黄网在线观看免_先锋影音欧美在线_97zyz超碰最新总站_国产中文无码日韩

DPI提供了網(wǎng)絡(luò)中所有知識的總和，從中獲得的洞見更有助于公司為網(wǎng)絡(luò)創(chuàng)建一道不可磨滅的防線。

單純從數(shù)據(jù)包中收集元數(shù)據(jù)，甚至進行深度包檢測（Deep Packet Inspection，簡稱DPI）是相對容易的，但要實現(xiàn)全線速且跨全網(wǎng)的DPI卻相對困難。隨著信息進入網(wǎng)絡(luò)，要實時收集有意義的上下文數(shù)據(jù)去建立已知的良好行為和跟蹤異常更加困難。我們先從基于DPI的網(wǎng)絡(luò)情報是如何理解和影響網(wǎng)絡(luò)開始：

? 網(wǎng)絡(luò)在本質(zhì)上是所發(fā)生的事情的絕對真相。對手（Adversary）可以通過加密通道掩蓋活動、更改MAC地址、欺騙或偽裝IP地址、清除數(shù)據(jù)，然后模仿合法用戶或掩蓋不法活動。然而，數(shù)據(jù)包是不能改變的，它們包含了絕對的真相。

?對手是特別復(fù)雜和多層次的。 IDC 觀察到，大約有一半的網(wǎng)絡(luò)攻擊使用超過一種的惡意軟件特征。此外，攻擊可以從OSI模型的第2層到第7層的任何地方發(fā)起。從數(shù)據(jù)鏈路事件（第2層）到應(yīng)用層（第7層），任何地方都可以確定潛在的網(wǎng)絡(luò)攻擊線索。

? 網(wǎng)絡(luò)安全工具和程序是設(shè)計為反應(yīng)性和/或響應(yīng)性的，在預(yù)先設(shè)定的過濾閾值超出時啟動。IDS/IPS 設(shè)備用于檢測對手；防火墻規(guī)則檢測策略違反；端點工具檢測到內(nèi)存損壞或檢測到異常的PowerShell命令。然而，通過分析數(shù)據(jù)包，網(wǎng)絡(luò)情報工具可在入侵發(fā)生前收集事件信息并產(chǎn)生上下文數(shù)據(jù)。

? 網(wǎng)絡(luò)情報工具是設(shè)計用來監(jiān)控網(wǎng)絡(luò)的健康狀況。這個結(jié)論似乎過于簡單，其實并不是。網(wǎng)絡(luò)的作用是處理最終用戶和應(yīng)用之間的連接，處理包括TCP/ IP握手、HTTPS會話數(shù)據(jù)等協(xié)議。應(yīng)用具有已知的性能特征，最終用戶具有可預(yù)測的行為。網(wǎng)絡(luò)性能監(jiān)控（NPM）的好處是最大化網(wǎng)絡(luò)的性能，保障更好的終端用戶體驗和應(yīng)用的安全執(zhí)行。同樣重要的是，不同的NPM指標，如數(shù)據(jù)包的狀態(tài)、應(yīng)用延遲或抖動，也可以成為網(wǎng)絡(luò)安全上下文數(shù)據(jù)中的失陷指標（Indicators of Compromise，簡稱IoC）。此外，網(wǎng)絡(luò)有一個“黃金狀態(tài)”，在這種狀態(tài)下它的性能是優(yōu)化的，它的實體之間的關(guān)聯(lián)是固定的。如果當前的網(wǎng)絡(luò)狀態(tài)偏離了黃金狀態(tài)，NPM可以很快地檢測到（造成偏離的一個原因正是對手在“低和慢”的工作）。

? 網(wǎng)絡(luò)是一根非常能反映現(xiàn)場的導(dǎo)線。在現(xiàn)實世界中，公司可以購買的安全工具數(shù)量有限，但如果預(yù)算允許，網(wǎng)絡(luò)情報工具可以與端點檢測和響應(yīng)工具（EDR）、擴展檢測和響應(yīng)（XDR）、威脅情報設(shè)備、下一代防火墻（NGFW）、身份和訪問管理工具（IDM）、安全信息與事件管理（SIEM）和安全協(xié)調(diào)、自動化與響應(yīng)工具（SOAR），以完善告警和來自各種資源的遙測數(shù)據(jù)，產(chǎn)生單一版本的真相，并創(chuàng)建一個統(tǒng)一的安全工作流。

