前不久，啟明星辰重磅發(fā)布了網(wǎng)絡(luò)安全態(tài)勢(shì)觀察報(bào)告，報(bào)告對(duì)近年來網(wǎng)絡(luò)安全的發(fā)展態(tài)勢(shì)進(jìn)行了總結(jié)，并對(duì)未來的網(wǎng)絡(luò)安全發(fā)展趨勢(shì)進(jìn)行了預(yù)判。

針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)的發(fā)展，啟明星辰集團(tuán)合伙人兼副總裁袁智輝用三個(gè)詞對(duì)當(dāng)前的安全態(tài)勢(shì)進(jìn)行了簡單的概括，即逐利化、體系化、組織化。

所謂逐利化是指目前的網(wǎng)絡(luò)安全威脅攻擊越來越目標(biāo)具像，無論是勒索病毒還是僵尸木馬，其目的性十分明確；體系化是指攻擊者的攻擊手法會(huì)按照攻擊鏈條形成各種攻擊武器，形成多個(gè)專業(yè)分割的體系，譬如有專門挖漏洞的，有專門做攻擊載荷的，有專門做木馬的，非常有體系化；組織化是指，目前每個(gè)安全攻擊都不是以一個(gè)單點(diǎn)的形式存在，前期可能用很長的時(shí)間踩點(diǎn)，隨后進(jìn)行單點(diǎn)突破橫向滲透，隨后獲取關(guān)鍵信息資產(chǎn)并消除痕跡，整體極具組織性，由此一來，檢測的重要性尤為凸顯。

“取證難”與“溯源難”成為常態(tài)

然而報(bào)告中有所提及，綜合近年來發(fā)生的網(wǎng)絡(luò)安全事故會(huì)發(fā)現(xiàn)，取證難、溯源難成為常態(tài)。無論是Facebook用戶信息的泄露，還是知名酒店數(shù)據(jù)的外泄等事件，都難以對(duì)攻擊進(jìn)行有效的追溯分析以及對(duì)攻擊進(jìn)行受損評(píng)估。

何為有效的分析溯源？不妨給大家舉個(gè)例子：隨著當(dāng)前網(wǎng)絡(luò)普及程度的提升，“網(wǎng)絡(luò)暴力”的出現(xiàn)讓很多人為之頭疼。很多居心叵測的人會(huì)通過錄制并發(fā)放視頻的方式來博取大眾的眼球，而這些視頻往往會(huì)被進(jìn)行惡意的剪輯，譬如掐頭去尾，用以偏概全的方式來抹黑事實(shí)，給大眾造成譬如“城管打人”“警察暴力執(zhí)法”等不良印象。如果沒有完整的視頻來闡明事實(shí)的真相，那諸如城管打人、警察暴力執(zhí)法就會(huì)被大眾默認(rèn)為既定事實(shí)。好在現(xiàn)在民警都配有執(zhí)法記錄儀，一旦上述事件發(fā)生，民警能夠通過完整的執(zhí)法視頻來給大家一個(gè)真相。

相類比網(wǎng)絡(luò)安全世界，諸如此類事件同樣在發(fā)生。隨著大家對(duì)網(wǎng)絡(luò)安全重視程度的不斷提升，越來越多的網(wǎng)絡(luò)安全設(shè)備被企業(yè)所使用。發(fā)現(xiàn)＋分析＋響應(yīng)是大家公認(rèn)的行之有效的網(wǎng)絡(luò)攻擊應(yīng)對(duì)方式，但這些公認(rèn)的網(wǎng)絡(luò)安全體系一旦沒能奏效，企業(yè)業(yè)務(wù)將面臨重大的損失和不良影響。

啟明星辰認(rèn)為，用戶在面臨網(wǎng)絡(luò)安全攻擊時(shí)，往往會(huì)遇到以下幾點(diǎn)問題：面對(duì)海量攻擊告警不知如何下手分析；面對(duì)可疑攻擊不知如何判斷攻擊的真實(shí)性；面對(duì)復(fù)雜攻擊無法獲取有效的攻擊證據(jù)；面對(duì)網(wǎng)絡(luò)被攻破無法判斷攻擊的影響范圍和受害程度；面對(duì)數(shù)據(jù)被盜取無法判斷數(shù)據(jù)損失的嚴(yán)重程度；面對(duì)0day漏洞無法判斷0day攻擊是否已經(jīng)出現(xiàn)在自己的網(wǎng)絡(luò)中；面對(duì)APT攻擊無法確定攻擊的隱蔽程度、攻擊路徑和攻擊渠道。

綜合來講，以上這些問題往往是因?yàn)樽C據(jù)鏈不足，導(dǎo)致無法對(duì)網(wǎng)絡(luò)攻擊進(jìn)行行之有效的預(yù)判，因此當(dāng)網(wǎng)絡(luò)攻擊真的發(fā)生時(shí)，除了進(jìn)行有效的安全防御外，對(duì)網(wǎng)絡(luò)行為進(jìn)行取證、分析、回溯也是十分重要的一環(huán)，為了滿足用戶對(duì)于網(wǎng)絡(luò)行為分析取證的需求，啟明星辰正式發(fā)布了新一代全流量分析取證解決方案——NFT。

