0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

启明星辰推出全流量分析取证设备和检测设备联动

lhl545545 来源:启明星辰 作者:启明星辰 2020-08-24 10:36 次阅读

网络安全的趋势和技术选择

网络空间安全涉及的安全响应,是指在安全事件发生后,通过人工或者自动化的方式,能采取相应的措施,降低安全事件带来的危害和影响;从启明星辰发布的近几年安全态势观察报告来看,安全响应都作为重要的一个技术领域被提及。在安全防御体系的演进中,从PPDR模型,到NIST(美国国家标准组织)定义的比较权威的IPDRR模型,都强调了安全响应是在安全事件处理中的非常重要的能力。

启明星辰认为,在安全响应中,最主要的应用思路,是基于安全攻击链模型发掘完整的攻击过程,并针对此攻击过程中发现的系统薄弱点,进行针对性的加固。通过一个攻击线索,找到攻击的利用手段和系统薄弱环节,以及安全检测设备在此场景下的失效原因,需要全流程全维度的过程和行为追踪,而全流量分析取证往往成为了不二之选。

启明星辰推出全流量分析取证设备和检测设备联动

恶意软件市场已经高度组织化

启明星辰认为,基于网络流量元数据和数据包的采集,进行流行为的安全威胁分析和取证,是未来最重要安全技术之一。Gartner的最新报告也指出:NTA(网络流量分析)和NFT(网络取证工具)正在逐步演变为通过采集和存储网络分析以外的更多数据,实现更大范围的威胁检测和攻击取证能力。

传统的“预防加检测”有其天然局限性,“持续检测与响应”才能应对今天不断变化的威胁局面。

全流量分析取证在安全中的价值

1:具备完整攻击链的全过程信息存储和展示

网络攻击的成功实施,通常是利用系统的薄弱环节,通过多种手段最终进入系统内部,造成系统破坏或者是获取所需信息。即使我们已经部署了防火墙、IDS、IPS、数据库防御、邮件防御系统等产品,貌似扎紧了防御的篱笆,但面对持续的、层出不穷的高级威胁攻击手法和样本变体,有时还是无法阻止各类攻击的发生,这足以说明当前攻击形势的复杂性和隐蔽性。通过对攻击过程的分析和分解,洛克希德·马丁公司提出了攻击链的概念,此概念一经推出就得到了广大安全厂商的认可;近两年非常火热的ATT&CK模型,也是在此技术上结合攻击链的各个阶段,提炼出常用的攻击手法和方式,成为了很多安全厂商设计安全检测设备的一个标尺。

ATT&CK在Google Trends上过去一年多的趋势变化

然而,品类繁多复杂的安全检测设备,往往只能覆盖攻击链的几个过程,而无法完整的呈现出一个完整的攻击活动。这些相互重叠的安全设备的检测能力,往往会给攻击者带来可乘之机:每个设备只能展示部分相关的攻击信息,无法完整的展示攻击行为过程和前后的串联关系,那么在后续的响应环节就做不到毫发无遗,只会导致同类型的攻击让我们疲于应付,安全事件层出不穷了。

全流量分析取证,通过存储网络中所有的流量(可过滤掉一些低价值的视频流量等),实现完整的攻击过程在网络数据传输中的快照,依据一定的自动查询规则或者是手工查询的方式,展示出整个攻击链的所有相关信息。

同时对于全流量分析取证产品,通过和传统安全检测设备、流量分析设备系统联动,能实现一点检测,全攻击链还原取证的能力,实现100%准确的攻击有效性判断和关键证据的获取,是构建攻击活动的完整证据链的数据基座。

2:协助识别网络攻击的有效性,可实现网络攻击超低误报

因为网络业务的低时延要求,自动化攻击行为的发生,和每年大幅增长的系统漏洞,对安全检测设备的快速响应能力提出了更高的要求。另一方面,因为需要降低漏报率的因素,大量的攻击误报就成为了网络攻击检测中的常态。

通过传统安全检测设备和全流量分析取证设备的联动,通过对一条流的客户端行为,服务器的行为,以及同一个客户端&服务器端的多条流的行为的验证,能快速准确的分析出是否是一个成功的攻击行为:

启明星辰推出全流量分析取证设备和检测设备联动

启明星辰全流量分析取证设备和检测设备联动

近年来各大安全厂商不停的在SIEM/SOAR上进行能力布局,是类似的分析取证的思路,但此类分析取证还是基于已有的网络安全设备的日志信息等,完整性和准确性上存在一定的不足。而全流分析取证设备上有完整的攻击过程信息,有攻击前和攻击后的客户端/服务器行为,这些都能较容易的帮助安全检测设备快速准确甄别误报信息,真正发挥安全检测设备的快速检测优势和实时的安全响应处置策略。

3:实现基于多种复杂流量组合的攻击过程分析

全流分析取证产品在pcap原始数据、协议元数据、流统计信息等全维度信息的基础上,可以实现在线/实时,离线/批量的安全模型分析,弥补当前网络安全设备检测能力的不足。

