数据包是怎样暴露出网络攻击DNA的?

新闻 数据安全
在网络犯罪愈趋盛行的今天,后见之明真的是很棒的东西,或许也是公司最有力的武器。调查网络攻击事件时,信息安全分析师通常需要从各种源收集数据来重建事件,包括日志文件、高层网络流量(NetFlow)和多个不同的安全监视工具。

网络攻击事件中,快速准确地量化事件影响是最重要的。正如近期数起高调数据泄露事件所展现的,无法快速准确地理解并沟通网络攻击事件,可对客户信任和品牌忠诚度造成灾难性影响,并最终影响到盈利。

[[207761]]

在网络犯罪愈趋盛行的今天,后见之明真的是很棒的东西,或许也是公司最有力的武器。调查网络攻击事件时,信息安全分析师通常需要从各种源收集数据来重建事件,包括日志文件、高层网络流量(NetFlow)和多个不同的安全监视工具。可以想像,这会是个慢到令人抓狂,而且经常会毫无效果的过程。于是,企业往往就会积压起大量未解析事件,持续形成未知威胁。

成功处理攻击,意味着能够快速了解攻击发生时间和方法,知道让攻击者得以溜进公司系统的漏洞,以及有哪些数据和系统可能遭到了泄露或破坏。

没有这种程度的网络可见性,公司企业几乎没有机会可以恰当响应攻击,或者预防将来的攻击。这也正是网络原始数据记录入场的原因所在:但原始数据记录到底涉及到哪些东西?又能如何帮助全球公司企业呢?

评估你的网络流量

基础设施中各种组件之间的通信,比如说,服务器、桌面系统、笔记本电脑、移动设备之间,被作为网络“数据包”流加以捕捉。这些数据包含有各种原始信息,比如流量来源、目的流向、被传输的“载荷”——实际数据,等等。

数据包相当于“真相唯一来源”,其好处有二:

  • 获得原始数据全面信息来源以进行网络安全事件调查;
  • 从性能角度审查数据,锁定并解决可能影响性能的问题。

两个典型应用场景如下:

场景1:已被入侵,是时候警告客户数据安全遭破坏的事实了。

从好的方面看,有1个月的原始网络数据可供分析,你就可以更具体地描述问题,而不是干巴巴地说一句:“我们被入侵了,客户请小心!”你可以找出事件的准确发生时间,攻击者对网络的侵入程度;还可以确定入侵前攻击者有没有做过什么“侦察”行动,具体有什么数据被盗,数据被渗漏的方式和位置等等。

在与客户沟通的时候,这是一个有力的信息子集,对打造更健壮的安全也有助力。

场景2:你的网络发生严重性能故障,甚至影响到为客户提供服务。

如果问题没有出在你的ISP身上,那很可能也不是你网络的问题。通过分析数据包,公司企业通常可以快速确定并修复常见性能问题。比如应用与给定数据库的互操作方式问题等。

集成是关键

公司拥有数个安全解决方案,往往造成难以获得网络上威胁及活动的统一连贯视图。这表明我们需要更好的集成。

集成过程未必很复杂,也未必涉及新基础设施的部署实现。通过在现有工具中集成进网络记录功能,分析师们可以直接从这些工具的警报,转向检查底层数据包级网络历史,看清网络发生过的具体事务。这能精简平滑调查,帮助分析师去除误报,更快地识别、排序并响应真正的威胁。

在与网络犯罪的对抗,和以顶级表现赢取市场份额的竞争中,公司企业不需要重新发明轮子,也无需成为网络DNA测序专家。只要有包含了当下很多数据泄露和性能问题答案的原始数据,公司企业便在快速利用后见之明上具有巨大优势,也能更快修复安全漏洞和性能问题。

责任编辑:张燕妮 来源: 安全牛
相关推荐

2013-05-20 09:27:38

SDN软件定义网络交换机

2013-05-13 09:16:34

云计算移动云应用

2017-03-22 13:45:00

驱动器服务器

2020-09-30 14:48:10

COVID-19AI机器学习

2020-04-20 15:05:54

苹果谷歌健康码

2017-03-28 13:25:14

Linux网络数据包

2017-04-07 09:30:49

Linux网络数据包

2019-04-29 07:53:11

TCP数据包TCP网络编程

2013-06-20 13:48:39

2013-02-19 09:23:58

2018-06-13 08:01:54

2023-03-27 00:17:21

eBPF技术网络

2019-02-13 11:07:17

2022-06-10 10:41:12

云计算云迁移数据包

2023-03-27 00:13:26

数据包Kubernete网络

2020-12-10 15:24:53

瞻博网络安全

2013-01-28 13:32:52

路由器网络设置数据传输

2013-07-22 14:43:35

2013-05-14 14:28:55

点赞
收藏

51CTO技术栈公众号