演练是维护网络空间安全的绸缪之举,通过对抗、复盘和研讨,总结经验教训,对提升网络安全保障整体能力和水平具有重要意义。这是有目的、有计划、有组织的网络安全对抗演练,是一场攻防双方同时具备高水平的“神仙打架”。
斩断“达摩克利斯之剑”
当传统的安防手段遇到非常的攻击手法时,便形成了“不知己,不知彼”的尴尬局面。双方在信息和投入不对称的情况下,尽管防御者堆砌再多的安全设备,却更像是在告诉对方“我这里是枪口”,而无法告诉自己“谁在攻击哪里”。这种无法感知的威胁犹如一柄“达摩克里斯之剑”,看似和平、安宁的背后却时刻存在着不安与危险。
在暗流涌动的网络攻防当中,流量记录着一切,这是让防御者变被动为主动的关键因素。高级的攻击往往只产生极少极难捕捉的流量,然而,再高级的攻击都会留下网络痕迹。在对全流量的采集与保存的同时,要具备对全流量的驾驭能力,即全协议解析、全行为建模,做到对网络行为的追溯甚至拦截,让防御者知己更知彼。
演练期间的针对性安全防护比日常防护更为艰巨。全流量分析如同网络中的摄像头,进行实时监测、实时全量记录,不但能够敏锐地发现攻方的第一个动作,在演练全程中能够对未知威胁做到第一时间发现,第一时间响应,让防守方看的清、看的全、看的准。
实例——
某大型金融机构在互联网边界及各安全区域,特别是与第三方外连区域增加部署多台科来流量分析设备。在演练期间,通过全天候全方位识别网络流量数据,与威胁情报、行为模型进行匹配,发现未知威胁、木马通讯、隐蔽信道等异常行为。防守人员通过对流量数据的采集、分析、展现、评估、溯源取证形成完整闭环,从而发现安全弱点和盲点,共定位溯源近2000起攻击,明确黑客身份数名,最终取得了防守方最优成绩。
零信任下的全覆盖
有别于演练,日常的安全防护是一个系统工程。在零信任的网络安全理念下,流量分析是帮助企业打赢这场“持久攻防”的重要手段。零信任安全理念要求“不应该信任网络内部和外部的任何人/设备/系统”,科来全流量回溯分析能够在零信任的安全架构下,做到全方位采集、全流量分析,对任何设备或系统实现安全监测无死角;同时,基于全流量回溯分析技术,科来产品可针对用户的合理性固定行为和不可控随机行为部署不同规则,通过持续的监控和动态的分析保障网络安全性,帮助企业在零信任下构建自适应网络安全架构。
开放进取,合作共赢
全流量采集与分析技术,是一项高投入、见效慢的基础性研究,需要大量人力、物力和财力的投入,然而投入产出比又相对较低。科来自2003年起,已经对此项技术进行了十六年持续不断的投入与技术积淀,掌握了大量的知识和技术储备。科来秉承开放、进取的心态,将全流量数据标准化、开放化,通过配置自定义的方式,与各厂商进行数据、产品、能力的叠加,实现用户与能力者之间的合作共赢。
真正优秀的厂商不止是数据的运营方,还是数据价值的提供方。仅仅得到数据没有任何意义,只有充分利用和挖掘数据背后的价值才能赢得未来。得流量者,得数据;知数据者,得价值;用价值者,赢天下。
结语
全流量回溯分析在演练中的应用仅是冰山一角,在当今网络军火民用化、网络攻击组织化的大背景下,全流量回溯分析能够帮助企业全面感知未知威胁,做到第一时间发现、第一时间响应,实现安全监测无死角,抵御更加严峻的挑战。同时,科来也将继续深耕网络流量分析技术,更好地发挥数据价值、叠加厂商能力、完善数据服务,在网络安全领域贡献更大的力量。