多年來，安全專家一直在爭論究竟是外部人員還是內(nèi)部人員帶來更大的風(fēng)險(xiǎn)。如今，這種辯論已經(jīng)沒有實(shí)際意義：因?yàn)榫W(wǎng)絡(luò)界限已經(jīng)模糊化，威脅正無處不在。

例如，內(nèi)部人員可能在家里辦公或遠(yuǎn)程辦公;員工可能需要利用BYOD;業(yè)務(wù)合作伙伴和銷售人員經(jīng)常需要訪問云中關(guān)鍵任務(wù)服務(wù)?，F(xiàn)在企業(yè)比以往任何時(shí)候都更難了解在給定的時(shí)間內(nèi)誰在網(wǎng)絡(luò)上，以及有多少設(shè)備在訪問服務(wù)、系統(tǒng)和數(shù)據(jù)。企業(yè)正在逐漸失去對(duì)網(wǎng)絡(luò)的控制，而攻擊者則在研究這些新技術(shù)，并利用它們來繞過傳統(tǒng)防御。

為了克服這些安全隱患，并獲得更好的可視性來確定誰在使用網(wǎng)絡(luò)，安全專家紛紛轉(zhuǎn)向網(wǎng)絡(luò)流量分析來提高網(wǎng)絡(luò)安全的可視性。

網(wǎng)絡(luò)安全可視性超越傳統(tǒng)防御的范圍

上面提到的情況強(qiáng)調(diào)了企業(yè)應(yīng)該超越傳統(tǒng)安全技術(shù)的范圍，實(shí)時(shí)研究更大環(huán)境的安全性。企業(yè)不應(yīng)該在攻擊發(fā)生后才阻止攻擊，而是在攻擊發(fā)生時(shí)檢測攻擊，觀察網(wǎng)絡(luò)流量能夠?yàn)槠髽I(yè)提供更好的網(wǎng)絡(luò)可視性和對(duì)惡意事件更快的檢測。網(wǎng)絡(luò)流量是分析IP、TCP、UDP以及與信息源、目標(biāo)端口和IP地址相關(guān)的其他header信息。這種網(wǎng)絡(luò)流量分析工作需要網(wǎng)絡(luò)安全管理人員進(jìn)行戰(zhàn)略性的轉(zhuǎn)變，構(gòu)建對(duì)整個(gè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的全面視角。

然而，這種轉(zhuǎn)變受到人員和技術(shù)的制約。在人員方面，大多數(shù)企業(yè)已經(jīng)被迫轉(zhuǎn)變?yōu)樯倩ㄥX多辦事。設(shè)計(jì)安全系統(tǒng)架構(gòu)、抵御高級(jí)攻擊以及識(shí)別和緩解入侵等工作要求熟練的安全工作人員，而很多企業(yè)找不到或者負(fù)擔(dān)不起這種人才。與此同時(shí)，安全企業(yè)通常嚴(yán)重依賴于數(shù)據(jù)泄露防護(hù)(DLP)和企業(yè)權(quán)限管理(ERM)等產(chǎn)品來檢測安全違規(guī)情況。雖然這些技術(shù)能夠發(fā)揮一定作用，但它們并不是萬能的，企業(yè)需要采取一種新的方法。

網(wǎng)絡(luò)流量分析：三管齊下

強(qiáng)調(diào)網(wǎng)絡(luò)流量分析的新計(jì)劃：檢測、精煉和分析數(shù)據(jù)流三管齊下。它利用多個(gè)內(nèi)部和外部信息來源，并實(shí)時(shí)處理數(shù)據(jù)來檢測威脅。這里關(guān)鍵是使用已經(jīng)部署的可用的現(xiàn)有網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

