伴隨著對云計算的擁抱、新的DevOps流程的普及、物聯(lián)網(wǎng)設備的蔓延、供應鏈的復雜交織以及更多數(shù)字基建的涌現(xiàn)，新一代網(wǎng)絡攻擊手段也在持續(xù)演進，有效的威脅檢測與響應能力作為重要的攻防手段，是提升實戰(zhàn)化對抗能力的關鍵因素。

　　推出《高級威脅檢測與響應解決方案》系列訪談，邀請相關安全廠商分享主動感知、分析、防御、溯源高級威脅的成功經(jīng)驗，及其方案服務的能力和特色，為企業(yè)用戶提升安全建設水平提供一定參考。

　　本期，我們走進科來網(wǎng)絡技術股份有限公司（以下簡稱“科來”），一睹他們在該領域的觀察思考和實踐。

　　科來成立于2003年，專注于網(wǎng)絡流量分析技術研究與產(chǎn)品開發(fā)，在國內(nèi)率先提出“全流量”、“回溯”概念，并推出了以網(wǎng)絡全流量采集與分析技術為基礎的網(wǎng)絡回溯產(chǎn)品，形成了面向政府、金融、能源、運營商、交通等不同行業(yè)、不同規(guī)模、不同應用的解決方案，廣泛應用于國內(nèi)外用戶的網(wǎng)絡智能運維與網(wǎng)絡安全分析等關鍵領域。

　　攻擊不斷進階 防守面臨巨大挑戰(zhàn)

　　根據(jù)科來觀察，現(xiàn)在的網(wǎng)絡攻擊更為復雜化，尤其當下的攻擊工具存在相對泛濫性與易得性，比如一些攻擊武器，如新的漏洞、攻擊代碼等等都比以往更容易獲取。換句話說，從整個攻擊成本和困難程度而言，攻擊相對更加容易了。

　　另一方面，防守的難度卻在加大——面向目前的網(wǎng)絡安全市場，大多數(shù)的客戶的業(yè)務都趨于精細化，維護與防御的難度更大，同時盤根錯節(jié)的業(yè)務流程由數(shù)字工具承載，且暴露于互聯(lián)網(wǎng)上，這就導致很容易被攻擊。此消彼長，當下整體的網(wǎng)絡安全態(tài)勢更為嚴峻，主要表現(xiàn)在：很多攻擊不再是單一作戰(zhàn)，如國內(nèi)外的APT組織依然活躍，其攻擊手法也更為復雜；除了傳統(tǒng)的竊取信件、植入木馬等等慣用手段，針對虛擬環(huán)境、甚至發(fā)展到控制運營商網(wǎng)絡的高級攻擊不時發(fā)生；而威脅的影響范圍，除了會針對傳統(tǒng)的重點單位和關基設施之外，近兩年通過攻擊供應鏈來制造破壞的情況也在變多，進而一舉輻射牽連到成百上千的組織，危害性較大。

　　在這些新興的、嚴峻的威脅攻擊手法面前，企業(yè)正面臨前所未有的安全挑戰(zhàn)：

　　第一點是難以發(fā)現(xiàn)。現(xiàn)在許多新型攻擊手段往往能繞過防火墻、殺毒軟件這類傳統(tǒng)的安全檢測設備，如果企業(yè)僅僅沿用過去的防御手段，就會產(chǎn)生防護盲區(qū)和漏洞。

　　第二點是難以回溯。通常，企業(yè)的安全團隊發(fā)現(xiàn)了內(nèi)部（或橫向）的一些異常，但是不能完整地復現(xiàn)整個攻擊過程，包括攻擊如何產(chǎn)生、如何進入、控制了誰、橫向內(nèi)部攻擊了誰。無法還原整個攻擊鏈就如同盲人摸象，不能掌握整個攻擊的發(fā)展趨勢，在后續(xù)的防御中也會比較被動。

　　第三點是難以溯源。更艱難的是，除了不知道對方是怎么攻擊你的之外，還不知道是誰在攻擊你。站在企業(yè)的角度，如果想要了解是什么因素引發(fā)了攻擊、攻擊者的背景等等信息，對很多企業(yè)來說是不小的挑戰(zhàn)。

　　全流量分析技術

　　成為應對高級威脅的必備手段

　　面對逐級進化的威脅攻擊態(tài)勢，安全防守也并不是一成不變的。科來為我們總結了安全檢測技術的演化路徑，早期比較常見的防御手段是部署防火墻、網(wǎng)絡隔離，以及比較原始的一代檢測技術，如基于漏洞庫以及威脅特征的IDS、WAF等產(chǎn)品。隨著一些新型威脅的出現(xiàn)，比如通過釣魚郵件進行內(nèi)部感染，沙箱技術就是隨之出現(xiàn)的檢測方法。

