PCAP会捕捉整个网络流量中每个数据包(包括元数据和内容)。如果网络上发生什么问题,PCAP就会得知:无论是恶意软件流转数据,还是员工私设了主机,都会被捕获分析。

PCAP能提供CISO们需要却很少达成的事:网络的完整可视化能力。

这类流量监测的安全潜能是显而易见的,这也解释不少美国联邦机构在寻求这一技术解决方案的原因。到2020年底为止,由于SolarWinds事件,美国国土安全局、州政府、阿伯丁武器试验场、美国海军、以及美国导弹防御局都要求有RFP和RFI的PCAP解决方案。

美国国土安全局的企业安全运营中心表示,他们认为“全数据包抓包是网络安全可视化堆栈的一个里程碑,可以让分析师在满足DHS安全要求的情况下进行调查分析”。

不过,这一突然形成的PCAP潮流也引发了一些显而易见的问题:如果PCAP如此强大,为什么还没有被各个机构采用?在联邦机构中的这一趋势是否也会延伸到一半商业领域?

▶ “全知”的价值

“数据包从来不会说谎。”Vectra的EMEA主任Matt Walmsley表示,“数据包抓取已经成为网络安全犯罪调查主要证据的黄金标准很长时间了。它是从监控流量传输过的流量一点一点的完整复制。数据包不是一种解析,也不是一种总结描述——它就是最底层的真相。”

PCAP会采集所有东西,但是它并不是被设计用于提供实时——或者任何形式的分析,分析是由一些插件或者其他安全工具解决。PCAP的价值是能够抓取并细节地展示真实发生的事情。

因此,许多分析师相信PCAP是最适合历史分析的。“全数据包抓取完全是为了历史分析而生。”Vectra的CTO,Oliver Tavakoli认为,“通常徐亚奥其他检测能力来发现有意思的数据包。”

但不是每个人都完全同意这点。“这绝对不是只针对历史分析的!”Thycotic的首席安全科学家兼CISO顾问表示了反对,“完整的PCAP能力还能用于实时分析。但是,前提是有专门设计的算法,帮助SOC分析师哪些数据包需要调查,哪些可以完全自动化进行。”

这点来看,在PCAP中融入人工智能可以在未来几年改变PCAP的使用和价值。

Carson总结了一下PCAP的价值:“最近我分析了一次严重的勒索病毒事故。其中存留的日志数据只能得出攻击者如何入侵的一部分信息。不过,如果我有完整的PCAP数据,我可能得出更详细的攻击路径。”

Axellio的SVP,Stefan Pracht做了进一步的补充:“只有数据包可以提供时间和事件顺序的内在信息,比如攻击来源、受影响的企业资源、被违规接入甚至泄露的数据、以及攻击如何在网络中横向移动的。真实攻击的流量还能提供一些其他重要的信息,比如该攻击是否是以前就发生却未被检测到的、以及部署的缓解技术是否真的有效。”

新思科技的首席科学家Sammy Migues表示:“我们需要知道哪些人进入了网络,做了哪些事情——我是说他们真正做了哪些事。普通的日志会抓取主机A和主机B进行了联系,但是具体的交互内容是什么?这才是需要知道的!它们到底是如何进行交互的?它们是如何不被发现的?这些问题都能通过全数据包抓取进行解答。”

AT&T网络安全的联邦情报产品AVP,Brandon Pearce(他也是前美国空间情报局的CISO)做了更具体的说明:“由于PCAP会直接在数据包层面进行检查,政府部门就可以在他们的网络上找到任何不正常的行为。相比于日志数据,数据包的数据会更有可能发现之前不知道的行为,比如隐藏的交流/泄露频道、其他正常流量中潜藏的C2信号等等。”

在数据包层面发现之前不知道的活动不仅仅能够显示发生了些什么,还能知道是如何发生的。这会给相关部门制定可执行计划的数据,从而抵御他们网络中不受欢迎的存在,以及如何发生的关键证据。在OSI模型更高层次的日志却不会给调查人员同等价值的信息。

▶ 成本问题

Walmsley认为,PCAP除了是网络犯罪调查的黄金标准外,还存在着“数据量太大、存储成本高、很难手工检索分析”的问题。

成本必然是个问题。抓取全网的内容会需要非常庞大的存储空间。尽管说存储成本正在下降,但是网络流量却在上升,从而哪怕只保存几天的PCAP数据都会非常昂贵。

Tavakoli解释道:“实现1Gb/s链路(而一些高速链路现在可能速度能达到100Gb/s以上)的全数据包抓取会要求每天产生10Tb的存储空间。这就意味着要和时间赛跑:如果一个组织可以负担10天的全数据包抓取,它就赌自己能否在事发10天内发现攻击。”

如果企业没有足够的资源快速分析那个量级的数据,那就很难让PCAP的投资回本。Corelight的首席安全战略师Richard Bejlitch认为,“PCAP有一席之地,但是必须要在存储、请求能力等各个因素之间进行平衡。我也会要求相关机构考虑升级他们的网络安全监控架构,先看看他们的交互日志能否解决他们的问题,从而针对性地对关键位置进行PCAP应用。一个‘全PCAP优先’的解决方案相比其他可选方案会更加昂贵,而且缓慢。”