網(wǎng)絡(luò)安全領(lǐng)域的“執(zhí)法記錄儀”

和傳統(tǒng)的攻擊分析類產(chǎn)品的不同之處在于，啟明星辰的全流量分析取證解決方案不僅僅針對(duì)攻擊行為進(jìn)行取證，而是對(duì)全流量進(jìn)行取證，無論是否有攻擊發(fā)生都將進(jìn)行保存，便于事后進(jìn)行進(jìn)一步的取證和線索的跟蹤。啟明星辰認(rèn)為，基于網(wǎng)絡(luò)流量元數(shù)據(jù)和數(shù)據(jù)包的采集，進(jìn)行流行為的安全威脅分析和取證，是未來最重要安全技術(shù)之一。相類比來講，NFT解決方案可以稱為網(wǎng)絡(luò)安全領(lǐng)域的“執(zhí)法記錄儀”。

根據(jù)啟明星辰高級(jí)威脅檢測與響應(yīng)產(chǎn)品線總監(jiān)倪海洋介紹，本次發(fā)布的新一代全流量分析取證解決方案是啟明星辰新品和先前成熟的產(chǎn)品相結(jié)合。其主要涉及三類產(chǎn)品，分別包括CS、APT、TAR為代表的威脅檢測分析產(chǎn)品，以NGFW、IPS、WAF為代表的威脅聯(lián)動(dòng)響應(yīng)產(chǎn)品以及最新發(fā)布的全流量分析取證產(chǎn)品NFT，通過對(duì)三類產(chǎn)品的部署，能夠形成一個(gè)完整的閉環(huán)，而NFT也是整個(gè)解決方案的核心。

倪海洋表示，啟明星辰此次發(fā)布的新品是網(wǎng)絡(luò)安全業(yè)界第一款全流量分析取證產(chǎn)品，相比傳統(tǒng)的網(wǎng)絡(luò)安全體系來講，全流分析取證解決方案主要具有以下幾點(diǎn)優(yōu)勢(shì)：

●網(wǎng)絡(luò)全流量無損記錄：原始網(wǎng)絡(luò)流量不會(huì)說謊。再狡猾的不法分子，只要是通過網(wǎng)絡(luò)進(jìn)入攻擊目標(biāo)區(qū)域，都會(huì)在網(wǎng)絡(luò)流量上留下痕跡。該方案中的全流量分析取證產(chǎn)品（NFT），通過自研的數(shù)據(jù)包存儲(chǔ)和檢索等關(guān)鍵技術(shù)，實(shí)現(xiàn)了基于單臺(tái)物理設(shè)備上20Gbps的穩(wěn)定高速抓包能力，可以連續(xù)存儲(chǔ)長達(dá)數(shù)月的網(wǎng)絡(luò)原始流量。

同時(shí)該系統(tǒng)擁有完整的網(wǎng)絡(luò)元數(shù)據(jù)索引能力，具備目前業(yè)界最高的數(shù)據(jù)檢索性能，并支持超高倍速的原始數(shù)據(jù)包回放，為該方案的威脅取證和數(shù)據(jù)分析提供了完美的數(shù)據(jù)基石。

●威脅檢測全覆蓋：該方案融合了多款威脅檢測和分析產(chǎn)品，從已知威脅檢測到未知威脅檢測，從傳統(tǒng)的特征檢測到惡意行為檢測，融合了精確的威脅情報(bào)數(shù)據(jù)，擁有業(yè)界最先進(jìn)、最全面的檢測能力，可以及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的漏洞攻擊、APT攻擊、挖礦、僵木蠕攻擊等多種威脅行為。

●威脅處理智能化：全流分析取證解決方案將威脅檢測、威脅取證分析、威脅響應(yīng)處置融合在一起，通過檢測技術(shù)發(fā)現(xiàn)威脅，通過取證分析能力確認(rèn)威脅，通過自動(dòng)化安全策略阻斷威脅，從而實(shí)現(xiàn)威脅的智能化閉環(huán)處理。

袁智輝表示，啟明星辰作為一家以檢測技術(shù)起家的網(wǎng)絡(luò)安全公司，其在特征檢測層面有著深厚的技術(shù)和客戶積累。而全流量分析取證解決方案的應(yīng)用勢(shì)必會(huì)給用戶帶來更深層次的安全體驗(yàn)，其能夠做到全天候的實(shí)時(shí)安全檢測和防護(hù)，此外通過高效精準(zhǔn)的攻擊定位和追溯，能夠與串行設(shè)備進(jìn)行實(shí)時(shí)聯(lián)動(dòng)，幫助用戶及時(shí)阻斷攻擊行為，防止攻擊事態(tài)的進(jìn)一步惡化，從而最大限度的降低客戶損失。

寫在最后

作為全流量分析取證層面第一個(gè)吃螃蟹的企業(yè)，啟明星辰的全流量分析取證解決方案能夠切實(shí)解決當(dāng)前企業(yè)所面臨的取證、分析、溯源困難的問題。相信在啟明星辰的帶動(dòng)下，未來會(huì)有越來越多的安全企業(yè)加入到全流量分析的行列中，通過全方位、全天候的全流量分析檢測，讓網(wǎng)絡(luò)攻擊再無匿身之地！