? 網(wǎng)絡(luò)本身也在不斷發(fā)展和演進。現(xiàn)代的網(wǎng)絡(luò)是一個由傳統(tǒng)數(shù)據(jù)中心、100G交換、SD-WAN以及私有云和公有云組成的復(fù)雜組合。這些現(xiàn)代網(wǎng)絡(luò)需要儀器和網(wǎng)絡(luò)情報，能夠?qū)λ袇^(qū)域提供持續(xù)和一致的可見性，以彌補可能隱藏著潛在威脅的可見性缺口。

釋放互聯(lián)網(wǎng)力量的真正魔力是利用數(shù)據(jù)包的能量。數(shù)據(jù)報文被設(shè)計用來啟動會話、提供路由信息、攜帶有效負載、 對下一個包進行排隊，最后終止會話。應(yīng)用是數(shù)據(jù)報文的集合。簡單地說，深度包檢測對應(yīng)該是可預(yù)測且不可改變的應(yīng)用事件提供了可見性。

NPM和DPI應(yīng)該被看作一個組合。NPM尋找網(wǎng)絡(luò)性能中的故障，從而影響應(yīng)用、終端用戶體驗和安全設(shè)備的效率。而被DPI評估過的豐富數(shù)據(jù)，可以為數(shù)據(jù)包過濾提供更強大的機制，因為DPI可以用來識別和阻止隱藏在網(wǎng)絡(luò)數(shù)據(jù)流中的一系列復(fù)雜威脅，包括：

?透視加密數(shù)據(jù)包。在對數(shù)據(jù)包進行加密時，安全工具可能會丟失有效載荷的可見性。但是，如果將包解密作為企業(yè)內(nèi)部網(wǎng)絡(luò)架構(gòu)的一個精心管理的組件，部署在云和數(shù)據(jù)中心的關(guān)鍵位置， DPI工具可以完全訪問數(shù)據(jù)包內(nèi)的所有層。

?檢測數(shù)據(jù)泄露。DPI不僅可以用于入站流量，還可以用于出站網(wǎng)絡(luò)活動。這意味著組織可以使用DPI分析來設(shè)置過濾器，以阻止外部攻擊者的數(shù)據(jù)泄露嘗試，或由惡意和疏忽的內(nèi)部人員造成的潛在數(shù)據(jù)泄露。

圖1. 研究發(fā)現(xiàn)，由人為疏忽導(dǎo)致的網(wǎng)絡(luò)攻擊占77%。DPI工具能用于分析入站和出站活動，能提早發(fā)現(xiàn)由惡意和疏忽的內(nèi)部人員造成的潛在數(shù)據(jù)泄露。（信息來源：BCG于2021年對50起重大數(shù)據(jù)泄露的分析報告）

?發(fā)現(xiàn)內(nèi)容策略違規(guī)。DPI提供的附加應(yīng)用可見性允許組織阻止或限制對危險或未經(jīng)授權(quán)的應(yīng)用（如點對點下載程序）的訪問。同樣的，DPI的深入分析，為組織阻斷違反政策的行為，或防止在公司批準的應(yīng)用中進行未經(jīng)授權(quán)的數(shù)據(jù)訪問，開辟了道路。

?檢測命令與控制通信（C2通信）。對手一般會通過接管機器來竊取數(shù)據(jù)或啟動僵尸軟件（Botware），當然，未經(jīng)允許接管機器本身就是違法行為。C2通信路由讓威脅來源的發(fā)現(xiàn)變得復(fù)雜，而且就像加密數(shù)據(jù)包一樣，C2通信活動可能看起來并不異常，但是，DPI可以揭示“低和慢“的C2通信活動的證據(jù)特征。

? NetFlow的可見性有限。NetFlow協(xié)議提供的信息，如入站接口（SNMP）、源IP地址、目的IP地址和IP 協(xié)議是有幫助的，但無法提供足夠的可見性。另一個相關(guān)并且值得注意的問題是，有些環(huán)境無法部署EDR代理，例如物聯(lián)網(wǎng)（IoT）和公有云環(huán)境。DPI卻不論在任何安全層面都可以被廣泛使用。

DPI功能的發(fā)展，克服了傳統(tǒng)安全檢查系統(tǒng)依賴于狀態(tài)性的包檢查的局限性。DPI分析提供的額外可見性有助于IT 團隊執(zhí)行更全面和詳細的網(wǎng)絡(luò)安全策略。

讓DPI網(wǎng)絡(luò)情報閃亮的應(yīng)用場景

上面重點討論了DPI作為加強網(wǎng)絡(luò)檢測和響應(yīng)以及網(wǎng)絡(luò)用戶行為分析的功能，換句話說，就是利用網(wǎng)絡(luò)來執(zhí)行合規(guī)或檢測IOC或幫助安全運營中心（SOC）調(diào)查和處理的方法。

