伴隨著對云計(jì)算的擁抱、新的DevOps流程的普及,、物聯(lián)網(wǎng)設(shè)備的蔓延,、供應(yīng)鏈的復(fù)雜交織以及更多數(shù)字基建的涌現(xiàn)，新一代網(wǎng)絡(luò)攻擊手段也在持續(xù)演進(jìn),，有效的威脅檢測與響應(yīng)能力作為重要的攻防手段,，是提升實(shí)戰(zhàn)化對抗能力的關(guān)鍵因素。

　　推出《高級(jí)威脅檢測與響應(yīng)解決方案》系列訪談,，邀請相關(guān)安全廠商分享主動(dòng)感知,、分析、防御,、溯源高級(jí)威脅的成功經(jīng)驗(yàn)，及其方案服務(wù)的能力和特色,，為企業(yè)用戶提升安全建設(shè)水平提供一定參考,。

　　本期，我們走進(jìn)科來網(wǎng)絡(luò)技術(shù)股份有限公司（以下簡稱“科來”）,，一睹他們在該領(lǐng)域的觀察思考和實(shí)踐,。

　　科來成立于2003年，專注于網(wǎng)絡(luò)流量分析技術(shù)研究與產(chǎn)品開發(fā),，在國內(nèi)率先提出“全流量”,、“回溯”概念，并推出了以網(wǎng)絡(luò)全流量采集與分析技術(shù)為基礎(chǔ)的網(wǎng)絡(luò)回溯產(chǎn)品，形成了面向政府,、金融,、能源、運(yùn)營商,、交通等不同行業(yè),、不同規(guī)模、不同應(yīng)用的解決方案,，廣泛應(yīng)用于國內(nèi)外用戶的網(wǎng)絡(luò)智能運(yùn)維與網(wǎng)絡(luò)安全分析等關(guān)鍵領(lǐng)域,。

　　攻擊不斷進(jìn)階 防守面臨巨大挑戰(zhàn)

　　根據(jù)科來觀察，現(xiàn)在的網(wǎng)絡(luò)攻擊更為復(fù)雜化,，尤其當(dāng)下的攻擊工具存在相對泛濫性與易得性,，比如一些攻擊武器，如新的漏洞,、攻擊代碼等等都比以往更容易獲取,。換句話說，從整個(gè)攻擊成本和困難程度而言,，攻擊相對更加容易了,。

　　另一方面，防守的難度卻在加大——面向目前的網(wǎng)絡(luò)安全市場,，大多數(shù)的客戶的業(yè)務(wù)都趨于精細(xì)化,，維護(hù)與防御的難度更大，同時(shí)盤根錯(cuò)節(jié)的業(yè)務(wù)流程由數(shù)字工具承載,，且暴露于互聯(lián)網(wǎng)上,，這就導(dǎo)致很容易被攻擊。此消彼長,，當(dāng)下整體的網(wǎng)絡(luò)安全態(tài)勢更為嚴(yán)峻,，主要表現(xiàn)在：很多攻擊不再是單一作戰(zhàn)，如國內(nèi)外的APT組織依然活躍,，其攻擊手法也更為復(fù)雜,；除了傳統(tǒng)的竊取信件、植入木馬等等慣用手段,，針對虛擬環(huán)境,、甚至發(fā)展到控制運(yùn)營商網(wǎng)絡(luò)的高級(jí)攻擊不時(shí)發(fā)生；而威脅的影響范圍,，除了會(huì)針對傳統(tǒng)的重點(diǎn)單位和關(guān)基設(shè)施之外,，近兩年通過攻擊供應(yīng)鏈來制造破壞的情況也在變多，進(jìn)而一舉輻射牽連到成百上千的組織,，危害性較大,。

　　在這些新興的,、嚴(yán)峻的威脅攻擊手法面前，企業(yè)正面臨前所未有的安全挑戰(zhàn)：

　　第一點(diǎn)是難以發(fā)現(xiàn)?，F(xiàn)在許多新型攻擊手段往往能繞過防火墻,、殺毒軟件這類傳統(tǒng)的安全檢測設(shè)備，如果企業(yè)僅僅沿用過去的防御手段,，就會(huì)產(chǎn)生防護(hù)盲區(qū)和漏洞,。