启明星辰全流取证方案的多场景安全分析能力

基于全流分析取证产品的完整数据,可以实现由最简单的统计分析,到最复杂的人工智能等多种场景的安全威胁分析,验证攻击是否成功,分析模型是否准确,能良好的解决传统的基于特征、指纹和用户网络行为的攻击检测方式带来的误报和漏报的问题,此种自证能力是全流分析取证产品独特且难以被其他产品取代的优秀能力。
责任编辑:pj

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    9153

    浏览量

    85408
  • 网络安全
    +关注

    关注

    10

    文章

    3159

    浏览量

    59750
  • 网络数据
    +关注

    关注

    1

    文章

    44

    浏览量

    10087
收藏 人收藏

    评论

    相关推荐

    英特尔如何助力服饰品牌引领风尚

    在时尚的海洋中,品牌如同航行者,而趋势则是海上的启明星
    的头像 发表于 10-12 09:51 362次阅读

    流量检测识别摄像头

    流量检测识别摄像头是一种结合了监控摄像技术和智能分析技术的先进设备,旨在通过实时监测和分析监控画面中人员的数量、密度、流动方向等信息,识别
    的头像 发表于 09-25 10:58 392次阅读
    人<b class='flag-5'>流量</b><b class='flag-5'>检测</b>识别摄像头

    启明信息荣获2024数字中国创新大赛二等奖

    由数字中国建设峰会主办的“2024数字中国创新大赛·信创赛道”全国总决赛圆满收官,经过激烈角逐,“启明星云·创”ERP产品凭借在国产化支持、供应链成熟度、核心技术、功能体系以及产品前景等五个维度的优异表现斩获总决赛二等奖。
    的头像 发表于 09-20 09:40 316次阅读

    InConnect维护设备流量是多少

    :需要根据实际视频流量计算 4、工业路由器产品每月的云平台连接流量+维护隧道建立流量约30MB-40MB,一年约360MB-480MB,单台设备每月InConnct链接心跳
    发表于 07-25 07:23

    艾体宝干货 IOTA流量分析秘籍第三招:检测黑名单上的IP地址

    艾体宝干货 | IOTA流量分析秘籍第三招:检测黑名单上的IP地址 IOTA 设备提供 RESTful API,允许直接访问存储在设备上的数据。这对于集成到各种场景中非常有用。在本例中
    的头像 发表于 07-16 11:48 386次阅读
    艾体宝干货 IOTA<b class='flag-5'>流量分析</b>秘籍第三招:<b class='flag-5'>检测</b>黑名单上的IP地址

    气密测试时,标准漏孔是怎么使用的?起到什么作用?#气密检测设备

    检测设备
    连拓精密科技
    发布于 :2024年06月18日 17:36:50

    设备生命周期管理流程有哪些?

    采购与安装阶段设备生命周期管理系统对设备需求进行分析,记录设备信息,确保设备正确安装并达到预期
    的头像 发表于 06-13 15:21 754次阅读
    <b class='flag-5'>设备</b><b class='flag-5'>全</b>生命周期管理流程有哪些?

    频谱分析设备是入侵报警前端设备

    频谱分析设备是一种用于测量和分析信号频谱特性的电子测量仪器。它广泛应用于通信、电子、电力、航空航天等领域,用于信号分析、频谱监测、干扰检测
    的头像 发表于 06-03 09:44 1029次阅读

    电能质量分析仪的常见故障及原因分析

    电能质量分析仪作为电力系统中不可或缺的监测设备,其准确性和可靠性对于保障电网的稳定运行至关重要。然而,在实际使用过程中,电能质量分析仪可能会遇到各种故障,影响其正常工作。本文将对电能质量分析
    的头像 发表于 05-21 17:06 739次阅读

    艾体宝产品 | Allegro网络流量分析

    艾体宝产品 | Allegro网络流量分析
    的头像 发表于 04-29 08:04 482次阅读
    艾体宝产品 | Allegro网络<b class='flag-5'>流量分析</b>仪

    视觉检测设备的分类

    视觉检测设备是一种利用摄像头、传感器、光源和图像处理算法等技术组成的设备,用于检测、识别、分析和判断图像或视频中目标物体的特征、属性、状态或
    的头像 发表于 02-21 09:41 1379次阅读
    视觉<b class='flag-5'>检测</b><b class='flag-5'>设备</b>的分类

    半导体测试设备大盘点:生命周期无死角检测

    半导体产业作为现代电子工业的核心,其产品的生命周期测试对于确保产品质量、提高生产效率和降低成本具有重要意义。半导体生命周期测试设备涵盖了从原材料检测到最终产品测试的一系列
    的头像 发表于 02-02 09:46 2437次阅读
    半导体测试<b class='flag-5'>设备</b>大盘点:<b class='flag-5'>全</b>生命周期无死角<b class='flag-5'>检测</b>

    医疗检测设备模组

    模组检测设备
    璟丰机电
    发布于 :2024年01月31日 11:34:29

    发射机信号检测和故障分析设备介绍

    中国建设的低频时码台站为授时和定位提供服务。在该系统中,发射机是核心组件之一,需要信号检测和故障分析设备来确保信号的准确性和稳定性。这套设备用于发射机信号特征
    的头像 发表于 01-10 11:35 1008次阅读
    发射机信号<b class='flag-5'>检测</b>和故障<b class='flag-5'>分析</b><b class='flag-5'>设备</b>介绍