當(dāng)涉及到威脅檢測和響應(yīng)時(shí),了解網(wǎng)絡(luò)行為至關(guān)重要。根據(jù)ESG公司的研究,87%的組織使用網(wǎng)絡(luò)流量分析(NTA)工具進(jìn)行威脅檢測和響應(yīng),43%的組織表示網(wǎng)絡(luò)流量分析(NTA)是檢測和響應(yīng)威脅的“第一道防線”。
正如網(wǎng)絡(luò)安全專業(yè)人士經(jīng)常說的那樣,“網(wǎng)絡(luò)不會(huì)撒謊。”由于網(wǎng)絡(luò)攻擊者使用網(wǎng)絡(luò)通信進(jìn)行惡意軟件分發(fā)、命令和控制以及數(shù)據(jù)泄露,經(jīng)過培訓(xùn)的專業(yè)人員應(yīng)該能夠使用正確的工具、時(shí)間、監(jiān)督來發(fā)現(xiàn)惡意活動(dòng)。
而網(wǎng)絡(luò)流量分析(NTA)是安全分析和操作的重要工具。但安全運(yùn)營中心(SOC)人員認(rèn)為的最重要的網(wǎng)絡(luò)流量分析(NTA)能力是什么?ESG公司向347名網(wǎng)絡(luò)安全專業(yè)人員詢問了這個(gè)問題,以下是他們的回答:
•44%的受訪者表示,網(wǎng)絡(luò)流量分析(NTA)工具必須內(nèi)置分析功能,以幫助分析師改進(jìn)和加速威脅檢測。這些分析可以建立在機(jī)器學(xué)習(xí)算法、啟發(fā)式算法、腳本等基礎(chǔ)上。這里的要點(diǎn)是,分析人員希望網(wǎng)絡(luò)流量分析(NTA)工具能夠處理數(shù)據(jù)并提供高保真警報(bào),而不是無用的示警。
•44%的受訪者表示,網(wǎng)絡(luò)流量分析(NTA)工具必須提供威脅情報(bào)服務(wù)或集成功能,以便對可疑/惡意網(wǎng)絡(luò)行為與已知威脅進(jìn)行比較。威脅情報(bào)綜合已成為所有安全工具的關(guān)鍵所在,例如對MITRE ATT&CK框架(MAF)越來越感興趣。因此,必須從一開始就將威脅情報(bào)納入網(wǎng)絡(luò)流量分析(NTA)工具中。
•38%的受訪者表示,網(wǎng)絡(luò)流量分析(NTA)工具必須能夠監(jiān)控物聯(lián)網(wǎng)(IoT)流量、協(xié)議、設(shè)備等。但相信在未來12至18個(gè)月內(nèi),企業(yè)中的所有網(wǎng)絡(luò)流量分析(NTA)工具都需要物聯(lián)網(wǎng)支持。
•37%的受訪者表示,網(wǎng)絡(luò)流量分析(NTA)工具必須能夠監(jiān)控所有連接的網(wǎng)絡(luò)節(jié)點(diǎn),并在連接新網(wǎng)絡(luò)節(jié)點(diǎn)時(shí)發(fā)出警報(bào)。換句話說,安全專業(yè)人員希望網(wǎng)絡(luò)流量分析(NTA)工具采用這種傳統(tǒng)的網(wǎng)絡(luò)準(zhǔn)入控制 (NAC)功能,并在未經(jīng)批準(zhǔn)的設(shè)備連接時(shí)發(fā)出警報(bào)。
•37%的受訪者表示,網(wǎng)絡(luò)流量分析(NTA)工具必須能夠監(jiān)控云計(jì)算流量,并報(bào)告威脅和異常情況。亞馬遜公司在最近召開的Re:Inforce會(huì)議上宣布推出新的虛擬私有云(VPC)流量監(jiān)控功能,提供對云計(jì)算網(wǎng)絡(luò)的可視性。這正是用戶要求的連續(xù)云計(jì)算網(wǎng)絡(luò)監(jiān)控類型。網(wǎng)絡(luò)流量分析(NTA)工具必須能夠跨亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)、Microsoft Azure、谷歌云平臺(tái)(GCP)等平臺(tái)利用這樣的云計(jì)算網(wǎng)絡(luò)監(jiān)控功能,以提供端到端的網(wǎng)絡(luò)安全可見性。
如今市場上有很多很好的網(wǎng)絡(luò)流量分析(NTA)工具,那么如何選擇符合企業(yè)要求的工具呢?在此對首席信息安全官的建議是,通過采用具有以上所述六大功能的網(wǎng)絡(luò)流量分析(NTA)工具來啟動(dòng)其信息邀請書(RFI)/建議邀請書(RFP)流程。