流量分析對(duì)網(wǎng)絡(luò)中流量的移動(dòng)情況提供了一個(gè)不同的視角。它能夠分析在給定的度量內(nèi)一個(gè)事件的發(fā)生頻率。例如，在周末的凌晨至凌晨2點(diǎn)，包含加密.zip文件的流量離開網(wǎng)絡(luò)并發(fā)往亞洲的頻率?通過流量分析工具，安全專家可以近乎實(shí)時(shí)查看這種類型的用戶活動(dòng)。

對(duì)流經(jīng)現(xiàn)代網(wǎng)絡(luò)的大量數(shù)據(jù)進(jìn)行精煉需要能夠聚合和關(guān)聯(lián)數(shù)據(jù)的工具。思科公司是在市場上推出這種技術(shù)的首批供應(yīng)商之一。很多其他供應(yīng)商也相繼加入了這個(gè)領(lǐng)域，包括Vitria、Riverbed和Arbor Networks。對(duì)于預(yù)算緊張的企業(yè)，則可以考慮Softflowd和FlowScan等開源工具。你可以在networkuptime網(wǎng)站找到這些工具。

通過使用標(biāo)準(zhǔn)，能讓這些對(duì)實(shí)時(shí)數(shù)據(jù)的分析變得更簡單，例如NetFlow標(biāo)準(zhǔn)--由思科開發(fā)而后成為了行業(yè)標(biāo)準(zhǔn)。有了標(biāo)準(zhǔn)，企業(yè)可以采用通用格式，從而挑選適合的分析工具。流量聚合和數(shù)據(jù)輸出的標(biāo)準(zhǔn)是由IETF來處理的，而企業(yè)可以選擇的日志分析工具包括LogRhythm、Nagios和 Splunk。企業(yè)有太多數(shù)據(jù)需要管理，這成了一個(gè)問題，但云計(jì)算可以幫忙。云計(jì)算允許用戶根據(jù)需求的增加來擴(kuò)展，這樣使他們幾乎可以瞬時(shí)創(chuàng)建虛擬服務(wù)器來滿足需求。

網(wǎng)絡(luò)流量分析：不是一朝一夕的解決方案

很顯然，防病毒技術(shù)等傳統(tǒng)抵御方法已經(jīng)無法抵御零日攻擊和高級(jí)持續(xù)威脅?，F(xiàn)在，網(wǎng)絡(luò)流量分析為我們提供了一個(gè)令人信服的選擇，但整個(gè)行業(yè)遷移到這一模式還將需要時(shí)間。

網(wǎng)絡(luò)流量分析需要企業(yè)付出一些努力以及安排培訓(xùn)，特別是第一次部署的時(shí)候;安全專業(yè)人員可能不知道他們需要尋找什么，因此自然需要一個(gè)學(xué)習(xí)曲線來培養(yǎng)他們尋找異常的能力。另外，還需要專門的網(wǎng)絡(luò)分析工具，而這需要投入資金來部署。此外，模式轉(zhuǎn)變并不容易，它們不是受思維方式的驅(qū)動(dòng)，而是受變革的推動(dòng)。

轉(zhuǎn)移到網(wǎng)絡(luò)流量分析需要先奠定一定的基礎(chǔ)。首先應(yīng)該與高級(jí)管理人員協(xié)商，向他們解釋部署NetFlow如何實(shí)現(xiàn)“雙贏”的局面—它支持廣泛的企業(yè)用途。如果你是代表安全部門，可以聯(lián)合網(wǎng)絡(luò)團(tuán)隊(duì)，因?yàn)樗麄儗?duì)路由器和交換機(jī)有直接控制權(quán)，讓他們加入你的陣營非常重要。你還將需要確認(rèn)現(xiàn)有設(shè)備支持網(wǎng)絡(luò)流量，以及未來采購滿足你的預(yù)計(jì)需求。

從戰(zhàn)略上來看，大多數(shù)企業(yè)已經(jīng)落后于高級(jí)攻擊的能力，而網(wǎng)絡(luò)流量分析是恢復(fù)這一平衡的重要一步。