增加网络中5个黑暗区域的”可见度”

本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

0x00 用户对用户活动

1. 描述:

虽然full-packet检测是安全架构很重要的一个部分,但是full-packet检测不是被设计成监控网络内部的所有主机间通信的流量。网络中捕获每个包的流量所产生的体积会严重消弱网络的效率和网络流量。这种情况迫使安全架构师限制网络内部“可见度”的深度。一些用户产生的流量,例如往外的互联网流量,会经过检查点。然而用户-用户的流量通常是有限的。

插图1

增加网络中5个黑暗区域的

2. 解决方案:

NetFlow可以增加通过访问层的用户-用户的可见度,而且不影响网络性能。因为NetFlow的数据拼成一个flow的一小部分,这里有其路由到收集点进行分析而少得很多的性能开销。

增加用户对用户的可见度,对于了解恶意软件怎么通过网络传播尤为重要。基于行为的分析对于检测恶意软件相关联的流量patterns非常有用。

0x01 特殊的网络设备

1. 描述

Endpoint终端安全客户端可以运行在一些流行的桌面和服务器操作系统上。专业设备:例如多功能打印机、POS终端、ATM取款机以及物联网设备等,很少部署Endpoint终端安全客户端。这些系统上可能存在操作系统的所有类型的漏洞。同时嵌入式设备也可能包含一些有漏洞的软件例如web服务器等,这些都可能是你网络中薄弱的环节。没有了Endpoint终端安全客户端,这些网络设备将会变成另外一个网络中的黑暗地带。结果是黑客可以很容易的利用这些威胁入侵到你的组织。

插图2

增加网络中5个黑暗区域的

2. 解决方案:

基于NetFlow的分析可以有效的使特殊网络设备增加”可见度”,而无需中断主要设备。使用异常流量检测方式可以解决这个问题。

0x02 加密流量

1. 描述

加密通信是另外一个在网络中的黑暗区域。越来越多的C&C服务器和被入侵的设备的指挥和控制进行加密,以避免被发现。面临的挑战是:你怎么发现不知道内容是什么的情况下发现加密流量中的威胁。

插图3

增加网络中5个黑暗区域的

2. 解决方案

类似生活中电话的例子,它”不一定”知道你说写了什么,进而确定恶意活动正在进行。它是利用一些Meta信息来获取一些关联的数据来进行分析。具体元数据的可怕性可以参考Defcon 23上的议题《Applied Intelligence Using Information That's Not There》。在网络的世界中的Meta信息就是源地址、目的地址、时间戳、传输的数据量、源端口、目的端口以及其他NetFlow中的信息点,进而可以标识出通信中的威胁而不需要知道内容。

真实的应用行为分析案例是,在一个典型的网络中,数据泄露可以使用基于异常行为的检测行动。通常,一个内部主机被作为基线通常只与内部服务器通信,但是突然开始与外部服务器传输大量的数据。这个时候就要引起注意了。

0x03 远程网络

1. 简介

因为跨网络办公地点的增加,安全相关的成本也迅速增加。你必须检测广域网的流量或者你必须在边界实现本地检测设备。即使在远程办公地点部署了边界检测,你可能依然面对有限的用户到用户的活动”可见度“。

增加网络中5个黑暗区域的

2. 解决方案

通过使用WAN和中心收集节点的backhaule(回程链路),可以解决这个黑暗区域。一旦攻击者渗透到网络是,他们可能去横向渗透本地网络分段中的其他主机。如果没有NetFlow的可视化,管理员可能错过这个活动。

0x04 内部数据中心

1. 描述

为了解决大数据量的流量从东向西快速经过最深层的数据包检测设备,安全架构师通常把深度包检测部署在数据中心的边界上。数据中心可见度的问题就是获得一台主机上两台虚拟机之间的数据具有挑战。

增加网络中5个黑暗区域的

2.解决方案

虚拟机可视化问题既然可以通过NetFlow来解决。大多数的现代的Hypervisors支持NetFlow流量监测。

0x05 参考

1. Advanced Threat Detection: Gain Network Visibility and Stop Malware

https://www.lancope.com/sites/default/files/5-Dark-Places.pdf

2. Cisco Cyber Threat Defense 2.0 Design Guide

http://www.cisco.com/c/dam/en/us/td/docs/security/network_security/ctd/ctd2-0/design_guides/ctd_2-0_cvd_guide_jul15.pdf

3. Defcon 23 Applied Intelligence_ Using Information That's Not There

https://media.defcon.org/DEF%20CON%2023/DEF%20CON%2023%20presentations/Michael%20Schrenk%20-%20UPDATED/DEFCON-23-Michael-Schrenk-Applied-Intelligence-UPDATED.pdf

4. WAN回程链路

http://baike.sogou.com/v10974425.htm

目录
相关文章
|
4月前
|
安全 网络安全 量子技术
【骇入心灵的暗网迷雾与密码学的绝地反击】——揭秘网络空间中的致命漏洞与加密艺术的生死较量,一段关于光明与黑暗的数字史诗!
【8月更文挑战第7天】互联网是无限可能之地,亦暗藏危机。网络安全漏洞威胁隐私与安全,加密技术如坚盾保护我们。本文探索网络阴影及加密技术如何运作:对称加密快速但密钥易泄,非对称加密安全但速度较慢。通过示例展示两者差异,并展望加密技术未来发展,确保数字世界安全航行。
71 0
|
7月前
|
计算机视觉
YOLOv5改进 | 主干篇 | 低照度图像增强网络SCINet改进黑暗目标检测(全网独家首发)
YOLOv5改进 | 主干篇 | 低照度图像增强网络SCINet改进黑暗目标检测(全网独家首发)
269 3
|
网络协议
网络中解决OSPF不连续区域的3种方法
网络中解决OSPF不连续区域的3种方法
426 0
网络中解决OSPF不连续区域的3种方法
|
算法 数据挖掘
RPN:Region Proposal Networks (区域候选网络)
RPN:Region Proposal Networks (区域候选网络)
270 2
RPN:Region Proposal Networks (区域候选网络)
|
编解码 资源调度 计算机视觉
GA-RPN:引导锚点的建议区域网络
GA-RPN:引导锚点的建议区域网络
284 2
|
负载均衡 网络协议 算法
跨区域网络的通信学习静态路由
跨区域网络的通信学习静态路由
480 0
跨区域网络的通信学习静态路由
|
数据挖掘 计算机视觉
R-C3D:用于时间活动检测的区域3D网络
论文原称:R-C3D: Region Convolutional 3D Network for Temporal Activity Detection(2017)
R-C3D:用于时间活动检测的区域3D网络
|
网络协议 网络架构
跨区域网络的通信学习IPv4地址的分类和计算
跨区域网络的通信学习IPv4地址的分类和计算
201 0
|
算法 网络协议 网络架构
跨区域网络的通信学习路由表的工作原理
跨区域网络的通信学习路由表的工作原理
227 0
|
运维 云栖大会 Python
云栖大会SaaS加速器专场 | 福州锐掌网络:携手阿里云构建区域软件生态
导读:本文中,福州锐掌网络的总经理鄢翔将分享和阿里云携手构建的区域软件生态,通过解决传统ISV的三个痛点,和阿里云一起实现区域联动品牌加成。
1772 0
云栖大会SaaS加速器专场 | 福州锐掌网络:携手阿里云构建区域软件生态