网络安全准备:持续网络监控的重要性
网络监控被描述为使管理员和安全管理人员能够查看和理解进入和离开公司网络的每个数据包的上下文,以便他们能够快速识别对预期网络操作的更改并识别可能不需要的网络网络活动。
除了整体网络安全准备,连续网络监控也是网络安全事件检测的关键要素。通常,网络入侵会导致用户点击电子邮件中导致用户帐户泄露的内容。然后,在几天或几周内,数千万的员工或客户记录从网络发送到数千英里之外的IP地址。几个月后,网络运营商终于意识到发生了入侵。
持续的网络监控可能已经破坏了几个地方的攻击链,并通过监控简单邮件传输协议(SMTP)识别电子邮件中的恶意链接,然后防止链接出现在用户的电子邮件中,从而提供早期检测。此外,当单击恶意链接时,HTTP监视可能会阻止与恶意Web服务器的出站连接。当从数据库导出2500万条记录并离开网络时,第3层监视可能会发出警报并阻止数据导出,或者数据库安全性可能会阻止该事务。
网络监控具有广泛的解释,包括漏洞扫描,数据包捕获和分析,网络调试,网络管理系统,自动化的网络设备,对发现的简单网络管理协议工具,网络性能等。
网络监控是指网络所有者和管理员可以观察到的那些元素,以提高他们在网络运营方面的态势感知程度。换句话说,持续的网络监控是关于知道网络上发生了什么,发生的地点和时间,发生的原因,以及观察到的内容是否引起关注。
正常的网络运营
通过安全网关整合所有外部连接,可以开始监控此流量是否存在威胁。一旦网络监控开始,就会出现一个新问题 - 如何从不需要的和恶意的流量中分辨出正常的网络流量。
也许是大多数组织网络都不是完善的总体规划的产物。相反,当今使用的网络是几十年来响应提供访问当前最新技术的需求的产物:20世纪70年代和80年代的电子邮件,从20世纪90年代开始的万维网访问以及连接到所有最新技术用户设备从2000年代开始。
因此,许多组织网络运营商和管理员对其网络配置方式,应使用的协议,网络上预期的流量类型,流量应在哪些端点之间运行及其数量有不完全的理解。
基线网络运营
为了解决对正常网络流量构成缺乏理解的问题,需要创建当前网络流量的基线。带宽利用率或网络负载的度量是最小基线。像多路由器流量图示器这样的开源工具可以监控带宽利用率并提供网络负载基线。
使用NetFlow超出网络负载的基线可以通过端口和协议,源和目标IP地址以及其他流量标识符来分解网络流量。
在提供网络的技术部门和使用该技术的业务部门之间仍然存在分歧。
建立基线后,连续网络监控可以查找可能表示可疑活动的基线变化或偏差。
入侵检测和预防系统
入侵检测和入侵防御系统经常被用作网络监控程序的焦点。
入侵检测系统(IDS)是一种安全设备或软件应用程序,用于监视网段或主机系统是否存在安全策略违规或恶意或不需要的活动或流量的证据。一旦IDS确定可能发生入侵,它就会记录有关入侵的信息,并可以发送警报或警报。
一种入侵防御系统就像是一个IDS,不同之处在于它的运作内嵌在网络,并且可以通过丢弃恶意分组,重置连接或阻断违规IP地址块疑似恶意活动。今天,入侵防御被视为入侵检测的扩展,它由组合的入侵检测和预防系统(IDPS)执行。
IDPS系统被认为是强制类型的网络监控,但它们有一些严重的缺点。大多数入侵系统依赖于模式或签名匹配来检测入侵。如果IDPS数据库中未安装正确的签名,则入侵不会导致警报。IDPS签名不存在的新的或未知的攻击也不会引发警报。
尝试识别网络流量基线的异常或偏差的IDPS系统可以与基于签名的IDPS一起使用以改进检测。采用异常检测的IDPS系统通常会导致许多误报,使其难以管理。
网络流量分析
可以超越基于签名的网络监控并添加网络流量分析。网络流量分析基于互联网协议(IP)流的概念。
IP流是一组互联网协议分组属性。这些属性是数据包的IP数据包标识或指纹,它们确定数据包是唯一的还是与其他数据包相似。IP流的一个关键要素是不需要观察通信内容,从而可以分析加密流量。
通常,IP流基于一组IP分组属性,包括IP源地址,IP目的地地址,源端口,目的端口,第3层协议类型以及服务等级路由器或交换机接口。
具有相同源和目标IP地址,源和目标端口,协议接口和服务等级的所有数据包将分组到一个流中,并计算数据包和字节。使用此信息,可以为正常网络行为建立基线,然后识别意外或不需要的行为,包括恶意行为。
例如,如果用户开始通过电子邮件传输大量数据,则可以通过网络流量分析检测该行为。我们的有影系统可以为流量分析提供此类数据汇总。
结论
持续的网络监控和流量分析是许多网络运营商可以提高其态势感知和整体网络安全准备的示例。根据调查报告 ,即使检测网络安全入侵所需的时间持续改善,执法部门和其他第三方仍然会发现比网络运营商更多的入侵。
