而下一代防火墙, 扩展检测和响应(XDR)和其他安全解决方案在检测和阻止网络攻击方面做得很好, 一个鬼鬼祟祟或伪装的威胁溜进网络是很常见的. 然后要求组织的安全团队付出巨大的努力来减轻和补救危险. 与安全解决方案中大量不准确的安全警报(以及日常维护和管理任务)相结合, 这证明了, 在网络安全领域, 专业人士被迫进入被动模式. 从本质上讲,安全团队必须扮演消防员的角色,而不是防火专家.
恶意软件背后的黑客, 高级持续性威胁(apt)和其他漏洞利用只会变得越来越复杂. 经常, 网络犯罪分子使用规避技术来混淆攻击的来源,试图避开一线安全防御. 例如, 他们可能使用匿名网络, 掩码Internet协议(IP)地址, 或者部署僵尸网络.
这些方法掩盖了威胁的真正来源. 某些安全措施, 如黑名单、恶意软件签名匹配等, 至少部分依赖于能够识别攻击的起始点. 黑客使用的狡猾的伪装方法可能, 因此, 通过某些基线安全技术进行逃逸检测.
帮助你从被动心态转变为主动心态, 学术界和工业界的研究人员开始研究来源分析, 理论上,这可以帮助识别安全风险的来源,并启用主动和自动的策略(例如.g.(阻塞、沙箱、终止)在造成任何伤害之前执行.
通过来源分析变得积极主动
来源分析是安全领域中一个相对较新的研究领域. 简单地说, 它利用各种网络设备收集的大量日志数据, 标准化并分析它们, 通过层层的混淆来识别攻击的源头. 一旦识别,网络攻击可以被阻止和/或实时终止.
而不是只有在网络组件被锁定或损坏后才检测到攻击, 来源分析允许安全团队变得积极主动,并在威胁造成损害之前识别威胁.
而不是只有在网络组件被锁定或损坏后才检测到攻击, 来源分析允许安全团队变得积极主动,并在威胁造成损害之前识别威胁.
目前, 一些现有的安全技术,如下一代防火墙(ngfw), 入侵防御系统(ips), web应用防火墙(waf)支持日志聚合, 哪一种方法允许在多个维度上检查日志数据. 安全人员可以使用日志聚合来识别可疑异常或检测误报,然后调整策略或采取其他操作.
而日志聚合是一个有价值的安全工具, 它确实需要人工分析和追踪攻击的根源. 在选择安全解决方案时,这绝对是一个需要考虑的问题. 但是它还没有完全上升到完全自动化来源分析的完整定义.
挑战
在物源分析的全部潜力得以实现之前, 必须克服若干重大挑战. 例如, 需要大量的存储空间来容纳来源分析所获取的所有数据. 从工程的角度来看,计算和网络带宽开销也是直接影响来源分析实用性的巨大挑战.
同样的, 传统的网络结构和协议通常不支持来源分析. 例如, 传统的TCP (transmission control protocol)/ IP (Internet protocol)协议无法将数据包标记为可疑或恶意, 因此,人工进行的来源分析成本非常高. 在这个例子中, 安全分析师花费大量时间手动筛选大量数据包转储,以发现有风险或恶意的流量.
另一个需要关注的领域是传感器网络结构, 例如物联网(IoT)使用的那些. 而这些体系结构通常将日志数据提供给来源分析引擎, 将缓解和执法措施推回物联网设备可能是一项挑战. 随着物联网设备在澳门赌场官方下载环境中的扩散及其值得注意的漏洞,这些设备的有效网络安全只会变得更加紧迫.
展望未来, 某些较新的网络架构,如网络安全网格架构(CSMA)和软件定义网络(SDN),不仅可以使来源分析变得可行, 但更广泛的可用性,无论遗留的网络基础设施. 在此期间,几种来源分析技术(如.g.(日志存储查询,数据包标记)可能被打包并更快可用. 这些过渡解决方案可以为将来更完整的来源分析部署提供途径.
来源分析的下一步
虽然来源分析仍处于起步阶段, 这是学术界积极研究的领域, 网络安全行业, 以及艾伦·图灵研究所等机构.1 尽管有一些障碍和障碍,以实现一个完整的来源分析解决方案, apt和其他网络威胁所带来的风险水平要求我们采取一种新的防御方式. 来源分析是网络安全专业人员从被动到主动的一种方式,也是从不断灭火到防止火灾发生的一种方式.
尾注
1 艾伦·图灵研究所。”来源,安全和机器学习英格兰。”
魏云川博士.D
是Hillstone Networks新技术研究所(RINT)的研究分析师吗. 他的研究范围横跨深度神经网络, 高级威胁关联分析, 威胁情报浓缩, 入侵检测, 在网络和网络安全领域的其他主题. 发表学术论文6篇(SCI-index 2篇)。, 包括一篇被美国电气和电子工程师协会(IEEE) INFOCOM接受的论文, 并已获得9项专利. 可以联系到他 http://www.linkedin.com/in/frank-yunchuan-wei-226723144/.