DPI有直接的效益，也加添了長期的取證和戰(zhàn)術(shù)優(yōu)勢。可擴展的DPI智能地從報文中實時提取OSI 2-7 層的元數(shù)據(jù)，元數(shù)據(jù)和數(shù)據(jù)包被智能地存儲在本地并建立索引（而不是移動到云上），以支持快速和長期（例如，回溯到一年前）的威脅檢測與調(diào)查。在入侵點，網(wǎng)絡(luò)情報系統(tǒng)必須提供攻擊前、期間和之后的持續(xù)性并可擴展的數(shù)據(jù)包捕獲。

我們希望取證分析是簡單的，但實際上并不是。如果SOC團隊可以使用一條直線來確定告警是良性的、是跟網(wǎng)絡(luò)相關(guān)的，還是一件安全事件，那么他們肯定會用上它。此外，告警只指示網(wǎng)絡(luò)上某個時間點上發(fā)生的事情，然而，要弄清楚到底已經(jīng)造成了什么傷害，具體哪個是目標，對手的動機是什么，攻擊面可能是什么（以及如何減少它），都需要額外的工作和洞察力。DPI可以通過以下方法縮短這些過程：

?數(shù)字還原能力。在一次雨刷攻擊（WiperAttack）中，對手可能會開始嘗試清除日志、解除安全工具、并積極地避開沙箱。然而，對手無法更改進出的數(shù)據(jù)包。如果數(shù)據(jù)包被解析開，攻擊者使用的有效負載及操作方法就無所遁形。

?網(wǎng)絡(luò)的網(wǎng)絡(luò)。由DPI驅(qū)動的安全方式的一個很好的功能是，它可以利用其他網(wǎng)絡(luò)中發(fā)現(xiàn)的模式來找出每個網(wǎng)絡(luò)中的IoC。匿名數(shù)據(jù)可以幫助檢測其他攻擊（以及分布式拒絕服務(wù)DDoS活動）中對手的模式，并主動將之應(yīng)用到本地網(wǎng)絡(luò)檢測中。

?取證能力。DPI不僅僅是日志、元數(shù)據(jù)和報文。在事件發(fā)生之前、期間和之后可以產(chǎn)生關(guān)聯(lián)分析；反過來，SOC團隊可以訪問高分辨率的歷史證據(jù)，回到過去，了解攻擊是如何開始的，以防范類似的入侵并停止正在發(fā)生中的惡意活動。此外，SecOps團隊可以監(jiān)控基礎(chǔ)設(shè)施內(nèi)暴露的攻擊面，對已部署的防御進行效能優(yōu)化。

?在多種環(huán)境中具有卓越的可見性。從許多公司轉(zhuǎn)向云環(huán)境來看，云的效益顯而易見。為了保持對網(wǎng)絡(luò)和資產(chǎn)控制的同時獲得這些效益，企業(yè)需要將現(xiàn)有網(wǎng)絡(luò)功能擴展到新的云環(huán)境的解決方案。在傳統(tǒng)局域網(wǎng)絡(luò)中，TAP（測試訪問點）這種物理設(shè)備串接到網(wǎng)絡(luò)鏈路中，它可以保證安全監(jiān)控設(shè)備以線速能力復(fù)制包數(shù)據(jù)。公有云的提供商，如AWS、Azure和谷歌云平臺現(xiàn)在擁有相當于TAP的能力，公有云中的流量鏡像技術(shù)提供了相同的功能。仿效NPM的理念，目前一個適當?shù)脑?/span>TAP部署能讓SOC在混合和多云環(huán)境中具有實時的可見性。

? 零信任網(wǎng)絡(luò)原則。所有零信任的營銷策略，前提很簡單，A不能相信B。握手、身份驗證和互聯(lián)網(wǎng)協(xié)議現(xiàn)在為A可以相信B創(chuàng)造了條件。但是，A和B雙方還必須有一個分析后端，以考慮多種環(huán)境，包括多云和虛擬機。同樣，使用單一的NPM平臺允許NetOps團隊應(yīng)用適當?shù)牟呗詠韺嵤┝阈湃伟踩軜?gòu)，并驗證策略和架構(gòu)是否按照設(shè)計的那樣工作。

