如果不了解资产内的活动,就无法检测到网络危害。网络安全分析师可以在以下两个位置之一(或有时两者)查看这些活动:通过端点可见性直接在设备上以及在进出设备的通信中;换言之就是在网络上。在之前关于企业网络态势感知 (SA) 的文章中,讨论了端点可见性。在这篇文章中,我们将注意力转向监控和防御网络入侵所需的其他组件,即网络可见性。
网络可见性
网络可见性描述了使用网络上的观察点来捕获数据以提高意识。这些观察点允许监视主机和网络之间发生的通信,而无需在端点上安装客户端。为了实现网络可见性,网络管理员必须
-
评估传感器放置
-
测量交通量并确定趋势
-
确定关键资产的位置
并非所有攻击都可以在端点上检测到,有些仅在网络流量模式中可见。对于某些攻击,检测流量也比检测每个单独的端点更容易。需要哪些工具来提供所有所需的可见性以及它们应放置在网络上的什么位置取决于网络架构、流量和关键资产的位置。
主动和被动控制
网络可见性由主动或被动观察提供。主动观察可以影响通信并对其进行监控,尤其是当网络通过控件路由流量时。被动观察,通常涉及将流量复制到观察点,可以在不与之交互的情况下监控流量。
入侵防御系统 (IPS)是一种主动控制,可以识别恶意流量并终止通信以减轻威胁。入侵检测系统 (IDS) 是一种被动控制 ,就像 IPS 一样,可以发出警报,但不能干扰网络上的流量。除非被内联安全控制代理,否则数据观察只能间接发生。加密或封装的流量对控件不可见,除非被配置为某种中间人或中断检查配置,该配置终止安全控件中的网络流量并启动第二个连接到完成通讯。
网络可见性的局限性
网络可见性提供有关跨越安全边界的数据的信息,意味着可见数据仅包括在端点之间而不是在单个端点内通信的数据。
南北流量在 Internet 和局域网之间移动,北方流量指从企业流向 Internet,而南方流量则从 Internet 进入企业。当流量在不离开企业的情况下从一个网络移动到另一个网络时,该流量被描述为东西向的数据流。
仪表化的互联网接入点将提供对穿越安全控制的数据的访问权限,这些数据可以南北向进出互联网,但不会提供东西向流量的可见性。东西向的流量只有在经过检测的安全域时才能被观察到。除非正在收集该网段上的所有流量,否则不会监控未离开网段或广播域的流量。这种收集可能是识别内部威胁的理想选择,但不在所有机器上安装客户端的情况下收集来自网段的所有流量可能需要付出高昂的努力和费用。
网络可见性将识别哪些端点正在相互通信以及与这些通信相关的其他详细信息,例如
-
协议剖析——描述协议实例化会话的阶段或提供或继续提供服务的操作顺序
-
应用识别
-
与应用程序相关的源和目标信息
-
签名匹配
但是,网络可见性不会提供有关系统本身活动的任何信息。端点之间的大多数通信都涉及客户端-服务器交互,除非通过深度包检测分析内容,否则不会提供数据有效负载信息。
由于协议剖析、解释和警报处理,对所有流量进行深度数据包检查会导致成本过高。高计算量来自于剖析协议而不在网络中引入延迟。进一步的计算工作来自解释剖析的协议结果并产生结果。存储这些结果会导致额外的成本增加。许多组织以选择性方式部署深度数据包检测,针对特定网段或预定义的应用程序头信息。
观察和识别网络流量的趋势有助于定位网络上的异常活动,但可见性的限制可能会阻碍这些努力。可以通过查看通信内容或端点的其他功能(例如身份、角色、启用的服务和其他可以丰富上下文的元素)来解决端点上缺乏可见性的问题。在尝试确定事情是否未按预期工作时,了解端点的目的和功能将有所帮助。端点可见性和网络可见性的结合可以在结果一致时提供有价值的确认,并且可以在结果不同时表明需要进行更多调查。
监控和响应组件可以帮助分析数据、管理数据、管理事件、将事件情境化和响应事件的工具。
关注祺印说信安公众号回复“220213”获取“小型企业网络安全指南”PDF版
原文始发于微信公众号(祺印说信安):网络安全架构的态势感知:网络可见性
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论