《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 《高級威脅檢測與響應(yīng)解決方案》系列訪談——科來篇

《高級威脅檢測與響應(yīng)解決方案》系列訪談——科來篇

2022-11-06
來源:安全419
關(guān)鍵詞: 科來 威脅檢測

  伴隨著對云計算的擁抱,、新的DevOps流程的普及,、物聯(lián)網(wǎng)設(shè)備的蔓延,、供應(yīng)鏈的復(fù)雜交織以及更多數(shù)字基建的涌現(xiàn),,新一代網(wǎng)絡(luò)攻擊手段也在持續(xù)演進,,有效的威脅檢測與響應(yīng)能力作為重要的攻防手段,,是提升實戰(zhàn)化對抗能力的關(guān)鍵因素,。

  推出《高級威脅檢測與響應(yīng)解決方案》系列訪談,,邀請相關(guān)安全廠商分享主動感知,、分析、防御,、溯源高級威脅的成功經(jīng)驗,,及其方案服務(wù)的能力和特色,為企業(yè)用戶提升安全建設(shè)水平提供一定參考。

  本期,,我們走進科來網(wǎng)絡(luò)技術(shù)股份有限公司(以下簡稱“科來”),,一睹他們在該領(lǐng)域的觀察思考和實踐。

  科來成立于2003年,,專注于網(wǎng)絡(luò)流量分析技術(shù)研究與產(chǎn)品開發(fā),,在國內(nèi)率先提出“全流量”、“回溯”概念,,并推出了以網(wǎng)絡(luò)全流量采集與分析技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)回溯產(chǎn)品,,形成了面向政府、金融,、能源,、運營商、交通等不同行業(yè),、不同規(guī)模,、不同應(yīng)用的解決方案,廣泛應(yīng)用于國內(nèi)外用戶的網(wǎng)絡(luò)智能運維與網(wǎng)絡(luò)安全分析等關(guān)鍵領(lǐng)域,。

  攻擊不斷進階 防守面臨巨大挑戰(zhàn)

  根據(jù)科來觀察,,現(xiàn)在的網(wǎng)絡(luò)攻擊更為復(fù)雜化,尤其當(dāng)下的攻擊工具存在相對泛濫性與易得性,,比如一些攻擊武器,,如新的漏洞、攻擊代碼等等都比以往更容易獲取,。換句話說,,從整個攻擊成本和困難程度而言,攻擊相對更加容易了,。

  另一方面,,防守的難度卻在加大——面向目前的網(wǎng)絡(luò)安全市場,大多數(shù)的客戶的業(yè)務(wù)都趨于精細(xì)化,,維護與防御的難度更大,,同時盤根錯節(jié)的業(yè)務(wù)流程由數(shù)字工具承載,且暴露于互聯(lián)網(wǎng)上,,這就導(dǎo)致很容易被攻擊,。此消彼長,當(dāng)下整體的網(wǎng)絡(luò)安全態(tài)勢更為嚴(yán)峻,,主要表現(xiàn)在:很多攻擊不再是單一作戰(zhàn),,如國內(nèi)外的APT組織依然活躍,其攻擊手法也更為復(fù)雜,;除了傳統(tǒng)的竊取信件,、植入木馬等等慣用手段,,針對虛擬環(huán)境、甚至發(fā)展到控制運營商網(wǎng)絡(luò)的高級攻擊不時發(fā)生,;而威脅的影響范圍,,除了會針對傳統(tǒng)的重點單位和關(guān)基設(shè)施之外,近兩年通過攻擊供應(yīng)鏈來制造破壞的情況也在變多,,進而一舉輻射牽連到成百上千的組織,,危害性較大。

  在這些新興的,、嚴(yán)峻的威脅攻擊手法面前,,企業(yè)正面臨前所未有的安全挑戰(zhàn):

  第一點是難以發(fā)現(xiàn)。現(xiàn)在許多新型攻擊手段往往能繞過防火墻,、殺毒軟件這類傳統(tǒng)的安全檢測設(shè)備,,如果企業(yè)僅僅沿用過去的防御手段,就會產(chǎn)生防護盲區(qū)和漏洞,。