除了在全PCAP和部分PCAP之间进行选择外,人员问题上还有一个潜在问题。“存储限制会要求从网络分区中选择需要抓取的流量。”Attivo的欺骗技术工程师/市场工程师Joseph Salazar认为,“就像存储限制会导致证据缺失一样,缺少覆盖面会导致PCAP不完全,从而在分析师中造成盲点。最后,分析PCAP要求经验和熟练度,从相关数据中抓取调查所需要的内容,这可能是一个二进制的载荷,也可能是一个被泄露的数据文件。鉴于当前网络安全行业面临的培训与人员的挑战,这不是一个组织能很快就解决的问题。”

▶ 平衡隐私问题

另一个需要考虑到的点是隐私问题。Vectra的EMEA主任Matt Walmsley解释:“PCAP文件可以被用于重建明文会话和数据载荷——这就会引发用户隐私和企业防护需求之间的争议。虽然说流量被加密了,而密钥又没法找回,但是如果有人知道该去哪里账号哪些信息,依然会有不错的收获。事实上,所有的流量,无论是否加密,都会在通信中包含大量的敏感信息,从而能泄露一个攻击者在企业内部实施攻击时候的状态。”

Carsons也同时补充:“虽然说全PCAP对加密数据也无法让分析师能够看到具体内容,但是来自包头的元数据依然能够对事故分析或者进行威胁狩猎提供帮助。”

不过,加密网络的使用也多少改变了一些情况。

Talion的首席分析师Kyle Huddart表示:“最大的难点(包括对所有的监测解决方案)在于这个技术需要对网站流量有效果,那就需要SSL检查能力,并且能够接入证书去解密信息。这里就会出现隐私问题。全数据包抓取用户的HTTPS流量会泄露在企业网络中使用个人网站的一些敏感信息。”这个问题可以通过只针对部分网站(比如排除银行、医疗网站)进行证书解密来解决,但是这个方法依赖于对网站的分类,增加了实现的复杂性,从而增加了解决方案成本。

Vectra的Tavakoli认为:“在大部分现代通信中,数据包应该被加密。在这些连接中,需要可视化的,是两个系统之间的通信情况,以及数据是如何交互的。”因此,如果一个环境无法支持全PCAP方案,那么就需要考虑PCAP的投入成本在这样的环境中是否值得。

这时候就有两个选择。第一种是放弃全PCAP,改用现在越来越强大的AI网络检测和响应系统。第二种就是打破自身的加密策略。Tavakoli补充认为:“大部分组织依然坚持使用数据包抓取,也同时考虑通过中间人的方式,在终端植入探针获取密钥的复制,从而破解加密。”但这种方法,显然再一次地将隐私问题放到了台面上。

一部分基于PCAP的解决方案则试图用附加的技术解决问题。比如Axellio的Pracht就提到:“有些解决方案会要求数据包抓取能够同时管理数据的存储和接入。信息可以被识别和‘伪装’,意味着信息会被改写。这个可以通过在写入磁盘前进行永久修改,或者在展示给用户前临时伪装来实现。由于一些如地址信息的数据对分析非常必要,这类信息的接入需要被细致地管理起来,要限制哪些人能看到这些数据,在不同的权限层面管理用户许可。”

收集员工上网内容会是一个麻烦的事情,甚至会引来司法的介入。但是,如果确保被收集的数据安全无泄漏,而接入这些数据仅限于安全团队出于保障网络安全的原因,那就可以认为这些信息的收集对于企业业务是必要的。

▶ PCAP的未来

PCAP正在一个转折点上。存储成本的下降和改进后的自动化AI分析能否让PCAP的成本降低到更多企业能接受的地步?又或者因为基于AI的网络检测和响应能力的提升让全PCAP变得多余?

Tavakoli认为:“全数据包处理(不包括为之后的事件进行抓包)在NDR的产品领域。这些产品能够通过应用AI,将数据包中提取的区域进行分析,实时监测威胁。”

不过,唯一能够确信的是:分析内容和原完整数据包内容越接近,分析结果越精确;分析过程越不自动化,需要的时间和精力也就越多。不过,实时NDR也无法提供全PCAP能为犯罪取证提供的深度信息。

最后,如果需要收集和储存全PCAP文件,最好确保安全防护。“如果被攻击者窃取了你所有的PCAP文件,会造成远远比让攻击者在你组织中狂奔数周,甚至数月,更大的风险。”Migues警告,“所有的信息都在那里——邮件、文件夹、浏览历史、所拥有的代码等等,攻击者甚至不需要黑进每个人的电脑里才能获得这些东西。如果让你的PCAP文件在法庭上成为针对你自己的东西,那简直骇人听闻。”

这也能解释最近一阵联邦政府部门内对PCAP的推动。Talion的Huddart建议:“我觉得美国政府里要推动全数据包抓取的话会面临大量繁文缛节。主要原因包括在网络上传播的敏感信息是否会被全数据包抓取获得,然后被一些潜在的危险分子重建。”这可能是SolarWinds带来的后遗症。

数世点评

安全产品的两面性始终存在:对业务的保护能力,以及各种成本(包括对业务的潜在影响,直接的资金的投入等)。数据包抓取作为一项历史比较悠久的技术,在当下的环境中不断演进,依然有着其独特的价值——但是由此带来的是成本的上升以及管理的风险。PCAP的使用还是需要根据场景,在关键之处进行投入。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。