固然重要，但網(wǎng)絡(luò)收集和取證工具可以幫助大型企業(yè)應(yīng)對(duì)未知攻擊方法的威脅。以下為采訪實(shí)錄：

請(qǐng)簡(jiǎn)要介紹一下NetWitness公司的產(chǎn)品，貴公司的產(chǎn)品真的只是將取證工具部署在入侵防御系統(tǒng)周圍嗎？

Eddie Schwartz：權(quán)威市場(chǎng)研究機(jī)構(gòu)Gartner將網(wǎng)絡(luò)數(shù)據(jù)包捕獲和分析稱為網(wǎng)絡(luò)取證。關(guān)于網(wǎng)絡(luò)取證有很多問題值得討論，但大多數(shù)問題確實(shí)和高級(jí)威脅情報(bào)有關(guān)。對(duì)于那些真正在考慮如何應(yīng)對(duì)這些高級(jí)威脅的企業(yè)確來說，這些攻擊屬于復(fù)雜的威脅，可以躲過反病毒軟件和入侵檢測(cè)系統(tǒng)的檢查。有一種應(yīng)對(duì)這些威脅的解決方案是基于全面的數(shù)據(jù)包捕獲和實(shí)時(shí)的態(tài)勢(shì)感知，我們的產(chǎn)品正是屬于這一類解決方案。盡管許多產(chǎn)品都屬于這類解決方案，但其中只有少數(shù)產(chǎn)品能夠處理實(shí)時(shí)事件響應(yīng)或?qū)崟r(shí)入侵檢測(cè)和管理，而我們的產(chǎn)品就具有實(shí)時(shí)事件響應(yīng)能力。

您剛才提到了響應(yīng)，貴公司的產(chǎn)品在安全威脅發(fā)生時(shí)究竟是響應(yīng)還是報(bào)警？一旦談到響應(yīng)，貴公司的產(chǎn)品不就變成了入侵防御系統(tǒng)嗎？

Schwartz：我不太贊成使用“防御（Prevention）”一詞，因?yàn)檫@個(gè)詞現(xiàn)在的意義過于復(fù)雜。我認(rèn)為，有些簡(jiǎn)單的措施確實(shí)可以歸類于防御，能夠阻止某些攻擊或采取某種行動(dòng)。特征或定義文件就屬于這類防御性措施，它們描述了某人已受到的攻擊或者事先已對(duì)其有一定了解的攻擊。問題是，在許多情況下，如果你遇到一些此類惡意軟件的實(shí)例，你將會(huì)發(fā)現(xiàn)，35家防御性平臺(tái)供應(yīng)商中沒有一家會(huì)真正承認(rèn)這些惡意軟件，而你也只有8個(gè)小時(shí)的時(shí)間來處理這些惡意軟件造成的后果并做出響應(yīng)。防御并不是最好的辦法。當(dāng)對(duì)某些惡意軟件有了一定的認(rèn)識(shí)和了解時(shí)，你可以將其實(shí)例輸入到一些防御性的平臺(tái)。因此，當(dāng)我們談到響應(yīng)時(shí)，更多的是指主動(dòng)檢測(cè)然后采取必要的響應(yīng)動(dòng)作。有些情況下，響應(yīng)可能是下列動(dòng)作的組合：修改防火墻規(guī)則、書寫Snort特征、只是更加密切地監(jiān)視某些軟件，或者將一些額外的威脅源輸入到你的防御性平臺(tái)，以查看此前沒有考慮到的一些新的潛在威脅方法。

您前面提到了全面的數(shù)據(jù)包捕獲，那么有沒有功能足夠強(qiáng)大的產(chǎn)品，可以收集所有數(shù)據(jù)包不丟棄任何數(shù)據(jù)包？