NETSCOUT對DPI技術(shù)的應(yīng)用

Omnis CyberStream網(wǎng)絡(luò)傳感器最重要的能力之一是，它可以以高達100Gbps的速度連續(xù)捕獲完整的數(shù)據(jù)包。這是CyberStream與其他廠商的網(wǎng)絡(luò)傳感器的重大區(qū)別，后者在檢測到威脅后才開始捕獲數(shù)據(jù)包并使用數(shù)據(jù)包切片，或使用其它完整性較差的數(shù)據(jù)（如NetFlow）。CyberStream結(jié)合使用NETSCOUT ASI技術(shù)及索引和壓縮技術(shù)來創(chuàng)建一個強勁的2-7層元數(shù)據(jù)集，NETSCOUT稱之為“智能數(shù)據(jù)”。智能數(shù)據(jù)存儲在本地的CyberStream 傳感器上（存儲容量達數(shù)百TB）。

使用Omnis Cyber Intelligence的優(yōu)勢在于，通過提供對底層流量的實時顆粒度分析，使用者可以無縫高效地為云流量提供與On-premises本地的流量相同的流量管理、安全性和監(jiān)控策略，即在云環(huán)境中也具有與傳統(tǒng)數(shù)據(jù)中心相同的功能。

對于網(wǎng)絡(luò)和安全操作，NETSCOUT的技術(shù)可以將大容量的網(wǎng)絡(luò)流量實時轉(zhuǎn)換為高度結(jié)構(gòu)化、多維的元數(shù)據(jù)，即“智能數(shù)據(jù)”（見圖3）。vSTREAM傳感器為云和虛擬化環(huán)境提供了CyberStream設(shè)備的全部功能。 vSTREAM傳感器可以作為云環(huán)境中的實例部署，也可以作為hypervisor中的虛擬機部署。此外，傳感器可以作為公有云的實例實現(xiàn)，包括AWS、Azure、GCP和Oracle云基礎(chǔ)設(shè)施。

圖3. 面向企業(yè)網(wǎng)絡(luò)中所有表面可見性的Omnis Cyber Intelligence架構(gòu)

在網(wǎng)絡(luò)環(huán)境中，用戶體驗和應(yīng)用安全可能會發(fā)生沖突。如果沒有適當?shù)慕?jīng)驗，日志數(shù)據(jù)和應(yīng)用洞察分析之間的差距很大。隨著DPI提供的強大可見性，網(wǎng)絡(luò)安全設(shè)備可以更多地了解在網(wǎng)絡(luò)上運行的實際應(yīng)用、傳遞的信息以及這些信息是否適合于所使用的協(xié)議和預(yù)期的目的地。這讓信任區(qū)域中流量的重新路由，比早期實施的隱式“拒絕所有入站”和“允許所有出站”的訪問控制，更有效地實現(xiàn)一個精細的零信任策略網(wǎng)絡(luò)。通過在電信和各個垂直行業(yè)（醫(yī)療保健提供商、金融科技等）長期積累的經(jīng)驗，NETSCOUT可以快速識別正在運行的應(yīng)用以及每個會話中的預(yù)期標準體驗值（延遲、路由等）。

NETSCOUT的ASI利用對網(wǎng)絡(luò)事件的洞察來揭示網(wǎng)絡(luò)異常和IoC。圖4解釋了ASI技術(shù)提供了什么類型的可見性來理解正常和異常行為。

圖4. 自適應(yīng)服務(wù)智能的架構(gòu)

Omnis Cyber Intelligence 和ASI技術(shù)的技術(shù)組件強調(diào)了NETSCOUT為客戶提供的目標。如前所述，使用DPI作為支撐和統(tǒng)一的Omnis Cyber Intelligence平臺，NETSCOUT提供了一種它稱之為“可視性無邊界”的能力。DPI 觸發(fā)了“智能檢測”，對應(yīng)用中出現(xiàn)的變化進行線速分析及提供可見性，增強的數(shù)據(jù)幫助SOC確定要調(diào)查哪些應(yīng)用。在一個應(yīng)用中，例如域名系統(tǒng)（DNS）會話，服務(wù)器可能需要更長的時間來響應(yīng)，或者 DNS包的大小已經(jīng)增長，這都意味著可能的DNS隧道?；?/span>DPI的Omnis Cyber Intelligence可以檢測到正在發(fā)生的事情。

NETSCOUT網(wǎng)絡(luò)性能監(jiān)控所產(chǎn)生的協(xié)同效應(yīng)帶來了一系列的效益，這不僅僅包括威脅檢測和應(yīng)用保證。重要的能力包括：

?NETSCOUT提供的安全能力是“風(fēng)起于青萍之末，浪成于微瀾之間”。在活動變成事件之前，SOC建立正常的操作監(jiān)控，對可疑活動發(fā)出警報，然后確認事件已被檢測，告警機制包括早期預(yù)警和持續(xù)的攻擊面監(jiān)控。如果確實發(fā)生了攻擊或疑似攻擊，SOC可以啟動接觸者追蹤，并對2-7層元數(shù)據(jù)或數(shù)據(jù)包進行回溯調(diào)查。