  第二點是難以回溯,。通常,企業(yè)的安全團隊發(fā)現(xiàn)了內(nèi)部(或橫向)的一些異常,,但是不能完整地復(fù)現(xiàn)整個攻擊過程,,包括攻擊如何產(chǎn)生、如何進入,、控制了誰,、橫向內(nèi)部攻擊了誰。無法還原整個攻擊鏈就如同盲人摸象,,不能掌握整個攻擊的發(fā)展趨勢,,在后續(xù)的防御中也會比較被動。

  第三點是難以溯源,。更艱難的是,,除了不知道對方是怎么攻擊你的之外,,還不知道是誰在攻擊你,。站在企業(yè)的角度,如果想要了解是什么因素引發(fā)了攻擊,、攻擊者的背景等等信息,,對很多企業(yè)來說是不小的挑戰(zhàn)。

  全流量分析技術(shù)

  成為應(yīng)對高級威脅的必備手段

  面對逐級進化的威脅攻擊態(tài)勢,,安全防守也并不是一成不變的,。科來為我們總結(jié)了安全檢測技術(shù)的演化路徑,,早期比較常見的防御手段是部署防火墻,、網(wǎng)絡(luò)隔離,以及比較原始的一代檢測技術(shù),如基于漏洞庫以及威脅特征的IDS,、WAF等產(chǎn)品,。隨著一些新型威脅的出現(xiàn),比如通過釣魚郵件進行內(nèi)部感染,,沙箱技術(shù)就是隨之出現(xiàn)的檢測方法,。

  在國內(nèi)攻防演練形成常態(tài)之后,安全人員發(fā)現(xiàn),,在面對高可疑攻擊行為的時候,,對抗的關(guān)鍵點在于怎樣去快速驗證、研判以及擴線分析,。這么一來,,怎樣去提升研判效率與準(zhǔn)確度,就成為防守方的取勝要訣,。在這種情況下,,如果能夠具備對于網(wǎng)絡(luò)流量的全協(xié)議解析、保存,、分析能力,,實現(xiàn)對于告警數(shù)據(jù)的全量全包、以及全協(xié)議檢測,,無疑能大大提升對于攻擊的研判準(zhǔn)確率,。目前,網(wǎng)絡(luò)流量分析技術(shù)成為應(yīng)對未知威脅的技術(shù)發(fā)展趨勢,,并曾被Gartner評為十一項頂級安全技術(shù)之一,。

  據(jù)了解,科來在發(fā)展早期就決定獨立研發(fā)面向國內(nèi)的網(wǎng)絡(luò)流量分析產(chǎn)品,。在其與客戶的交流中,,得到反饋發(fā)現(xiàn)網(wǎng)絡(luò)流量分析技術(shù)在諸多方面可以滿足用戶對于網(wǎng)絡(luò)安全的需求。

  傳統(tǒng)的基于策略,、特征的安全產(chǎn)品,,在面臨諸如APT攻擊等高級未知威脅對抗的時候,很難成功察覺,,為了更清楚地透析威脅情況,、破壞范圍與攻擊走向,更需要對全流量采集,、存儲與分析,,對流量進行挖掘,獲取里面的線索情報,,并回溯整個安全事件,,讓客戶知道整個安全事件是怎么發(fā)展的,,比如網(wǎng)絡(luò)遭受攻擊的原因、是否產(chǎn)生了橫向擴展,、擴展后的行為等等,,讓客戶對整個攻擊路徑、攻擊者情況等等都有清晰的了解,。