Schwartz：有許多方法可以實(shí)現(xiàn)全面的數(shù)據(jù)包捕獲。例如，我們有一個(gè)客戶，可以說是全球最大的私有IP網(wǎng)絡(luò)運(yùn)營(yíng)商之一，其總數(shù)據(jù)吞吐量為60GB/s，內(nèi)部需要實(shí)時(shí)存儲(chǔ)到實(shí)時(shí)態(tài)勢(shì)感知網(wǎng)格中的數(shù)據(jù)高達(dá)1.5 PB/s（1PB=1024TB）。我們的產(chǎn)品完全可用于這種超大型應(yīng)用環(huán)境，關(guān)鍵問題就是將其擴(kuò)展到這種應(yīng)用環(huán)境。要實(shí)現(xiàn)全面的數(shù)據(jù)包捕獲，既可以利用基于商品型設(shè)備的存儲(chǔ)方法，也可以利用傳統(tǒng)的存儲(chǔ)方法，例如存儲(chǔ)區(qū)域網(wǎng)絡(luò)或其他方法。使用哪種存儲(chǔ)方法僅僅取決于你在數(shù)據(jù)保留和用例方面的目的。有些企業(yè)的用例只限于對(duì)安全問題的事件響應(yīng)，因此其存儲(chǔ)數(shù)據(jù)的使用壽命將短于那些用例更多的是為了典型取證或調(diào)查的企業(yè)，他們可以回溯并查看更長(zhǎng)周期的網(wǎng)絡(luò)流量歷史，這些周期可能是60天、90天甚至在某些情況下更長(zhǎng)。

有一個(gè)術(shù)語(yǔ)叫“高級(jí)持續(xù)性威脅（Advanced Persistent Threat，APT）”，我曾就該術(shù)語(yǔ)請(qǐng)教過一位專家，他認(rèn)為安全產(chǎn)品供應(yīng)商的營(yíng)銷部門正在淡化APT的使用。您如何定義APT？

Schwartz：我認(rèn)為，判斷一種攻擊是不是屬于APT，可以按照以下三個(gè)標(biāo)準(zhǔn)：第一，必須有證據(jù)表明攻擊者是特定的，而且攻擊者有一定的組織性、動(dòng)機(jī)和與此相關(guān)的資金支持。第二，攻擊的目標(biāo)有針對(duì)性。第三，攻擊者能夠采取各種不同類型的攻擊手段，從社會(huì)工程、惡意軟件開發(fā)到基于網(wǎng)絡(luò)的攻擊等等。例如，我們已經(jīng)看到，一些政府客戶遭受了一系列的魚叉式網(wǎng)絡(luò)釣魚攻擊（Spear Phishing Attack）。這些魚叉式網(wǎng)絡(luò)釣魚攻擊的范圍從非常明確的社會(huì)工程攻擊到安裝惡意軟件，而這些惡意軟件是攻擊者自己開發(fā)的，此前從未在其他地方出現(xiàn)過。很顯然，惡意軟件具有關(guān)于企業(yè)特定資產(chǎn)的先驗(yàn)信息——一些網(wǎng)絡(luò)映射工作在此之前已經(jīng)完成。這些魚叉式網(wǎng)絡(luò)釣魚攻擊就符合我對(duì)APT的定義。

有沒有辦法將這種基于網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包收集和分析方法簡(jiǎn)化為一種面向中小型企業(yè)的輕量級(jí)版本？

Schwartz：這項(xiàng)工作已經(jīng)被納入我們的計(jì)劃之中。目前，我們的客戶主要是大型和超大型的政府機(jī)構(gòu)和商業(yè)企業(yè)。我們已經(jīng)在計(jì)劃開發(fā)針對(duì)特定類型用例的產(chǎn)品，也就是你所說的交付即用型解決方案。但是，我認(rèn)為應(yīng)對(duì)高級(jí)威脅沒有捷徑可走?，F(xiàn)在，安全機(jī)構(gòu)（如SANS）應(yīng)該提醒用戶，不要再考慮如何通過反病毒軟件解決特定的威脅，而應(yīng)該開始考慮如何獲得對(duì)其網(wǎng)絡(luò)的可見性。一個(gè)新興的威脅情報(bào)市場(chǎng)將會(huì)出現(xiàn)并不斷發(fā)展，人們可以在這里提供自動(dòng)化的威脅情報(bào)，這些威脅情報(bào)的復(fù)雜性將前所未有。

【編輯推薦】

1. 平凡黑客講述精彩人生（六） 網(wǎng)絡(luò)犯罪如何取證
2. 計(jì)算機(jī)取證系列教程：最佳取證工具M(jìn)ACtimes