网络流量分析使安全团队受益的四种方式 [复制链接]

迈向数字化转型的步伐和不断增加的网络攻击量最终驱使IT安全和网络团队寻求更好的协作。这个想法并不新鲜，但是终于在许多大型企业中付诸实践。

网络流量分析和安全性

原因很简单：所有这些新的转型计划（将工作负载转移到云中，追求虚拟化或SD-WAN项目等）都会创建网络流量盲点，而这些盲点无法使用安全工具和为简化设计的流程轻松监控，内部部署的传统架构。结果是一系列数据和系统孤岛，工具泛滥和缺乏相关性。基本上，有很多数据，但信息很少。随着组织的发展，问题变得更加复杂。

对于遭受网络攻击的公司而言，最终成本可能是天文数字，因为它包括调查和缓解成本，与法律风险有关的成本，保险费上涨，新工具的购买，新政策和程序的实施以及收入和声誉。

规模无关紧要–所有公司都容易受到攻击。为了在这种新的混合网络环境中改善组织的安全状况，安全运营（SecOps）和网络运营（NetOps）团队正在成为快速的朋友。实际上，Gartner最近已将其细分市场之一的名称从“网络流量分析”更改为“网络检测和响应”，以反映对更注重安全性的网络分析解决方案的需求变化。

总体而言，网络数据尤其是网络流量分析可以通过以下四种方式是安全运营中心（SOC）级别的SecOps团队受益：

1.启用基于行为的威胁检测

在大多数防病毒和防火墙解决方案中都发现，基于签名的威胁检测是反应性的。供应商会针对恶意软件在野外出现时创建签名，或者从第三方来源（如Google的VirusTotal）获得它们的许可，并更新其产品以识别并防御威胁。

尽管这是一种快速筛选出所有已知危险文件以防止其进入网络的有用方法，但该方法具有局限性。最明显的是，基于签名的检测无法捕获不存在签名的新威胁。但是更重要的是，越来越多的恶意软件被混淆以避免基于特征的检测。网络安全公司WatchGuardTechnologies的研究发现，年所有恶意软件中有三分之一可以逃避基于签名的防病毒功能，而在年第四季度这一数字飙升至三分之二。这些威胁需要使用不同的检测方法。

网络流量分析（也称为网络检测和响应或NDR）结合使用了高级分析，机器学习（ML）和基于规则的检测来识别整个网络中的可疑活动。NDR工具使用并分析原始流量（例如数据包数据），以构建反映正常网络行为的模型，然后在检测到异常模式时发出警报。

与基于签名的解决方案通常只专注于阻止恶意软件进入网络不同，大多数NDR解决方案可以超越南北向流量来监视东西向流量以及云本地流量。随着业务成为虚拟和云优先，这些功能变得越来越重要。因此，NDR解决方案可帮助SecOps检测并防止可逃避基于签名的检测的攻击。要运行这些NDR解决方案，需要访问高质量的网络数据。

2.提供用于安全分析，合规性和取证的数据

SecOps团队通常需要网络数据和行为洞察来进行安全性分析或合规性审核。这通常需要来自跨数据中心，分支机构和多云环境部署的网络的物理，虚拟和云原生元素的网络元数据和数据包数据。

越容易访问，索引和理解这些数据（最好在“单个玻璃”解决方案中），它将提供更多的价值。获得这种见解是完全可行的，但需要混合使用物理和虚拟网络探针以及数据包代理，以从网络的各个角落收集和合并数据，以处理并将其传送到安全工具堆栈。

NDR解决方案还可以使SecOps团队能够捕获和保留与危害指标（IOC）相关的网络数据，以便在发生事件时进行快速的法医搜索和分析。这种捕获，保存，分类和关联元数据和数据包的能力使SecOps能够在事实发生后调查违规和事件，并确定出了什么问题以及如何在将来更好地识别和预防攻击。

3.提供更好的网络可见性，以实现更好的安全自动化

合格的安全专业人员很少，他们的时间非常宝贵。自动化安全任务可以帮助企业更快地解决事件，并为SecOps团队腾出时间专注于更重要的任务。不幸的是，可见性和自动化只与数据的质量和粒度一样有效-太少和太多都可能成为问题。

数据太少，自动化解决方案与SecOps团队一样盲目。过多的数据（以威胁检测系统的形式抛出过多的警报）会导致“哭狼来了”的情况，而自动响应功能将关闭帐户或工作负载，并且弊大于利。

缺少数据，太多警报或固有盲点可能意味着NDR所依赖的机器学习和分析模型将无法正常工作，从而在产生误报的同时丢失实际威胁。从长远来看，这意味着SOC团队需要做更多的工作。

成功实现自动化的关键是拥有高质量的网络数据以启用准确的安全警报，因此可以使响应自动化。

4.减少恶意软件的停留时间

NDR解决方案通常具有很少甚至没有阻止能力，因为它们通常不会以内联方式部署（尽管选择权取决于IT团队）。但是即使如此，它们仍然可以通过快速识别可疑行为或流量来缩短事件响应窗口并减少恶意软件的停留时间。NDR工具的结果可以输入到下游安全工具中，这些工具可以验证和补救威胁。

在整个行业中，恶意软件的驻留时间一直在减少。年Verizon数据泄露调查报告（DBIR）发现56％的泄露需要几个月或更长时间才能检测到，但Verizon数据泄露调查报告DBIR发现81％的数据泄露在几天或更短时间内得到遏制。这是一个令人鼓舞的统计数据，并希望SecOps团队将继续与NetOps合作，以进一步降低这种情况。

网络检测和响应或网络流量分析的好处远远超出了NetOps的传统领域。通过合作，NetOps和SecOps团队可以创建可靠的可见性体系结构和实践，以增强其安全状况，从而在发生攻击时为组织做好充分的准备。

全面的网络可见性是安全团队可以通过安全交付层查看所有相关信息，使用基于行为或自动的威胁检测方法，并能够捕获和存储相关数据以进行深入的法证调查和响应任何事件。