  “再高級的攻擊也會產(chǎn)生流量”,,科來強調(diào),流量分析技術(shù)對于安全防御體系建設(shè),,有著不可或缺的作用,。

  作為一項重要、底層的基礎(chǔ)技術(shù),,全流量分析在實際業(yè)務(wù)中有眾多的應(yīng)用場景,。首先,可以對企業(yè)的業(yè)務(wù)資產(chǎn)和未知的業(yè)務(wù)訪問關(guān)系進行梳理,,幫助企業(yè)有效收斂業(yè)務(wù)暴露面,,從而提升防御的強度。同時,,針對APT攻擊,、隱蔽信道傳輸以及高級木馬等威脅,基于高檢出效率的流量分析進行的異常行為建模,,也是當(dāng)下使用廣泛的安全防御措施,,在各種安全事件響應(yīng)、攻防演練場景下廣受重視和應(yīng)用,。

  科來全流量分析:

  為用戶賦能“檢測”和“響應(yīng)”雙重能力

  科來介紹,,其全流量分析是建立在海量數(shù)據(jù)的保存和處理基礎(chǔ)上的檢測技術(shù),結(jié)合大數(shù)據(jù)處理,、機器學(xué)習(xí),、深度學(xué)習(xí)等技術(shù),通過全流量分析設(shè)備,,實現(xiàn)網(wǎng)絡(luò)全流量采集與保存,、全行為分析與全流量回溯,并提取網(wǎng)絡(luò)元數(shù)據(jù)上傳到大數(shù)據(jù)分析平臺,,從而滿足客戶更為細(xì)致與豐富的需求,。

  安全防御的能力取決于安全感知能力,而安全感知能力的重點則在于對未知安全威脅的感知能力上,。從流量視角來看,這種能力就體現(xiàn)在對于協(xié)議的理解和解析上,。

  科來在全量數(shù)據(jù)采集與保存的基礎(chǔ)上,,實現(xiàn)了全行為建模與分析,、全流量回溯,能夠在網(wǎng)絡(luò)攻防對抗中精準(zhǔn)發(fā)現(xiàn)與確認(rèn)攻擊威脅,?!盁o論是針對攻擊的隱蔽信道,還是發(fā)現(xiàn)網(wǎng)絡(luò)中傳輸協(xié)議的異常流量,,當(dāng)我們能透析更多的網(wǎng)絡(luò)流量內(nèi)容,,那么我們就能看得更清楚、更透徹,、更全面,,這樣一來,利用協(xié)議漏洞的網(wǎng)絡(luò)攻擊就無所遁形,?!?/p>

  微信圖片_20221106161651.jpg

  未來整體技術(shù)趨勢正轉(zhuǎn)向智能化與聚合化

  隨著未來數(shù)字化系統(tǒng)越來越多地應(yīng)用到社會關(guān)鍵基礎(chǔ)設(shè)施,數(shù)字化系統(tǒng)自身的安全,、穩(wěn)定,、可靠將至關(guān)重要。以往,,如果只依靠關(guān)鍵詞的反饋會產(chǎn)生大量的告警,,安全設(shè)備提供的告警驗證只讓安全人員看到單個請求或響應(yīng)包的情況,不僅無法及時確認(rèn)真正的威脅所在之處,,也不能對攻擊行為進行進一步的研判與分析,。科來分析,,未來整體技術(shù)趨勢正在轉(zhuǎn)向智能化與聚合化,,從單一警報轉(zhuǎn)向事件集合,來進一步賦能安全體系,,以實現(xiàn)對于企業(yè)精細(xì)化安全防御的完善與補充,。

  科來表示,網(wǎng)絡(luò)流量分析技術(shù)是一項在不同領(lǐng)域有著豐富應(yīng)用場景的底層基礎(chǔ)技術(shù),,可以衍生出更多的可能,。未來將進一步圍繞數(shù)字化互聯(lián)智能系統(tǒng)保障的相關(guān)技術(shù)產(chǎn)品開發(fā),在網(wǎng)絡(luò)流量分析技術(shù),、網(wǎng)絡(luò)性能分析,、網(wǎng)絡(luò)安全分析等產(chǎn)品和技術(shù)開發(fā)的基礎(chǔ)上尋求更多可能,為圍繞數(shù)字化互聯(lián)智能系統(tǒng)保障的相關(guān)技術(shù)產(chǎn)品的開發(fā),,成為真正的數(shù)字化互聯(lián)智能時代的守護者,。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]