Network Traffic Analysis

网络流量分析的主要好处

With the “it’s not if, 这是今天关于网络攻击的心态, 对于安全专业人员来说，确保尽可能多地覆盖组织的环境可能会让他们感到难以承受.

The network is a critical element of their attack surface; gaining visibility into their network data provides one more area they can detect attacks and stop them early.

Benefits of NTA include:

• 改进了对连接到网络的设备的可见性(例如.g. IoT devices, healthcare visitors)
• Meet compliance requirements
• 排除操作和安全问题
• 通过丰富的细节和额外的网络背景，更快地响应调查

设置NTA的关键步骤是确保从正确的来源收集数据. 如果您正在寻找流量并映射网络数据包从起点到目的地的旅程，流量数据是非常有用的. 这种级别的信息可以帮助检测未经授权的WAN通信，并利用网络资源和性能, 但它可能缺乏深入研究网络安全问题的丰富细节和背景.

从网络数据包中提取的数据包数据可以帮助网络管理员了解用户是如何实现/操作应用程序的, track usage on WAN links, 并监控可疑的恶意软件或其他安全事件. 深度数据包检测(DPI)工具通过将原始元数据转换为可读格式，并使网络和安全管理人员能够深入到最细微的细节，从而提供100%的网络可见性.

网络流量分析的重要性

密切关注您的网络边界始终是一种好做法. 即使有强大的防火墙，错误也可能发生，恶意流量也可能通过. 用户还可以利用隧道等方法, external anonymizers, 和vpn绕过防火墙规则.

此外，勒索软件的兴起 a common attack type 近年来使得网络流量监控变得更加关键. 网络监控解决方案应该能够检测到指示的活动 ransomware attacks via insecure protocols. Take WannaCry, for example, 攻击者主动扫描TCP端口445打开的网络, 然后利用SMBv1中的漏洞访问网络文件共享.

远程桌面协议(RDP)是另一个常见的目标应用程序. 确保在防火墙上阻止任何入站连接尝试. 监视防火墙内部的流量允许您验证规则, gain valuable insight, 也可以用作基于网络流量的警报来源.

注意与管理协议(如Telnet)相关的任何可疑活动. 因为Telnet是一个未加密的协议, 会话流量将显示适合设备品牌和型号的命令行接口(CLI)命令序列. CLI字符串可以显示登录过程, presentation of user credentials, 显示启动或运行配置的命令, copying files, and more.

请确保检查网络数据中是否有运行未加密管理协议的设备, such as:

• Telnet
• 超文本传输协议(HTTP，端口80)
• 简单网络管理协议(SNMP，端口161/162)
• Cisco Smart Install (SMI port 4786)

监控网络流量的目的是什么?

通过在网络边缘和网络核心实现网络流量分析，可以调查许多操作和安全问题. With the traffic analysis tool, 你可以发现大下载量之类的东西, 流或可疑的入站或出站流量. 确保从监视防火墙的内部接口开始, 这将允许您跟踪活动回到特定的客户或用户.

NTA还为组织提供了对其网络威胁的更多可见性, beyond the endpoint. 随着移动设备、物联网设备、智能电视等的兴起.，您需要比防火墙日志更智能的东西. 当网络受到攻击时，防火墙日志也会出现问题.

您可能会发现，由于防火墙上的资源负载或它们已被覆盖(有时甚至被黑客修改)，它们无法访问。, 导致重要的法医信息丢失.

分析和监控网络流量的一些用例包括:

• Detection of ransomware activity
• 监控数据泄露/互联网活动
• 监视对文件服务器或MSSQL数据库上文件的访问
• 通过用户取证报告跟踪用户在网络上的活动
• 提供在网络上运行的设备、服务器和服务的清单
• 突出和识别网络带宽峰值的根本原因
• 提供关注网络和用户活动的实时仪表板
• 为管理层和审核员生成任何时间段的网络活动报告

What to Look for in an NTA Solution

并非所有用于监视网络流量的工具都是相同的. Generally, 它们可以分为两种类型:基于流量的工具和深度数据包检测(DPI)工具. 在这些工具中，您可以选择软件代理, storing historical data, and intrusion detection systems. 在评估哪个解决方案适合您的组织时，请考虑以下五件事:

1. 流启用设备的可用性: 您的网络中是否有支持流的设备，能够生成只接受Cisco Netflow等流的NTA工具所需的流? DPI tools accept raw traffic, 通过任何管理交换机在每个网络上找到, and are vendor independent. 网络交换机和路由器不需要任何特殊模块或支持, 只是来自任何管理交换机的SPAN或端口镜像的流量.
2. The data source: 流数据和包数据来自不同的来源，并不是所有的NTA工具都收集这两种数据. 一定要查看您的网络流量，并确定哪些部分是关键的, 然后将功能与工具进行比较，以确保涵盖了您需要的所有内容.
3. The points on the network: 考虑该工具是使用基于代理的软件还是不使用代理的软件. 另外，要注意不要在一开始就监控太多的数据源. Instead, 策略性地选择数据汇聚的位置, 例如internet网关或与关键服务器关联的vlan.
4. Real-time data vs. historical data: 历史数据对于分析过去的事件至关重要, 但随着时间的推移，一些监控网络流量的工具不会保留这些数据. 还要检查该工具是否根据您想要存储的数据量定价. 清楚地了解您最关心的数据，以便找到最适合您的需求和预算的选项.
5. 完整的数据包捕获，成本和复杂性: 一些DPI工具捕获并保留所有数据包, resulting in expensive appliances, increased storage costs, 需要很多培训和专业知识来操作. Others do more of the 'heavy lifting,捕获完整的数据包，但只提取每个协议的关键细节和元数据. 这种元数据提取导致大量数据减少，但仍然具有可读性, 可操作的细节是网络和安全团队的理想选择.

Conclusion

网络流量分析是监控网络可用性和活动以识别异常的重要方法, maximize performance, and keep an eye out for attacks. Alongside log aggregation, UEBA, and endpoint data, 网络流量是全面可见性和安全性分析的核心部分，可以及早发现威胁并快速消除威胁.

When choosing a NTA solution, 考虑一下当前网络上的盲点, 需要信息的数据源, 以及它们在网络上的关键点，以便进行有效的监控. With NTA added as a layer to your 安全信息和事件管理(SIEM) solution，您将获得对环境和用户的更多了解.

Keep Learning About NTA

Learn About Rapid7's XDR & SIEM Product

来自Rapid7博客的网络流量分析新闻

最新剧集从[丢失的机器人]安全播客