虽然full-packet检测是安全架构很重要的一个部分,但是full-packet检测不是被设计成监控网络内部的所有主机间通信的流量。网络中捕获每个包的流量所产生的体积会严重消弱网络的效率和网络流量。这种情况迫使安全架构师限制网络内部“可见度”的深度。一些用户产生的流量,例如往外的互联网流量,会经过检查点。然而用户-用户的流量通常是有限的。
插图1
NetFlow可以增加通过访问层的用户-用户的可见度,而且不影响网络性能。因为NetFlow的数据拼成一个flow的一小部分,这里有其路由到收集点进行分析而少得很多的性能开销。
增加用户对用户的可见度,对于了解恶意软件怎么通过网络传播尤为重要。基于行为的分析对于检测恶意软件相关联的流量patterns非常有用。
Endpoint终端安全客户端可以运行在一些流行的桌面和服务器操作系统上。专业设备:例如多功能打印机、POS终端、ATM取款机以及物联网设备等,很少部署Endpoint终端安全客户端。这些系统上可能存在操作系统的所有类型的漏洞。同时嵌入式设备也可能包含一些有漏洞的软件例如web服务器等,这些都可能是你网络中薄弱的环节。没有了Endpoint终端安全客户端,这些网络设备将会变成另外一个网络中的黑暗地带。结果是黑客可以很容易的利用这些威胁入侵到你的组织。
插图2
基于NetFlow的分析可以有效的使特殊网络设备增加”可见度”,而无需中断主要设备。使用异常流量检测方式可以解决这个问题。
加密通信是另外一个在网络中的黑暗区域。越来越多的C&C服务器和被入侵的设备的指挥和控制进行加密,以避免被发现。面临的挑战是:你怎么发现不知道内容是什么的情况下发现加密流量中的威胁。
插图3
类似生活中电话的例子,它”不一定”知道你说写了什么,进而确定恶意活动正在进行。它是利用一些Meta信息来获取一些关联的数据来进行分析。具体元数据的可怕性可以参考Defcon 23上的议题《Applied Intelligence Using Information That's Not There》。在网络的世界中的Meta信息就是源地址、目的地址、时间戳、传输的数据量、源端口、目的端口以及其他NetFlow中的信息点,进而可以标识出通信中的威胁而不需要知道内容。
真实的应用行为分析案例是,在一个典型的网络中,数据泄露可以使用基于异常行为的检测行动。通常,一个内部主机被作为基线通常只与内部服务器通信,但是突然开始与外部服务器传输大量的数据。这个时候就要引起注意了。
因为跨网络办公地点的增加,安全相关的成本也迅速增加。你必须检测广域网的流量或者你必须在边界实现本地检测设备。即使在远程办公地点部署了边界检测,你可能依然面对有限的用户到用户的活动”可见度“。
通过使用WAN和中心收集节点的backhaule(回程链路),可以解决这个黑暗区域。一旦攻击者渗透到网络是,他们可能去横向渗透本地网络分段中的其他主机。如果没有NetFlow的可视化,管理员可能错过这个活动。
为了解决大数据量的流量从东向西快速经过最深层的数据包检测设备,安全架构师通常把深度包检测部署在数据中心的边界上。数据中心可见度的问题就是获得一台主机上两台虚拟机之间的数据具有挑战。
2.解决方案
虚拟机可视化问题既然可以通过NetFlow来解决。大多数的现代的Hypervisors支持NetFlow流量监测。
https://www.lancope.com/sites/default/files/5-Dark-Places.pdf