　　在國內(nèi)攻防演練形成常態(tài)之后，安全人員發(fā)現(xiàn)，在面對高可疑攻擊行為的時候，對抗的關鍵點在于怎樣去快速驗證、研判以及擴線分析。這么一來，怎樣去提升研判效率與準確度，就成為防守方的取勝要訣。在這種情況下，如果能夠具備對于網(wǎng)絡流量的全協(xié)議解析、保存、分析能力，實現(xiàn)對于告警數(shù)據(jù)的全量全包、以及全協(xié)議檢測，無疑能大大提升對于攻擊的研判準確率。目前，網(wǎng)絡流量分析技術成為應對未知威脅的技術發(fā)展趨勢，并曾被Gartner評為十一項頂級安全技術之一。

　　據(jù)了解，科來在發(fā)展早期就決定獨立研發(fā)面向國內(nèi)的網(wǎng)絡流量分析產(chǎn)品。在其與客戶的交流中，得到反饋發(fā)現(xiàn)網(wǎng)絡流量分析技術在諸多方面可以滿足用戶對于網(wǎng)絡安全的需求。

　　傳統(tǒng)的基于策略、特征的安全產(chǎn)品，在面臨諸如APT攻擊等高級未知威脅對抗的時候，很難成功察覺，為了更清楚地透析威脅情況、破壞范圍與攻擊走向，更需要對全流量采集、存儲與分析，對流量進行挖掘，獲取里面的線索情報，并回溯整個安全事件，讓客戶知道整個安全事件是怎么發(fā)展的，比如網(wǎng)絡遭受攻擊的原因、是否產(chǎn)生了橫向擴展、擴展后的行為等等，讓客戶對整個攻擊路徑、攻擊者情況等等都有清晰的了解。

　　“再高級的攻擊也會產(chǎn)生流量”，科來強調(diào)，流量分析技術對于安全防御體系建設，有著不可或缺的作用。

　　作為一項重要、底層的基礎技術，全流量分析在實際業(yè)務中有眾多的應用場景。首先，可以對企業(yè)的業(yè)務資產(chǎn)和未知的業(yè)務訪問關系進行梳理，幫助企業(yè)有效收斂業(yè)務暴露面，從而提升防御的強度。同時，針對APT攻擊、隱蔽信道傳輸以及高級木馬等威脅，基于高檢出效率的流量分析進行的異常行為建模，也是當下使用廣泛的安全防御措施，在各種安全事件響應、攻防演練場景下廣受重視和應用。

　　科來全流量分析：

　　為用戶賦能“檢測”和“響應”雙重能力

　　科來介紹，其全流量分析是建立在海量數(shù)據(jù)的保存和處理基礎上的檢測技術，結合大數(shù)據(jù)處理、機器學習、深度學習等技術，通過全流量分析設備，實現(xiàn)網(wǎng)絡全流量采集與保存、全行為分析與全流量回溯，并提取網(wǎng)絡元數(shù)據(jù)上傳到大數(shù)據(jù)分析平臺，從而滿足客戶更為細致與豐富的需求。

　　安全防御的能力取決于安全感知能力，而安全感知能力的重點則在于對未知安全威脅的感知能力上。從流量視角來看，這種能力就體現(xiàn)在對于協(xié)議的理解和解析上。

　　科來在全量數(shù)據(jù)采集與保存的基礎上，實現(xiàn)了全行為建模與分析、全流量回溯，能夠在網(wǎng)絡攻防對抗中精準發(fā)現(xiàn)與確認攻擊威脅。“無論是針對攻擊的隱蔽信道，還是發(fā)現(xiàn)網(wǎng)絡中傳輸協(xié)議的異常流量，當我們能透析更多的網(wǎng)絡流量內(nèi)容，那么我們就能看得更清楚、更透徹、更全面，這樣一來，利用協(xié)議漏洞的網(wǎng)絡攻擊就無所遁形。”

　　未來整體技術趨勢正轉(zhuǎn)向智能化與聚合化

　　隨著未來數(shù)字化系統(tǒng)越來越多地應用到社會關鍵基礎設施，數(shù)字化系統(tǒng)自身的安全、穩(wěn)定、可靠將至關重要。以往，如果只依靠關鍵詞的反饋會產(chǎn)生大量的告警，安全設備提供的告警驗證只讓安全人員看到單個請求或響應包的情況，不僅無法及時確認真正的威脅所在之處，也不能對攻擊行為進行進一步的研判與分析。科來分析，未來整體技術趨勢正在轉(zhuǎn)向智能化與聚合化，從單一警報轉(zhuǎn)向事件集合，來進一步賦能安全體系，以實現(xiàn)對于企業(yè)精細化安全防御的完善與補充。

　　科來表示，網(wǎng)絡流量分析技術是一項在不同領域有著豐富應用場景的底層基礎技術，可以衍生出更多的可能。未來將進一步圍繞數(shù)字化互聯(lián)智能系統(tǒng)保障的相關技術產(chǎn)品開發(fā)，在網(wǎng)絡流量分析技術、網(wǎng)絡性能分析、網(wǎng)絡安全分析等產(chǎn)品和技術開發(fā)的基礎上尋求更多可能，為圍繞數(shù)字化互聯(lián)智能系統(tǒng)保障的相關技術產(chǎn)品的開發(fā)，成為真正的數(shù)字化互聯(lián)智能時代的守護者。

更多信息可以來這里獲取==>>電子技術應用-AET<<