?NETSCOUT促進安全和ITOps團隊的整合，并放大他們的協(xié)作效益。安全和ITOps的聯(lián)手以幾種不同的方式表現(xiàn)。網(wǎng)絡(luò)本身在滿負荷前運行得最好。如果應(yīng)用很慢或者用戶體驗很差，通常需要某種類型的負載平衡。如果安全設(shè)備的容量達到最大，它們要么丟包，要么允許不受監(jiān)控的活動進入?？捎^察性和持續(xù)性監(jiān)控不是同一件事，但肯定是親兄弟。實施關(guān)鍵性能指標（KPI）對網(wǎng)絡(luò)和安全性都有好處。

?NETSCOUT可以啟動智能緩解。Omnis Cyber Intelligence評估安全態(tài)勢，通過與領(lǐng)先的SIEM、SOAR和 NGFW平臺的集成有助于安全團隊的銜接，并阻止對手的下一步行動。Omnis Cyber Intelligence還可以通過Omnis Arbor Edge Defense（AED）防御解決方案在網(wǎng)絡(luò)邊緣支配緩解措施，以阻止入站和出站威脅。Omnis Cyber Intelligence旨在這些安全棧中發(fā)揮作用，包括將NETSCOUT智能數(shù)據(jù)導(dǎo)出到第三方數(shù)據(jù)湖的能力，讓安全分析師能結(jié)合其他安全數(shù)據(jù)集來豐富信息，進行自定義分析。

? NETSCOUT 幫助未來的網(wǎng)絡(luò)驗證。不斷變化的、嶄新的環(huán)境在我們眼前誕生——擁有專有操作系統(tǒng)的IoT/OT場景、5G網(wǎng)絡(luò)和元宇宙。在這些環(huán)境中，網(wǎng)絡(luò)的原基礎(chǔ)變得更加重要。NETSCOUT平臺隨著網(wǎng)絡(luò)的演進一起發(fā)展。

本文描述了網(wǎng)絡(luò)和安全之間的共生關(guān)系。然而，對于NETSCOUT來說，豐富的內(nèi)容、網(wǎng)絡(luò)性能和應(yīng)用保證是達到目的的一種手段。對于NETSCOUT而言，它已經(jīng)管理了最復(fù)雜的網(wǎng)絡(luò)超過20年，真正的目標是為網(wǎng)絡(luò)和安全專業(yè)人士提供卓越的工具和洞見，讓他們能夠保護他們公司的資產(chǎn)。NETSCOUT的Omnis Cyber Intelligence平臺和技術(shù)旨在確保一致的SOC分析師體驗，并創(chuàng)建一個分析流程，以達到更快的檢測，安全的提高，更好的緩解，并改善未來的安全態(tài)勢。

總結(jié)

每個攻擊面共同的是不起眼的數(shù)據(jù)包。DPI作為網(wǎng)絡(luò)安全檢測和響應(yīng)的四分衛(wèi)，然后移交給取證調(diào)查和補救似乎是合乎邏輯的。SOC越快地將日志和數(shù)據(jù)包融入到應(yīng)用、用戶和網(wǎng)絡(luò)統(tǒng)計常態(tài)，安全的可觀察性就越強。DPI能夠創(chuàng)建基于網(wǎng)絡(luò)的可操作的元數(shù)據(jù)，以增加洞見和日志上下文（所有安全設(shè)備都會生成日志），幫助調(diào)查人員找到唯一的真相來源。實現(xiàn)對網(wǎng)絡(luò)或混合云的可見性也是一項艱巨的任務(wù)。擁有能夠為任何網(wǎng)絡(luò)環(huán)境（例如，傳統(tǒng)數(shù)據(jù)中心或混合云）帶來同樣效益的設(shè)備，是當今網(wǎng)絡(luò)安全的基本要求。此外，雖然對手很狡猾，但數(shù)據(jù)包分析中包含的信息類型是不可變的，因此仍然是提供真相的來源。

網(wǎng)絡(luò)性能監(jiān)控NPM和深度包檢測DPI的結(jié)合，增強了其他SOC工具，并簡化了工作流程。具體來說，NETSCOUT CyberStream網(wǎng)絡(luò)傳感器為數(shù)據(jù)包的可觀察性提供了適當?shù)墓ぞ吆驮O(shè)備。不僅如此，NETSCOUT還利用它在處理最復(fù)雜的網(wǎng)絡(luò)方面的豐富經(jīng)驗來促進對應(yīng)用、網(wǎng)絡(luò)性能和安全性的可見性。