什么是网络流量分析(NTA)?

网络流量分析(NTA)是一种监控网络可用性和活动以识别异常的方法, 包括安全和操作问题. NTA的常见用例包括:

  • 收集网络上正在发生的实时和历史记录
  • 检测 恶意软件 比如勒索软件活动
  • 检测易受攻击的协议和密码的使用
  • 网络慢速故障处理
  • 提高内部可视性,消除盲点

实现 可以持续监控网络流量的解决方案 为您提供优化网络性能所需的洞察力,最大限度地减少您的 攻击表面,加强安全,改善对您的资源的管理.

然而,知道如何监控网络流量是不够的. It’s important to also consider the data sources for your network monitoring tool; two of the most common are flow data (acquired from devices like routers) 和 packet data (from SPAN, 镜像端口, 和网络水龙头).

网络流量分析的主要好处

加上“it 's not if”, 这是今天关于网络攻击的心态, 对于安全专业人员来说,确保尽可能多地覆盖组织的环境可能会让他们感到难以承受.

The network is a critical element of their 攻击表面; gaining visibility into their network data provides one more area they can detect attacks 和 stop them early.

NTA的好处包括:

  • 改进了对连接到网络的设备的可见性(例如.g. 物联网设备、医疗保健访问者)
  • 满足法规遵从性要求
  • 排除操作和安全问题
  • 通过丰富的细节和额外的网络背景,更快地响应调查

设置NTA的关键步骤是确保从正确的来源收集数据. 如果您正在寻找流量并映射网络数据包从起点到目的地的旅程,流量数据是非常有用的. 这种级别的信息可以帮助检测未经授权的WAN通信,并利用网络资源和性能, 但它可能缺乏深入研究网络安全问题的丰富细节和背景.

从网络数据包中提取的数据包数据可以帮助网络管理员了解用户是如何实现/操作应用程序的, 跟踪广域网链路上的使用情况, 并监控可疑的恶意软件或其他安全事件. 深度数据包检测(DPI)工具通过将原始元数据转换为可读格式,并使网络和安全管理人员能够深入到最细微的细节,从而提供100%的网络可见性.

网络流量分析的重要性

密切关注您的网络边界始终是一种好做法. 即使有强大的防火墙,错误也可能发生,恶意流量也可能通过. 用户还可以利用隧道等方法, 外部网管, 和vpn绕过防火墙规则.

此外,勒索软件的兴起 常见的攻击类型 近年来使得网络流量监控变得更加关键. 网络监控解决方案应该能够检测到指示的活动 ransomware攻击 通过不安全的协议. 采取WannaCry, 例如, 攻击者主动扫描TCP端口445打开的网络, 然后利用SMBv1中的漏洞访问网络文件共享.

远程桌面协议(RDP)是另一个常见的目标应用程序. 确保在防火墙上阻止任何入站连接尝试. 监视防火墙内部的流量允许您验证规则, 获得有价值的见解, 也可以用作基于网络流量的警报来源.

注意与管理协议(如远程登录)相关的任何可疑活动. 因为远程登录是一个未加密的协议, 会话流量将显示适合设备品牌和型号的命令行接口(CLI)命令序列. CLI字符串可以显示登录过程, 用户凭证的表示, 显示启动或运行配置的命令, 复制文件, 和更多的.

请确保检查网络数据中是否有运行未加密管理协议的设备, 如:

  • 远程登录
  • 超文本传输协议(HTTP,端口80)
  • 简单网络管理协议(SNMP,端口161/162)
  • 思科智能安装(SMI端口4786)

监控网络流量的目的是什么?

通过在网络边缘和网络核心实现网络流量分析,可以调查许多操作和安全问题. 使用流量分析工具, 你可以发现大下载量之类的东西, 流或可疑的入站或出站流量. 确保从监视防火墙的内部接口开始, 这将允许您跟踪活动回到特定的客户或用户.

NTA还为组织提供了对其网络威胁的更多可见性, 在端点之外. 随着移动设备、物联网设备、智能电视等的兴起.,您需要比防火墙日志更智能的东西. 当网络受到攻击时,防火墙日志也会出现问题.

您可能会发现,由于防火墙上的资源负载或它们已被覆盖(有时甚至被黑客修改),它们无法访问。, 导致重要的法医信息丢失.

分析和监控网络流量的一些用例包括:

  • 检测勒索软件活动
  • 监控数据泄露/互联网活动
  • 监视对文件服务器或MSSQL数据库上文件的访问
  • 通过用户取证报告跟踪用户在网络上的活动
  • 提供在网络上运行的设备、服务器和服务的清单
  • 突出和识别网络带宽峰值的根本原因
  • 提供关注网络和用户活动的实时仪表板
  • 为管理层和审核员生成任何时间段的网络活动报告

在NTA解决方案中寻找什么

并非所有用于监视网络流量的工具都是相同的. 一般, 它们可以分为两种类型:基于流量的工具和深度数据包检测(DPI)工具. 在这些工具中,您可以选择软件代理, 存储历史数据, 以及入侵检测系统. 在评估哪个解决方案适合您的组织时,请考虑以下五件事:

  1. 流启用设备的可用性: 您的网络中是否有支持流的设备,能够生成只接受Cisco Netflow等流的NTA工具所需的流? DPI工具接受原始流量, 通过任何管理交换机在每个网络上找到, 并且是独立于供应商的. 网络交换机和路由器不需要任何特殊模块或支持, 只是来自任何管理交换机的SPAN或端口镜像的流量.
  2. 数据来源: 流数据和包数据来自不同的来源,并不是所有的NTA工具都收集这两种数据. 一定要查看您的网络流量,并确定哪些部分是关键的, 然后将功能与工具进行比较,以确保涵盖了您需要的所有内容.
  3. 网络上的点: 考虑该工具是使用基于代理的软件还是不使用代理的软件. 另外,要注意不要在一开始就监控太多的数据源. 而不是, 策略性地选择数据汇聚的位置, 例如internet网关或与关键服务器关联的vlan.
  4. 实时数据vs. 历史数据: 历史数据对于分析过去的事件至关重要, 但随着时间的推移,一些监控网络流量的工具不会保留这些数据. 还要检查该工具是否根据您想要存储的数据量定价. 清楚地了解您最关心的数据,以便找到最适合您的需求和预算的选项.
  5. 完整的数据包捕获,成本和复杂性: 一些DPI工具捕获并保留所有数据包, 导致昂贵的电器, 存储成本增加, 需要很多培训和专业知识来操作. 其他人则承担更多的“重活”,捕获完整的数据包,但只提取每个协议的关键细节和元数据. 这种元数据提取导致大量数据减少,但仍然具有可读性, 可操作的细节是网络和安全团队的理想选择.

结论

网络流量分析是监控网络可用性和活动以识别异常的重要方法, 最大化性能, 还要留意有没有袭击. 除了日志聚合之外, UEBA, 端点数据, 网络流量是全面可见性和安全性分析的核心部分,可以及早发现威胁并快速消除威胁.

在选择NTA解决方案时, 考虑一下当前网络上的盲点, 需要信息的数据源, 以及它们在网络上的关键点,以便进行有效的监控. 与 NTA作为一个图层添加到你的 安全信息和事件管理(SIEM) 解决方案,您将获得对环境和用户的更多了解.

继续学习NTA

了解Rapid7的NTA产品

来自Rapid7博客的网络流量分析新闻