伴隨著對(duì)云計(jì)算的擁抱、新的DevOps流程的普及、物聯(lián)網(wǎng)設(shè)備的蔓延、供應(yīng)鏈的復(fù)雜交織以及更多數(shù)字基建的涌現(xiàn)，新一代網(wǎng)絡(luò)攻擊手段也在持續(xù)演進(jìn)，有效的威脅檢測(cè)與響應(yīng)能力作為重要的攻防手段，是提升實(shí)戰(zhàn)化對(duì)抗能力的關(guān)鍵因素。

　　推出《高級(jí)威脅檢測(cè)與響應(yīng)解決方案》系列訪談，邀請(qǐng)相關(guān)安全廠商分享主動(dòng)感知、分析、防御、溯源高級(jí)威脅的成功經(jīng)驗(yàn)，及其方案服務(wù)的能力和特色，為企業(yè)用戶提升安全建設(shè)水平提供一定參考。

　　本期，我們走進(jìn)科來(lái)網(wǎng)絡(luò)技術(shù)股份有限公司（以下簡(jiǎn)稱“科來(lái)”），一睹他們?cè)谠擃I(lǐng)域的觀察思考和實(shí)踐。

　　科來(lái)成立于2003年，專注于網(wǎng)絡(luò)流量分析技術(shù)研究與產(chǎn)品開(kāi)發(fā)，在國(guó)內(nèi)率先提出“全流量”、“回溯”概念，并推出了以網(wǎng)絡(luò)全流量采集與分析技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)回溯產(chǎn)品，形成了面向政府、金融、能源、運(yùn)營(yíng)商、交通等不同行業(yè)、不同規(guī)模、不同應(yīng)用的解決方案，廣泛應(yīng)用于國(guó)內(nèi)外用戶的網(wǎng)絡(luò)智能運(yùn)維與網(wǎng)絡(luò)安全分析等關(guān)鍵領(lǐng)域。

　　攻擊不斷進(jìn)階 防守面臨巨大挑戰(zhàn)

　　根據(jù)科來(lái)觀察，現(xiàn)在的網(wǎng)絡(luò)攻擊更為復(fù)雜化，尤其當(dāng)下的攻擊工具存在相對(duì)泛濫性與易得性，比如一些攻擊武器，如新的漏洞、攻擊代碼等等都比以往更容易獲取。換句話說(shuō)，從整個(gè)攻擊成本和困難程度而言，攻擊相對(duì)更加容易了。

　　另一方面，防守的難度卻在加大——面向目前的網(wǎng)絡(luò)安全市場(chǎng)，大多數(shù)的客戶的業(yè)務(wù)都趨于精細(xì)化，維護(hù)與防御的難度更大，同時(shí)盤根錯(cuò)節(jié)的業(yè)務(wù)流程由數(shù)字工具承載，且暴露于互聯(lián)網(wǎng)上，這就導(dǎo)致很容易被攻擊。此消彼長(zhǎng)，當(dāng)下整體的網(wǎng)絡(luò)安全態(tài)勢(shì)更為嚴(yán)峻，主要表現(xiàn)在：很多攻擊不再是單一作戰(zhàn)，如國(guó)內(nèi)外的APT組織依然活躍，其攻擊手法也更為復(fù)雜；除了傳統(tǒng)的竊取信件、植入木馬等等慣用手段，針對(duì)虛擬環(huán)境、甚至發(fā)展到控制運(yùn)營(yíng)商網(wǎng)絡(luò)的高級(jí)攻擊不時(shí)發(fā)生；而威脅的影響范圍，除了會(huì)針對(duì)傳統(tǒng)的重點(diǎn)單位和關(guān)基設(shè)施之外，近兩年通過(guò)攻擊供應(yīng)鏈來(lái)制造破壞的情況也在變多，進(jìn)而一舉輻射牽連到成百上千的組織，危害性較大。

　　在這些新興的、嚴(yán)峻的威脅攻擊手法面前，企業(yè)正面臨前所未有的安全挑戰(zhàn)：

　　第一點(diǎn)是難以發(fā)現(xiàn)。現(xiàn)在許多新型攻擊手段往往能繞過(guò)防火墻、殺毒軟件這類傳統(tǒng)的安全檢測(cè)設(shè)備，如果企業(yè)僅僅沿用過(guò)去的防御手段，就會(huì)產(chǎn)生防護(hù)盲區(qū)和漏洞。

