网藤PRS｜解构NTA的发展与实践之路

FB客服

发布于 2019-07-24 15:07:05

3.1K0

发布于 2019-07-24 15:07:05

文章被收录于专栏：FreeBufFreeBuf

前言

随着越来越多的企业将业务迁移到云端，DevOps流程在企业内部逐渐开展与深入，物联网设备总量呈现爆炸式增长，仅限于预防、以外围为重点的安全手段已捉襟见肘。

举个例子，企业安全中心要如何检测使用SMB枚举文件共享，然后登录并远程执行进程的攻击者？或者，如果有人使用IP电话系统录制和窃取语电话内容，安全中心多快可以检测到？

答案隐藏在庞大的网络流量中，如果企业安全中心具备了态势感知与可视化等能力，即可看穿网络流量进而定位到真实发生的网络安全事件，加快检测与响应的进程，降低攻击活动在企业网络中的存续时间，而能够提供答案的网络流量分析解决方案，如网藤PRS等在安全界也随即被重视起来。

2017年，网络流量分析（NTA）技术入选Gartner《2017年11大顶尖信息安全技术》，同时也被认为是五种检测高级威胁的手段之一。随着技术发展的日渐成熟，NTA技术已经直接或间接成为各类整体威胁防护解决方案的重要组成。今年2月，Gartner发布了市场上第一份《NTA市场指南》，正式将NTA技术置于前沿网络安全市场定位。

NTA的定义

Gartner将NTA（Network Traffic Analysis）网络流量分析技术定义为：

以网络流量为基础，应用人工智能、大数据处理等先进技术，基于流量行为的实时分析，展示异常事件的客观事实。

具体来说，NTA是面向OSI（Open System Interconnection）模型2-7层的网络流量检测和响应技术，通过对行为的探知和上下文的关联来寻找并不直观的威胁，并检测低速、潜伏的高级持续型攻击。

比如网藤PRS可将网络流量作为检测和调查网络中安全威胁和异常或恶意行为的基础数据源，融合传统检测技术的规则思想，同时应用威胁情报、统计分析、内容检查、机器学习等多种高级分析技术，检测企业网络上的可疑活动，尤其是失陷后的痕迹。

NTA通常部署在关键网络区域的南北向（跨越网络边界）/东西向（网络中横向移动）流量节点进行检测分析。

NTA相较于传统的网络流量安全解决方案，可以解决以下问题：仅监控跨网的南北向数据，而对内部流量的可视化支持极差；依赖于规则、签名等手段，无法检测签名库之外不断演进的新型威胁；无法执行事件的调查与响应。

解决这些棘手问题的能力正是NTA的价值所在。

NTA的发展

在第一代网络流量分析产品中，我们经常可以看到这样的说明：网络流量分析有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作。经过多年的发展，现在的NTA已成为以网藤PRS为代表，融合外网检测与内网合规、兼具追溯取证、高度集成的第三代解决方案。

高速发展的背后存在多方面的历史机遇与相应的威胁面扩张。

根据思科的测算：

2017年全球范围内商业互联网流量为17.25 EB/月，到2022年该数字将增长至48.74 EB/月，年复合增长率高达23%。

移动端和物联网设备等领域产生的商业移动数据流量将从2017年的1.62 EB/月增长到2022年的9.22 EB/月，5年里的年复合增长率达到了惊人的42％。

按地理位置分，亚太地区产生的流量占比和增长率均为最高，其中又以我国的表现最为突出，其背后的原因在于我国互联网、物联网、移动应用等高数据容量产业处于快速发展的状态。

这一趋势加速了每个互联网用户的平均设备和使用服务数量的增长。对于企业端而言，这样的高速增长也带来了业务流量的激增。急速增加的流量正在推动各行各业的发展态势，同时又将企业等组织机构面临的网络安全形势推向更加严峻的局面。最能说明问题的是以高级持续性威胁（APT）为代表的新型攻击手段渐渐兴起之后，企业用户对流量分析产品提出了新的要求，既要在网络层面实时、近实时的呈现网络流量，又要在受攻击后（数天/数周）进行网络入侵取证。

同时随着云计算、大数据等技术全面铺开，每单位存储和每单位计算的成本越来越低，使得能够处理更大样本内容、更智能的分析算法在安全产品中得以实际应用，把NTA技术的发展引向”采集原始流量—流分析—应用协议元数据—持续监测网络对象—分析异常流量—溯源可疑行为—联动威胁情报应对高级威胁”的演进方向。NTA技术的采集，存储，分析，挖掘，可视化能力也成为了企业感知网络安全事件，应对信息安全挑战的一个可靠选择。

