网络安全行业有一段名言:只有两种企业,一种是知道了自己被入侵的企业,一种是不知道自己被入侵的企业。
现代化的企业或机构的网络中潜伏着恶意攻击者,已经成了新常态。IBM的研究报告显示,企业平均需要197天才能发现网络被入侵,需要69天的时间来控制事态。但不管攻击者多么狡猾,总是会在网络中留下蛛丝马迹。
元数据即信息
如同房子的门窗,IP地址、代理服务器、邮箱等就是网络入侵者的出入口,他们总是会在这些出入口上留下痕迹。分析人员可以基于大量的网络元数据,来识别并隔离网络入侵。
网络元数据通常被定义为数据的数据,或者是令数据变得有用的信息。如同数字摄影,照片上会包含使用的相机型号、曝光度、像素,甚至是GPS等信息,这些都是数字文件的元数据,帮助我们分类和组织我们的相册。网络元数据则包含了网络上需要运行的各种硬件设备和软件信息,从电子邮件到应用服务器,再到防火墙和云网关。单独的某一设备或软件,可能无法说明什么,但把所有的信息集中起来,对其进行分析和回溯,一个清晰的画面就会展现出来。
把元数据转换成有用的情报
对于安全人员来说,网络元数据是一种关键但未被开发利用的威胁情报,分析人员必需将其整合到入侵检测的工具集中,将有价值的数据形成可执行的威胁情报,这些有价值的数据包括:
DNS
DNS查询提供了一个上下文环境,它记录了从攻击者的设备到企业网络的每一次连接,从而有助于识别攻击者渗透网络的特定路径。
网络流数据(Net Flows)
理解数据包如何在网络中流动,可以提供非常有价值的信息。如攻击者控制了哪些设备,这些设备是否被攻击者用来在网络络横向移动等。
边界代理与防火墙访问日志
如果攻击者没有通过DNS解析进行访问,那么这些连接的部分信息可以在防火墙或其他边界代理设备的日志中找到。
垃圾邮件过滤
垃圾邮件过滤的数据通常会被忽略,但这些元数据能够为企业所遭受的攻击手段判断提供非常有价值的情报。更进一步的,如果发现某些终端用户成为相似攻手段的目标,则意味着企业很可能已经被入侵。
分析元数据的条件已经具备
虽然网络元数据有着很大的实用价值,却由于计算与存储资源等原因并没有被很好地利用。如,数据的存储和处理成本令人难以接受。但公有云的普及带来了希望,数据的存储成本已经从2000年时的12.4美元/G,降到现在的0.004美元/G。计算资源也有了飞跃式的激增,是20年前的1万倍。计算与存储的指数级发展,为收集与管理不断增长的海量元数据带来充足的空间。
当把这些所有的元数据与机器学习、AI结合在一起,并进行有效关联分析的时候,一个新的安全阶段就会来临,安全团队不再头痛于网络里是否存在攻击者,我们可以通过非常便利、有效的数据工具,在几分钟内发现入侵,而不是现在的几个月。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。