网络流量分析(NTA)是一种监控网络可用性和活动以识别异常的方法, 包括安全和操作问题. NTA的常见用例包括:
实现 可以持续监控网络流量的解决方案 为您提供优化网络性能所需的洞察力,最大限度地减少您的 攻击表面,加强安全,改善对您的资源的管理.
然而,知道如何监控网络流量是不够的. It’s important to also consider the data sources for your network monitoring tool; two of the most common are flow data (acquired from devices like routers) 和 packet data (from SPAN, 镜像端口, 和网络水龙头).
加上“it 's not if”, 这是今天关于网络攻击的心态, 对于安全专业人员来说,确保尽可能多地覆盖组织的环境可能会让他们感到难以承受.
The network is a critical element of their 攻击表面; gaining visibility into their network data provides one more area they can detect attacks 和 stop them early.
设置NTA的关键步骤是确保从正确的来源收集数据. 如果您正在寻找流量并映射网络数据包从起点到目的地的旅程,流量数据是非常有用的. 这种级别的信息可以帮助检测未经授权的WAN通信,并利用网络资源和性能, 但它可能缺乏深入研究网络安全问题的丰富细节和背景.
从网络数据包中提取的数据包数据可以帮助网络管理员了解用户是如何实现/操作应用程序的, 跟踪广域网链路上的使用情况, 并监控可疑的恶意软件或其他安全事件. 深度数据包检测(DPI)工具通过将原始元数据转换为可读格式,并使网络和安全管理人员能够深入到最细微的细节,从而提供100%的网络可见性.
密切关注您的网络边界始终是一种好做法. 即使有强大的防火墙,错误也可能发生,恶意流量也可能通过. 用户还可以利用隧道等方法, 外部网管, 和vpn绕过防火墙规则.
此外,勒索软件的兴起 常见的攻击类型 近年来使得网络流量监控变得更加关键. 网络监控解决方案应该能够检测到指示的活动 ransomware攻击 通过不安全的协议. 采取WannaCry, 例如, 攻击者主动扫描TCP端口445打开的网络, 然后利用SMBv1中的漏洞访问网络文件共享.
远程桌面协议(RDP)是另一个常见的目标应用程序. 确保在防火墙上阻止任何入站连接尝试. 监视防火墙内部的流量允许您验证规则, 获得有价值的见解, 也可以用作基于网络流量的警报来源.
注意与管理协议(如远程登录)相关的任何可疑活动. 因为远程登录是一个未加密的协议, 会话流量将显示适合设备品牌和型号的命令行接口(CLI)命令序列. CLI字符串可以显示登录过程, 用户凭证的表示, 显示启动或运行配置的命令, 复制文件, 和更多的.
请确保检查网络数据中是否有运行未加密管理协议的设备, 如:
通过在网络边缘和网络核心实现网络流量分析,可以调查许多操作和安全问题. 使用流量分析工具, 你可以发现大下载量之类的东西, 流或可疑的入站或出站流量. 确保从监视防火墙的内部接口开始, 这将允许您跟踪活动回到特定的客户或用户.
NTA还为组织提供了对其网络威胁的更多可见性, 在端点之外. 随着移动设备、物联网设备、智能电视等的兴起.,您需要比防火墙日志更智能的东西. 当网络受到攻击时,防火墙日志也会出现问题.
您可能会发现,由于防火墙上的资源负载或它们已被覆盖(有时甚至被黑客修改),它们无法访问。, 导致重要的法医信息丢失.
分析和监控网络流量的一些用例包括:
并非所有用于监视网络流量的工具都是相同的. 一般, 它们可以分为两种类型:基于流量的工具和深度数据包检测(DPI)工具. 在这些工具中,您可以选择软件代理, 存储历史数据, 以及入侵检测系统. 在评估哪个解决方案适合您的组织时,请考虑以下五件事:
网络流量分析是监控网络可用性和活动以识别异常的重要方法, 最大化性能, 还要留意有没有袭击. 除了日志聚合之外, UEBA, 端点数据, 网络流量是全面可见性和安全性分析的核心部分,可以及早发现威胁并快速消除威胁.
在选择NTA解决方案时, 考虑一下当前网络上的盲点, 需要信息的数据源, 以及它们在网络上的关键点,以便进行有效的监控. 与 NTA作为一个图层添加到你的 安全信息和事件管理(SIEM) 解决方案,您将获得对环境和用户的更多了解.