部署网络可见性和网络检测和响应 (NDR) 解决方案来收集、查看和分析网络活动,以检测网络上的可疑和恶意活动。
这些解决方案中的大多数都是为了将数据从收集点 (或传感器) 移动到中央存储库进行分析而构建的。
这种方法有几个缺点,包括规模、性能、成本和准确性 (误报) 的问题。所有这些问题都可以通过以分布式方式在源处执行流量分析的解决方案来克服。
集中式网络安全方法的问题
在集中式方法中,数据包传感器连接到企业网络以监视网络流量,并将收集的数据发送到集中式服务器进行分析。
中央服务器通常在云中,但也可以是客户驻地内的数据库和分析服务器。这种方法的第一个问题是它复制了网络内的流量,因为所有收集的数据必须由中央服务器移动以进行分析。
由于对网络的影响,中央数据库的大小和分析成本,这是昂贵的。
为了克服分组数据复制的成本,大多数解决方案减少发送到中央服务器的数据。它们以元数据或NetFlow的形式发送提取的数据,而不是发送完整的网络数据包。
这产生了第二个问题,即分析工作在有限的信息上,这导致在检测到可疑或恶意流量时,不准确且缺乏供安全分析人员查看的真实取证信息。
虽然信息的减少有助于降低网络数据传输的成本,但它仍然需要大型中央数据库和分析引擎,这不能完全解决成本问题。
它可以在小型网络中工作,但是随着企业发展到每秒数千个主机和许多千兆比特的聚合网络数据,存储元数据或NetFlow的成本是巨大的。
第三个问题是集中式分析引擎如何与网络分段、微分段和重叠ip地址一起工作。一旦收集到中央分析引擎,就需要额外的信息,这增加了维护系统和创建准确分析的复杂性。
采用集中式方法的解决方案体现了分析引擎的价值,该分析引擎可以在网络的多个位置检测到类似的问题。然而,网络分析是关于客户端和服务器之间的通信。只要在关键收集点部署传感器,分析数据的位置就没有任何价值。
由于集中式方法的成本,网络可见性通常仅部署在网络的边缘。这为内部网络可见性留下了空白,可以在违规后检测受感染主机的操作。
事实上,根据网络安全和基础设施安全局 (CISA) 的说法,顶部错误配置在网络安全中,内部网络监控不足。
一种分布式的网络安全方法
在分布式方法中,传感器放置在网络中以收集和分析网络数据包,以检测网络上的威胁和恶意活动,就像集中式方法中需要传感器一样。然而,在这种情况下,分析是在传感器内、在集合的源处执行的,而不是移动到中央服务器。
这种方法有几个优点:
首先,完整的数据包和网络通信可用于分析。它不仅限于元数据或NetFlow,这可以提高准确性,并为安全分析师提供更好的取证。它还降低了解决方案的成本,因为不需要复制业务。
其次,成本可以随着企业的增长而扩展,因为可以随着业务的增长而添加传感器。在集中式和分布式方法中,随着增长,需要额外的传感器,然而,对于分布式方法,组织只需要添加传感器,而不需要扩展中央数据库的大小来容纳更多的主机和网络数据。可以以类似的方式适应企业向云的增长。
第三,由于数据是在源头进行分析的,因此可以处理网络和微分段的复杂性,而无需按照集中式方法的要求添加复杂的配置。
虽然以分布式方式执行分析,但是这些分布式解决方案仍然在单个服务器中收集所有可疑和恶意检测,以允许分析人员从单个工作流进行工作。
这种检测结果的收集明显小于收集作为分析引擎的输入所需的所有数据。这些解决方案仍然可以实现集中式分析方法所声称的任何好处,因为结果是在安全分析师的中央工作流程中收集的。
源头分析更真实
为了进一步挖掘分布式方法的优势,IT组织现在可以投资购买基于可扩展深度数据包检测 (DPI) 的高级NDR综合解决方案。
该策略提供了适应性强的网络检测工具,在不同的网络基础设施 (包括本地、虚拟和混合云环境) 中扩展了全面的数据包级可见性。
通过分布式方法实现的这种强大的可见性是IT团队检测威胁和制定有效事件响应的更可靠方式。这是因为源处的分析直接调查客户端和服务器之间的通信。
团队使用完整的数据包,而不是提取有限的数据并将其复制到基于云的分析引擎,而不是将元数据传输到另一个源。
正因为如此,这种数据分析方法更直接,导致更真实和准确的分析。
这种多方面的分布式网络分析方法还可以使用有针对性的机器学习 (ML) 技术进行实时威胁检测。
这种方法还可以使用多维威胁检测方法,例如妥协指标 (ioc),策略,签名和特定协议的检测或应用程序检测,以确保全面的网络安全覆盖。
最后,为了实现全面的网络保护,IT组织需要投资新技术,在数据包捕获的源头提供即时分析。这样做可以进行更彻底和诚实的检测,从而最大程度地减少潜在的网络损害。
通过直接分析完整的网络数据包,IT组织可以全面了解合法和恶意网络流量,而不会造成延迟,从而实现更准确的威胁检测和实时取证分析。
采用分布式方法最终将使IT组织能够更准确地识别漏洞和威胁,确保更强大,可扩展的网络安全覆盖范围,以便组织可以随时为未来的攻击做好准备。