近日,《中国信息安全》杂志社对科来安全行业技术总监采访,全文刊登在该杂志05月刊,内容如下:
网络安全领域的第一部综合性、框架性法律,《网络安全法》将于2017年6月1日正式实施,《网络安全法》将网络安全标准化工作置于前所未有的高度,也对网络安全标准化工作提出了更高的且明确的要求。与此同时,国家等级保护标准规范进入2.0时代,以往的信息安全等级保护也要过渡到网络安全等级保护,除了法规明确要求国家实施等保制度,等级保护制度将涵盖云平台、大数据、物联网、工控系统等多类信息系统。
经过多年的网络安全建设,大多用户已经部署了众多类型的安全检测防护软件和设备,但网络复杂化、应用业务多样化导致各种安全漏洞越来越多,防范难度加大,有利可图和有非法目的的攻击越来越容易得手。许多用户在邮件被长期监听、重要服务器被控、敏感数据被窃取后,仍然没有感知。安全运维人员很难发现未知威胁,或者对于可疑的安全线索难于对潜在的安全事件定性及线索回查,往往处于被动防御的局面。
如果说基于特征匹配的检测可以防范已知威胁,基于沙箱的动态行为分析技术阻止未知恶意代码进入系统内部,那么对于账号异常登录、敏感数据异常访问、木马C&C隐蔽通道以及已经渗透进入系统内部的恶意代码而言,对这类异常行为的检测,传统的安全设备已经不能有效检测和防范。因此,作为网络流量安全分析方面的专家,科来认为安全分析的关键是数据,只有基于网络全流量的分析,对网络链路全流量采集存储、全数据分析,才能为用户识别和发现漏洞利用、高级木马通讯、APT攻击、数据窃密等提供更有效的监测手段,才能对网络的异常行为有敏锐的感知能力,让数据的检测无死角,解决传统网络安全措施无法解决的网络问题,发现传统安全不能发现的安全问题。
科来强调,再高级的攻击,都会留下痕迹,这时就能体现全流量安全分析的重要性。
全流量安全分析包括全流量检测、全流量存储与回溯分析。全流量检测以网络全流量数据为基础。网络全流量数据不是简单依赖设备日志和某些固定规则,而是以一种高价值、高质量的网络数据表示–“网路元数据”存在,其数据来源包括全流量数据包,全会话日志,全元数据,报警数据,全附件,全邮件,全原始还原数据等,也就是网络全流量大数据。全流量检测能够对网络中的所有网络行为,从多个维度特征进行建模,从而设定相应的安全基线,对于不符合安全基线要求的网络行为检测为未知攻击,弥补以往单纯依赖特征匹配的不足。全流量存储,则确保从时间轴上,空间轴上实现网络内设备和应用的历史流量关联,从而在网络攻击发生时做到实时检测,在发生后做到溯源取证。回溯分析,可随时分类查看及调用任意时间段的数据,从不同维度、不同时间区间,提供不同层级的数据特征和行为模式特征,从而进行数据逐层挖掘和检索,直观、快速、准确定位各种网络安全事件发生的根源。
科来的核心能力在于协议的鉴别能力,这也是科来成立14年一直在研究的事情,现在能够识别超过1500种网络协议,超过10000种以上的应用协议,这在国际上也属于佼佼者。价值在于能够看全看清看透网络流量的构成,帮助用户看到一切,知道更多。
全流量安全分析帮助用户对可疑事件进行定性分析,通过深入的数据关联、数据包解码分析和特征分析,真实的还原安全事件的发生过程,从而对各种异常网络事件进行精准的定性分析;追踪与取证,可以对各类渗透、窃密行为进行精准识别,并可快速追踪问题源、提取异常数据、还原异常通讯现象,为安全取证提供依据,为安全管理提供发现和掌握异常行为的能力,以保障关键数据安全。
全流量分析的价值
- 及时感知网络威胁
全天候实时智能分析网络通讯,及时发现主动外联、木马通讯、隐蔽信道、异常DNS解析、违规操作等行为,并通过预定义行为模型主动发现潜在未知网络威胁,帮助用户建立灵敏的网络威胁感知能力
- 帮助用户及时止损
针对可疑事件进行定性分析,高效精准定位安全事件问题点,通过事件关联分析对安全事件影响进行有效评估,帮助用户及时阻断事态继续恶化,杜绝类似事件再次发生
- 数据取证与责任判定
对网络原始通讯数据进行全流量完整保存,通过数据分析与挖掘帮助用户对事件进行原始数据取证;同时可对通讯数据流内容和安全事件的发生过程再现还原,帮助用户进行责任判定。