　　第二點(diǎn)是難以回溯。通常,，企業(yè)的安全團(tuán)隊(duì)發(fā)現(xiàn)了內(nèi)部（或橫向）的一些異常,，但是不能完整地復(fù)現(xiàn)整個(gè)攻擊過程，包括攻擊如何產(chǎn)生,、如何進(jìn)入,、控制了誰、橫向內(nèi)部攻擊了誰,。無法還原整個(gè)攻擊鏈就如同盲人摸象,，不能掌握整個(gè)攻擊的發(fā)展趨勢，在后續(xù)的防御中也會(huì)比較被動(dòng),。

　　第三點(diǎn)是難以溯源,。更艱難的是，除了不知道對方是怎么攻擊你的之外,，還不知道是誰在攻擊你,。站在企業(yè)的角度，如果想要了解是什么因素引發(fā)了攻擊,、攻擊者的背景等等信息,，對很多企業(yè)來說是不小的挑戰(zhàn)。

　　全流量分析技術(shù)

　　成為應(yīng)對高級(jí)威脅的必備手段

　　面對逐級(jí)進(jìn)化的威脅攻擊態(tài)勢,，安全防守也并不是一成不變的,。科來為我們總結(jié)了安全檢測技術(shù)的演化路徑,，早期比較常見的防御手段是部署防火墻,、網(wǎng)絡(luò)隔離，以及比較原始的一代檢測技術(shù),，如基于漏洞庫以及威脅特征的IDS,、WAF等產(chǎn)品。隨著一些新型威脅的出現(xiàn),，比如通過釣魚郵件進(jìn)行內(nèi)部感染，沙箱技術(shù)就是隨之出現(xiàn)的檢測方法,。

　　在國內(nèi)攻防演練形成常態(tài)之后,，安全人員發(fā)現(xiàn),，在面對高可疑攻擊行為的時(shí)候，對抗的關(guān)鍵點(diǎn)在于怎樣去快速驗(yàn)證,、研判以及擴(kuò)線分析,。這么一來，怎樣去提升研判效率與準(zhǔn)確度,，就成為防守方的取勝要訣,。在這種情況下，如果能夠具備對于網(wǎng)絡(luò)流量的全協(xié)議解析,、保存,、分析能力，實(shí)現(xiàn)對于告警數(shù)據(jù)的全量全包,、以及全協(xié)議檢測,，無疑能大大提升對于攻擊的研判準(zhǔn)確率。目前,，網(wǎng)絡(luò)流量分析技術(shù)成為應(yīng)對未知威脅的技術(shù)發(fā)展趨勢,，并曾被Gartner評(píng)為十一項(xiàng)頂級(jí)安全技術(shù)之一。

　　據(jù)了解,，科來在發(fā)展早期就決定獨(dú)立研發(fā)面向國內(nèi)的網(wǎng)絡(luò)流量分析產(chǎn)品,。在其與客戶的交流中，得到反饋發(fā)現(xiàn)網(wǎng)絡(luò)流量分析技術(shù)在諸多方面可以滿足用戶對于網(wǎng)絡(luò)安全的需求,。

　　傳統(tǒng)的基于策略,、特征的安全產(chǎn)品，在面臨諸如APT攻擊等高級(jí)未知威脅對抗的時(shí)候,，很難成功察覺,，為了更清楚地透析威脅情況、破壞范圍與攻擊走向,，更需要對全流量采集,、存儲(chǔ)與分析，對流量進(jìn)行挖掘,，獲取里面的線索情報(bào),，并回溯整個(gè)安全事件，讓客戶知道整個(gè)安全事件是怎么發(fā)展的,，比如網(wǎng)絡(luò)遭受攻擊的原因,、是否產(chǎn)生了橫向擴(kuò)展、擴(kuò)展后的行為等等,，讓客戶對整個(gè)攻擊路徑,、攻擊者情況等等都有清晰的了解。

　　“再高級(jí)的攻擊也會(huì)產(chǎn)生流量”,，科來強(qiáng)調(diào),，流量分析技術(shù)對于安全防御體系建設(shè),，有著不可或缺的作用。

