携手共进
创造美好未来

流量攻击的目的主要是(流量分析属于被动攻击的手段)

流量分析属于什么攻击类型,流量分析是什么攻击?

数字咨询分析师:星云

XDR是近两年安全行业的热词。其实拆分XDR也代表了网络安全发展的两个方向。

首先是“X”,代表“扩展”——安全性需要扩展。几年前火热的“EDR”已经不足以构建一条安全的防线——仅仅靠端点的防御是无法真正把握自己的安全态势的。安全需要扩展,不是增加个体的安全能力,而是能够相互连接,才能实现真正意义上的“扩展”。

其次,“DR”代表“检测和响应”——安全不仅需要检测,还需要响应。传统的安全理念是阻挡各种攻击。然而,很明显,随着攻击的变化越来越快,预先完全了解并防御所有攻击几乎是不现实的。因此,企业更需要的是能够在攻击发生时及时知道,并采取适当的行动进行响应。

这是当前安全发展的一个趋势:不同的安全能力需要协作,形成一个检测和响应的防御体系。因此,在基于端点安全能力的EDR建设的基础上,基于流量的NDR将越来越受到重视。

NTA的局限性

基于流量的安全能力一直备受关注。安全研究者一直明白流量在万物互联时代的重要性。NTA的出现代表了安防行业对流量的重视。

然而,NTA,正如它的名字是“网络流量分析”——网络流量分析,其主要能力在于流量分析。Gartner将NTA定义为“使用机器学习、高级分析和规则检测技术来检测企业网络中的可疑行为”。但NTA的出发点仍然是检测流量,使用能力仍然局限于流量的分析;与此同时,Gartner认为,NTA需要能够使用机器学习和高级分析技术。但在实现阶段,受限于当时的技术能力,仍以规则匹配为主,导致NTA在检测和分析方面的能力同样不尽如人意。

对于企业流量的分析,目的是能够识别真正会对自身环境产生影响的威胁——而不仅仅是可疑行为。NTA的检测结果往往会产生大量的警报——任何可疑的行为都会引起注意,安全人员会淹没在大量的警报中,无法准确找到真正需要解决的问题——那些被成功攻击的事件。

另一方面,即使NTA可以识别企业环境中的可疑行为,那又如何呢?

对于企业来说,发现问题只是第一步,问题是需要解决的。在这方面,NTA显然并不完美。此时,NDR应运而生——NDR不仅是为了呼应EDR的另一位“博士”,更是基于企业“不仅要检测,还要响应”的安全需求。

基于流量的安全的一大步

从简单的分析到反应能力,对于基于流量的安全来说是一大步。目前应对手段确实有限,除了堵和隔离,其他有效措施不多。但在具体操作中,“如何合理封堵”是一个至关重要的问题。安全需要确保业务的运行。如果业务无法安全运营,那就本末倒置了。从检测到响应的跨度是,在检测到可疑行为的基础上,需要能够将流量的可疑情况与业务关联起来,进一步了解流量与业务的关系,明确可疑行为可能造成的后果,并提出适当的阻断策略,从而指导相关安全人员做出正确的决策。

除了提高反应能力,NDR的探测能力与NTA相比也有很大变化。除了规则匹配能力,NDR的检测能力还整合了机器学习、威胁情报等多维能力。

先看看EDR的局限性:

成本高:EDR需要部署在被保护的端点上,而随着企业IT环境规模增大,端点数量增多,成本也会大幅度提升。影响业务:EDR需要直接部署在端点上的另一个问题,在于EDR的存在可能会影响业务的性能。对于业务敏感性高的组织,承载业务能力的端点又恰恰是最需要保护的对象,但是EDR的存在又可能反而影响业务的性能,这就成了另一个安全与业务的矛盾点。易被绕过:因为EDR会在端点存在一定的对抗能力,反而容易被攻击者针对,通过主动对抗的方式对EDR进行逆向,摸清EDR的检测规则进行绕过。同时,现有的EDR多以hook技术为主,容易被攻击者采取针对性的方式进行绕过。还原局限性:由于EDR能采集的信息局限在端点,很难从整体环境对整个安全事件进行还原。只能在端点侧进行还原,无法对整个威胁的流动进行还原。

NDR在这些问题上有自己的优势:

成本低:NDR部署在环境的流量出入口处,能够获取整个环境对外的交互情况,但是由于部署的位置较少,在作用于同等大小的网络环境时,NDR的成本会远低于EDR。如果从企业整体的安全投入收益角度来看,NDR的建设优先级高于EDR。业务零影响:NDR在流量出入口旁路部署,对业务几乎无影响。静默无感知:旁路部署不仅仅对业务的影响小,同时处于静默状态,对攻击者而言也是透明的,使得攻击者更难针对性攻击。同时,处于静默状态的NDR不直接进行对抗,攻击者无法通过测试攻击来掌握NDR的运行模式,从而对防御进行绕过。更完整的威胁分析:由于NDR能够对整个南北流量进行分析,可以对整个攻击“路径”进行更完善的复现,了解攻击如何从外部进入,而不是只是在端点对攻击的“结果”进行重演。