　　第二點(diǎn)是難以回溯。通常，企業(yè)的安全團(tuán)隊(duì)發(fā)現(xiàn)了內(nèi)部（或橫向）的一些異常，但是不能完整地復(fù)現(xiàn)整個(gè)攻擊過(guò)程，包括攻擊如何產(chǎn)生、如何進(jìn)入、控制了誰(shuí)、橫向內(nèi)部攻擊了誰(shuí)。無(wú)法還原整個(gè)攻擊鏈就如同盲人摸象，不能掌握整個(gè)攻擊的發(fā)展趨勢(shì)，在后續(xù)的防御中也會(huì)比較被動(dòng)。

　　第三點(diǎn)是難以溯源。更艱難的是，除了不知道對(duì)方是怎么攻擊你的之外，還不知道是誰(shuí)在攻擊你。站在企業(yè)的角度，如果想要了解是什么因素引發(fā)了攻擊、攻擊者的背景等等信息，對(duì)很多企業(yè)來(lái)說(shuō)是不小的挑戰(zhàn)。

　　全流量分析技術(shù)

　　成為應(yīng)對(duì)高級(jí)威脅的必備手段

　　面對(duì)逐級(jí)進(jìn)化的威脅攻擊態(tài)勢(shì)，安全防守也并不是一成不變的?？苼?lái)為我們總結(jié)了安全檢測(cè)技術(shù)的演化路徑，早期比較常見(jiàn)的防御手段是部署防火墻、網(wǎng)絡(luò)隔離，以及比較原始的一代檢測(cè)技術(shù)，如基于漏洞庫(kù)以及威脅特征的IDS、WAF等產(chǎn)品。隨著一些新型威脅的出現(xiàn)，比如通過(guò)釣魚(yú)郵件進(jìn)行內(nèi)部感染，沙箱技術(shù)就是隨之出現(xiàn)的檢測(cè)方法。

　　在國(guó)內(nèi)攻防演練形成常態(tài)之后，安全人員發(fā)現(xiàn)，在面對(duì)高可疑攻擊行為的時(shí)候，對(duì)抗的關(guān)鍵點(diǎn)在于怎樣去快速驗(yàn)證、研判以及擴(kuò)線分析。這么一來(lái)，怎樣去提升研判效率與準(zhǔn)確度，就成為防守方的取勝要訣。在這種情況下，如果能夠具備對(duì)于網(wǎng)絡(luò)流量的全協(xié)議解析、保存、分析能力，實(shí)現(xiàn)對(duì)于告警數(shù)據(jù)的全量全包、以及全協(xié)議檢測(cè)，無(wú)疑能大大提升對(duì)于攻擊的研判準(zhǔn)確率。目前，網(wǎng)絡(luò)流量分析技術(shù)成為應(yīng)對(duì)未知威脅的技術(shù)發(fā)展趨勢(shì)，并曾被Gartner評(píng)為十一項(xiàng)頂級(jí)安全技術(shù)之一。

　　據(jù)了解，科來(lái)在發(fā)展早期就決定獨(dú)立研發(fā)面向國(guó)內(nèi)的網(wǎng)絡(luò)流量分析產(chǎn)品。在其與客戶的交流中，得到反饋發(fā)現(xiàn)網(wǎng)絡(luò)流量分析技術(shù)在諸多方面可以滿足用戶對(duì)于網(wǎng)絡(luò)安全的需求。

　　傳統(tǒng)的基于策略、特征的安全產(chǎn)品，在面臨諸如APT攻擊等高級(jí)未知威脅對(duì)抗的時(shí)候，很難成功察覺(jué)，為了更清楚地透析威脅情況、破壞范圍與攻擊走向，更需要對(duì)全流量采集、存儲(chǔ)與分析，對(duì)流量進(jìn)行挖掘，獲取里面的線索情報(bào)，并回溯整個(gè)安全事件，讓客戶知道整個(gè)安全事件是怎么發(fā)展的，比如網(wǎng)絡(luò)遭受攻擊的原因、是否產(chǎn)生了橫向擴(kuò)展、擴(kuò)展后的行為等等，讓客戶對(duì)整個(gè)攻擊路徑、攻擊者情況等等都有清晰的了解。

　　“再高級(jí)的攻擊也會(huì)產(chǎn)生流量”，科來(lái)強(qiáng)調(diào)，流量分析技術(shù)對(duì)于安全防御體系建設(shè)，有著不可或缺的作用。