　　作為一項(xiàng)重要,、底層的基礎(chǔ)技術(shù),，全流量分析在實(shí)際業(yè)務(wù)中有眾多的應(yīng)用場景。首先,，可以對企業(yè)的業(yè)務(wù)資產(chǎn)和未知的業(yè)務(wù)訪問關(guān)系進(jìn)行梳理,，幫助企業(yè)有效收斂業(yè)務(wù)暴露面，從而提升防御的強(qiáng)度,。同時(shí),，針對APT攻擊、隱蔽信道傳輸以及高級(jí)木馬等威脅,，基于高檢出效率的流量分析進(jìn)行的異常行為建模,，也是當(dāng)下使用廣泛的安全防御措施，在各種安全事件響應(yīng),、攻防演練場景下廣受重視和應(yīng)用,。

　　科來全流量分析：

　　為用戶賦能“檢測”和“響應(yīng)”雙重能力

　　科來介紹，其全流量分析是建立在海量數(shù)據(jù)的保存和處理基礎(chǔ)上的檢測技術(shù),，結(jié)合大數(shù)據(jù)處理,、機(jī)器學(xué)習(xí)、深度學(xué)習(xí)等技術(shù),，通過全流量分析設(shè)備,，實(shí)現(xiàn)網(wǎng)絡(luò)全流量采集與保存、全行為分析與全流量回溯,，并提取網(wǎng)絡(luò)元數(shù)據(jù)上傳到大數(shù)據(jù)分析平臺(tái),，從而滿足客戶更為細(xì)致與豐富的需求。

　　安全防御的能力取決于安全感知能力,，而安全感知能力的重點(diǎn)則在于對未知安全威脅的感知能力上,。從流量視角來看，這種能力就體現(xiàn)在對于協(xié)議的理解和解析上,。

　　科來在全量數(shù)據(jù)采集與保存的基礎(chǔ)上,，實(shí)現(xiàn)了全行為建模與分析、全流量回溯,，能夠在網(wǎng)絡(luò)攻防對抗中精準(zhǔn)發(fā)現(xiàn)與確認(rèn)攻擊威脅,。“無論是針對攻擊的隱蔽信道,，還是發(fā)現(xiàn)網(wǎng)絡(luò)中傳輸協(xié)議的異常流量,，當(dāng)我們能透析更多的網(wǎng)絡(luò)流量內(nèi)容，那么我們就能看得更清楚,、更透徹,、更全面,，這樣一來，利用協(xié)議漏洞的網(wǎng)絡(luò)攻擊就無所遁形,。”

　　未來整體技術(shù)趨勢正轉(zhuǎn)向智能化與聚合化

　　隨著未來數(shù)字化系統(tǒng)越來越多地應(yīng)用到社會(huì)關(guān)鍵基礎(chǔ)設(shè)施,，數(shù)字化系統(tǒng)自身的安全,、穩(wěn)定、可靠將至關(guān)重要,。以往,，如果只依靠關(guān)鍵詞的反饋會(huì)產(chǎn)生大量的告警，安全設(shè)備提供的告警驗(yàn)證只讓安全人員看到單個(gè)請求或響應(yīng)包的情況,，不僅無法及時(shí)確認(rèn)真正的威脅所在之處,，也不能對攻擊行為進(jìn)行進(jìn)一步的研判與分析?？苼矸治?，未來整體技術(shù)趨勢正在轉(zhuǎn)向智能化與聚合化，從單一警報(bào)轉(zhuǎn)向事件集合,，來進(jìn)一步賦能安全體系,，以實(shí)現(xiàn)對于企業(yè)精細(xì)化安全防御的完善與補(bǔ)充。

　　科來表示,，網(wǎng)絡(luò)流量分析技術(shù)是一項(xiàng)在不同領(lǐng)域有著豐富應(yīng)用場景的底層基礎(chǔ)技術(shù),，可以衍生出更多的可能。未來將進(jìn)一步圍繞數(shù)字化互聯(lián)智能系統(tǒng)保障的相關(guān)技術(shù)產(chǎn)品開發(fā),，在網(wǎng)絡(luò)流量分析技術(shù),、網(wǎng)絡(luò)性能分析、網(wǎng)絡(luò)安全分析等產(chǎn)品和技術(shù)開發(fā)的基礎(chǔ)上尋求更多可能,，為圍繞數(shù)字化互聯(lián)智能系統(tǒng)保障的相關(guān)技術(shù)產(chǎn)品的開發(fā),，成為真正的數(shù)字化互聯(lián)智能時(shí)代的守護(hù)者。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<