不久前，Transparency Market Research针对2018-2026年内的全球网络流量分析市场进行了调研和展望，并发布了相关报告。报告指出，2017年，全球范围内的网络流量分析解决方案具有非常大的市场潜力，整体价值约为15亿美元左右，根据推测，在接下来直到2026年，其每年的增长率将高达15.2%，也就是说到2026年左右，其市场规模将接近53亿美元左右。

未来几年产业向云计算迁移将成为大势所趋，而基于云的解决方案则需要托管服务，这便直接取消了内部IT技术支持的需要。此外，中小微企业的增长可能是未来几年推动NTA乃至整个互联网行业市场发展的关键因素，作为一种安全技术，其应用和市场前景不可谓不开阔。

NTA的实践

目前，NTA技术已基本具备了成熟的响应与监测能力，具备多元化网络安全解决方案的企业以及专攻一门（如网络沙盒）的企业已基本覆盖NTA市场，已经能够实现具体案例具体实施的细化解决方案。对Gartner《NTA市场指南》中罗列的国外知名厂商旗下安全产品，比如FireEye的SmartVision，Cisco的Stealthwatch，以及国内代表性厂商解决方案，如网藤PRS等产品进行功能梳理，可以看到成熟的产品一般具备以下特点，或支持相关能力：

1、网络全流量存储与检索

解析后的全流量网络协议数据会基于大数据技术进行存储，形成数据仓库以支持快速检索的能力，以满足对实时数据的在线分析与离线分析技术。

2、攻击行为检测

通过对协议进行特征识别，检测通用攻击行为的能力，如Web攻击、应用层攻击、端口/服务扫描攻击等。

3、异常行为检测

对协议数据进行行为分析，注重协议上下文的关联性，大量应用机器学习、数据分析等新技术识别异常行为与高级风险。

4、基线式检测

以海量数据为基础，构建安全基线场景，利用离线分析技术，检测低速及潜伏型安全威胁。

5、数据智能安全分析

基于保留的原始流量数据，结合数据挖掘、人工智能等相关大数据技术，更加智能地洞悉信息与网络安全态势，更主动、弹性地去应对新型复杂的威胁和未知多变的风险。

6、溯源与调查取证

应用大数据解析与检索技术，对协议上下文与协议内容进行调查取证，快速定位风险事件与协议事件的关系。

7、可视化威胁狩猎

应用可视化分析技术，关联异常事件的综合信息，降低安全支出，提升安全可见性。

从这些产品的既往发展路径以及对未来的发展规划，可总结出NTA技术与整个行业呈现出以下几种发展趋势：

1、对NTA的功能需求进一步增加。

尤其在以高持续性威胁（APT）为代表的新式攻击手段兴起后：既要在网络层面实时的呈现网络流量，又要在受到攻击后尽快进行网络入侵取证。于是“采集原始流量—流分析—应用协议元数据—持续监测网络对象—分析异常流量—溯源可疑行为—联动威胁情报应对高级威胁“成为NTA今后发展的一个重要方向。主流产品采用旁路部署镜像流量，实时采集并深度解析流量信息，采用大数据技术实现全流量存储与海量数据快速检索。

2、NTA将吸收机器学习技术，实现基于行为的网络流量异常检测，而非基于签名的传统方法。

基于边界和签名的防护思路已经无法抵御当代网络犯罪分子使用的复杂攻击手段。机器学习非常适合用于理解和检测大规模的流量异常行为，能够快速适应企业环境中的变化条件。基于机器学习实现的NTA采集、存储、分析、挖掘以及可视化能力将成为企业感知网络安全事件并进行应对的可靠选择。

3、集成能力和可扩展性将成为评定NTA解决方案的重要因素。

对于企业而言，SIEM（安全信息与事件管理）能够有效覆盖大多数网络分析场景，而网络和主机活动信息是很多传统安全产品难以提供的内容。因此，NTA与传统SIEM解决方案实现无缝融合，形成“采集—分析”的一体化模式，实现1+1>2的目标是未来的重点发展方向。

4、溯源能力的强弱将决定NTA发挥的效能。

在不到十年的时间里，数据中心的速度与规模提高了100倍。随着越来越多企业将业务迁往云端以及未来6到18个月内即将开始全面部署的5G移动网络，预计实时流量将达到400 GbE。应对海量数据并从中对威胁进行溯源的能力变得非常重要，如何着眼于无尽的网络流量并分析东西流量活动，检测设备或应用的“入侵指标”以及难以监控的服务是行业的努力方向之一。

从国内企业安全实践出发，只有在以下几个方面均较为完备的解决方案才能解决动态的网络安全风险。