从NTA到NDR,不仅仅是检测能力的提高和反应能力的增加,更是作为一个产品各方面的提高,这将基于上一层楼的交通安全能力。

NDR实践之下的挑战

虽然从NTA到NDR,企业基于流量的安全能力已经大大提高,但NDR仍然面临一些挑战。

目前我国网络安全建设有两种驱动力,即合规驱动和事件驱动。以EDR为例。作为领先的终端保护能力,EDR在市场上有很大的影响力,因为终端保护的要求是合规的。另一方面,EDR本身可以分析端点上的事件,实现一定的未知威胁检测和防护能力;同时,对事件的进一步调查可以达到追根溯源、取证的效果。因此,EDR可以满足基于攻防演练的“事件驱动”需求。

另一方面,NDR在目前的合规要求下,相对于端点端,对流量端的规范并不完善,企业对基于流量的安全产品的合规驱动较少。但在实践场景上,目前NDR的实际使用案例很少,企业对NDR的能力还有些怀疑,这也成为NDR之后市场发展的挑战。

另一方面,在实际检测中,NDR在具体的使用场景中也会有一些盲点:首先,随着加密流量越来越多,NDR也需要增强解密流量的能力。如果解密能力跟不上,检出率会大大降低;其次,由于成本的原因,企业往往只在核心交换机部署NDR。虽然他们可以掌握企业的南北流量,但不经过核心交换机、处于单一网络区域的东西流量,NDR无法监控,因此成为检测和响应的盲区。

对于NDR市场驱动力的挑战和解决方案的局限性,微步在线有着自己的信心。

首先,有NDR需求的企业客户会在一些节点对流量进行解密,用NDR产品实现更好的检测和响应。同时,微步TDP本身具有更好的流量解密能力,所以在加密流量不断增加的时刻,TDP仍然能够检测出流量中隐藏的威胁。

其次,它以威胁情报加强其探测能力。作为国内顶尖的威胁情报厂商,微步在线本身拥有丰富的威胁信息库,包含了大量的攻击来源、攻击工具特征、最新漏洞利用等信息。,这样它就可以根据通过NDR的流量对攻击者进行画像,并在风险流量深入环境之前采取措施。在不同核心交换机之间的南北向流量和东西向流量,只要TDP能覆盖,就能达到较好的检测响应。

最后,对于潜伏在单个网络区域的攻击者,微步在线可以用自己免费的闭源蜜罐HFish和TDP打通,从而检测出单个网络区域内的横向移动行为。

“我们认为企业中的网络攻击在技术层面上是符合二八定律的。客户遇到的攻击,80%在技术水平上低于平均水平。这类攻击的TDP很容易被检测到,而剩下的20%是有针对性的APT攻击。在检测这些攻击的时候,我们会依靠机器学习、模型、威胁情报技术来检测,特别是我们的情报技术是最成熟的,所以这20%我们也很擅长。赵林林说。

流量上的攻防

对于防护产品来说,最重要的是安全防护的效果。海量报警相当于没有报警,过高的误报率会导致安保人员无法追踪到真正的威胁;而且越来越多的攻击者直接通过0day漏洞等手段绕过防御,造成误报。

对于安全团队来说,能够准确判断攻击是否已经成功非常重要,这样安全人员就可以专注于真正值得关注的安全事件,从而有效提高自己的应对能力。所以安全产品的效果需要经过实战的检验才能被证明。

为了验证NDR的能力,今年2月,微步在线携旗下NDR产品威胁检测平台TDP向白帽子发起流量攻防挑战——为期两周的线上公开测试模式,测试参赛选手能否成功绕过其NDR产品并获得积分。在本次比赛中,微步在线放弃了NDR的无声优势,将测试结果反馈给参赛选手,并允许参赛选手重复提交测试流程——这相当于与参赛选手直接对抗NDR。在这种情况下,TDP的检出率从第一周的98%下降到第二周的93.7%。除了参赛选手可以通过测试反馈进行针对性的攻击测试,还有大量参赛选手利用0day漏洞进行攻击测试;比赛期间TDP的0day漏洞检出率达到50%。

非静默状态下的NDR对于0day漏洞能达到50%的检测率已经是不错的成绩,但也意味着安全能力还有待提升。比赛结束后,微步在线针对被绕过的0-0day漏洞进一步完善了TDP,检测率提升至98%。

没有攻防的效果,就无法检验安全能力的价值。然而,攻防技术是一个反复进化的过程。只有通过实际的攻防实践不断发现自身产品的不足,才能不断输出客户需要的安全能力。这次基于流量的对决,不仅是为了展示微步在线NDR产品的能力,也可以看作是一次安全产品的公开测试活动——只有能通过不同情况测试的安全产品才是好的安全产品。赵林林透露,微步在线未来会举办更多的公开测试活动,可能是新产品的公开测试,也可能是定期、阶段性的举办这个挑战赛。

网络安全的重点已经逐渐转移到检测和响应能力上。在端点的检测和响应之后,流量端的检测和响应也要引起重视。随着NDR技术的成熟,检测效果越来越明显,下一个安全交通时代可能即将到来。

版权声明:本站资源及文章图片来自互联网及其他公众平台,版权归原作者,如有侵权请联系我们删除!
文章链接:http://www.rujiaoqi1.com/149727.html