　　作為一項(xiàng)重要、底層的基礎(chǔ)技術(shù)，全流量分析在實(shí)際業(yè)務(wù)中有眾多的應(yīng)用場(chǎng)景。首先，可以對(duì)企業(yè)的業(yè)務(wù)資產(chǎn)和未知的業(yè)務(wù)訪問(wèn)關(guān)系進(jìn)行梳理，幫助企業(yè)有效收斂業(yè)務(wù)暴露面，從而提升防御的強(qiáng)度。同時(shí)，針對(duì)APT攻擊、隱蔽信道傳輸以及高級(jí)木馬等威脅，基于高檢出效率的流量分析進(jìn)行的異常行為建模，也是當(dāng)下使用廣泛的安全防御措施，在各種安全事件響應(yīng)、攻防演練場(chǎng)景下廣受重視和應(yīng)用。

　　科來(lái)全流量分析：

　　為用戶賦能“檢測(cè)”和“響應(yīng)”雙重能力

　　科來(lái)介紹，其全流量分析是建立在海量數(shù)據(jù)的保存和處理基礎(chǔ)上的檢測(cè)技術(shù)，結(jié)合大數(shù)據(jù)處理、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等技術(shù)，通過(guò)全流量分析設(shè)備，實(shí)現(xiàn)網(wǎng)絡(luò)全流量采集與保存、全行為分析與全流量回溯，并提取網(wǎng)絡(luò)元數(shù)據(jù)上傳到大數(shù)據(jù)分析平臺(tái)，從而滿足客戶更為細(xì)致與豐富的需求。

　　安全防御的能力取決于安全感知能力，而安全感知能力的重點(diǎn)則在于對(duì)未知安全威脅的感知能力上。從流量視角來(lái)看，這種能力就體現(xiàn)在對(duì)于協(xié)議的理解和解析上。

　　科來(lái)在全量數(shù)據(jù)采集與保存的基礎(chǔ)上，實(shí)現(xiàn)了全行為建模與分析、全流量回溯，能夠在網(wǎng)絡(luò)攻防對(duì)抗中精準(zhǔn)發(fā)現(xiàn)與確認(rèn)攻擊威脅。“無(wú)論是針對(duì)攻擊的隱蔽信道，還是發(fā)現(xiàn)網(wǎng)絡(luò)中傳輸協(xié)議的異常流量，當(dāng)我們能透析更多的網(wǎng)絡(luò)流量?jī)?nèi)容，那么我們就能看得更清楚、更透徹、更全面，這樣一來(lái)，利用協(xié)議漏洞的網(wǎng)絡(luò)攻擊就無(wú)所遁形?！?/p>

　　未來(lái)整體技術(shù)趨勢(shì)正轉(zhuǎn)向智能化與聚合化

　　隨著未來(lái)數(shù)字化系統(tǒng)越來(lái)越多地應(yīng)用到社會(huì)關(guān)鍵基礎(chǔ)設(shè)施，數(shù)字化系統(tǒng)自身的安全、穩(wěn)定、可靠將至關(guān)重要。以往，如果只依靠關(guān)鍵詞的反饋會(huì)產(chǎn)生大量的告警，安全設(shè)備提供的告警驗(yàn)證只讓安全人員看到單個(gè)請(qǐng)求或響應(yīng)包的情況，不僅無(wú)法及時(shí)確認(rèn)真正的威脅所在之處，也不能對(duì)攻擊行為進(jìn)行進(jìn)一步的研判與分析?？苼?lái)分析，未來(lái)整體技術(shù)趨勢(shì)正在轉(zhuǎn)向智能化與聚合化，從單一警報(bào)轉(zhuǎn)向事件集合，來(lái)進(jìn)一步賦能安全體系，以實(shí)現(xiàn)對(duì)于企業(yè)精細(xì)化安全防御的完善與補(bǔ)充。

　　科來(lái)表示，網(wǎng)絡(luò)流量分析技術(shù)是一項(xiàng)在不同領(lǐng)域有著豐富應(yīng)用場(chǎng)景的底層基礎(chǔ)技術(shù)，可以衍生出更多的可能。未來(lái)將進(jìn)一步圍繞數(shù)字化互聯(lián)智能系統(tǒng)保障的相關(guān)技術(shù)產(chǎn)品開(kāi)發(fā)，在網(wǎng)絡(luò)流量分析技術(shù)、網(wǎng)絡(luò)性能分析、網(wǎng)絡(luò)安全分析等產(chǎn)品和技術(shù)開(kāi)發(fā)的基礎(chǔ)上尋求更多可能，為圍繞數(shù)字化互聯(lián)智能系統(tǒng)保障的相關(guān)技術(shù)產(chǎn)品的開(kāi)發(fā)，成為真正的數(shù)字化互聯(lián)智能時(shí)代的守護(hù)者。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<