网络是 IT 基础设施的核心,其性能决定了用户体验。确保性能的关键是发现破坏其运行的安全问题。本博客讨论了两种相互关联的方法:网络行为分析 (NBA) 和异常检测。事实上,NBA 包含在良好的异常检测系统 (ADS) 中。
什么是网络行为分析?
Techopedia解释道:“网络行为分析 (NBA) 是一种网络监控程序,可确保专有网络的安全。NBA 通过监控流量和观察网络操作的异常活动和偏离来帮助提高网络安全性。” “网络行为分析通过从许多数据点和设备收集数据来提供详细的离线分析,从而监控活动网络的内部情况。它不断监视网络,标记已知和未知的活动、新的和不寻常的模式,并通过标记指示潜在威胁。该程序还会检查并记录通信过程中使用的带宽和协议的变化。这特别适用于查找潜在危险的数据源或网站。网络行为分析程序的职责是减少网络管理员在检测和解决网络问题上花费的人力和时间。因此,它与防火墙、防病毒软件和间谍软件检测工具一起增强了对网络的保护。”
NBA 对于网络根源分析至关重要,而网络根源分析对于快速恢复网络性能至关重要。“网络行为分析 (NBA) 可帮助您检测安全问题和问题或您自己的网络内部发生的潜在不安全活动的根源。NBA 提供帮助的方式之一是减少您对检测到的异常和潜在安全事件的平均响应时间。通过减少响应时间(或排除根本原因),您可以确保将事件的影响降至最低,以适当(监管定义)方式响应的机会增加,并且您需要分配(或花费)用于缓解的资源量最少,”Flowmon 网络行为分析商业优势 博客解释道。“最终,如果没有某种形式的自动化和主动式 24/7 分析和警报系统,您根本无法维护和确保您的组织“最低业务运营要求”。您必须问自己,如果您一开始就不知道网络内部发生了什么,您如何真正确保关键业务系统的可用性和效率?如果您没有网络内部的眼睛,这是不可能的。”
阻断外部威胁从防火墙开始
IT 部门明白,网络防御涉及多种工具,首先是防火墙,然后是其他形式的边界安全,例如入侵检测系统 (IDS) 和入侵防御系统 (IPS)。专家认为,这些边界解决方案约占 IT 安全预算的 90%。黑客知道如今的边界往往很严密,所以他们找到了其他途径。如今,四分之三的攻击不是针对边界的,而是越来越多地针对连接到核心网络以访问数据和应用程序的远程端点。这使得网络保护和攻击检测成为一项更为复杂的工作。
就像防火墙一样,防病毒/反恶意软件才刚刚开始
网络安全的关键在于纵深防御。我们刚刚谈到了防火墙的重要性,但还有另一个网络安全基础——防病毒/反恶意软件。如果没有这两种保护措施,您的端点和网络就不安全。就防病毒而言,保护措施基于定义已知攻击并识别和阻止这些攻击的签名。问题是零日攻击太新了,没有签名,这些攻击可以直接绕过您的 AV 保护。另一个问题是,防病毒保护端点,但它本身并不安全。
听取 Gartner 的建议
Gartner 认为 NBA 显然是下一个安全措施。“在成功部署防火墙和入侵防御系统并采用适当的调整、分析和补救流程后,您应该考虑使用 NBA 来识别使用其他技术无法检测到的网络事件和行为,”Gartner 副总裁 Paul Proctor 表示。
Flowmon ADS 背后的人员对此表示同意。“Gartner 等权威机构建议应对这一挑战的答案是主动检测和缓解网络异常和不良行为,这是由网络行为异常检测提供的。NBAD 解决方案会持续观察网络流量,分析通信以寻找异常并发现可疑行为。这使我们能够应对其他技术无法检测到的未知安全威胁,”我们的 网络行为分析和异常检测 页面指出。
NBA 加强防守
正如 Gartner 所指出的,网络行为分析 (NBA) 是纵深防御武器库中不可或缺的 我们的海外数据范围的手工验证的海外数据将使您的广告系列对合适的受众充满信心。最重要的是,我们通过一个狂热的人竭尽所能,将您的业务推动到完美的情况下,而铅是金定位的领导者,从而 所罗门群岛电子邮件数据库 使所有人受益。您的启动速度更快。我们提供没有合理薪酬GDRP尊重Basphe的手机库,但您可以以良好,更好,最糟糕的方式开展业务。总的来说,我们最初的数字列表的更好列表 – 并从一些所需的网站托管,或者有时并不允许在您当前的库中保存。 一部分,它通过驻留在网络内来弥补端点和边界保护之间的差距。NBA 不依赖签名来检测攻击,而是分析网络行为来发现异常并预示着攻击的事物。不仅如此,NBA 还能发现异常行为发生的地点以及涉及哪些系统。
有了 NBA,IT 部门就能收到黑客入侵的警报并迅速做出反应。这得益于对整个网络的深入监控和分析。“入侵内部系统的未知恶意软件、毁灭性的 DDoS 攻击、APT 和绕过传统安全措施的威胁的兴起改变了 IT 安全格局。构建外围墙和依赖基于签名的解决方案已经不够了。只有详细了解网络行为并主动打击网络威胁,才能将 IT 环境的控制权交还给管理员,”Flowmon 的 网络行为分析和异常检测 页面指出。
如今,IT 部门通常依赖传统的 IT 安全系统,主要是边界安全和端点保护。“然而,他们忽视了位于这两 被称为“Covid-19 不利影响和工程行业” 个领域之间的重要基础设施。在威胁比以往任何时候都有更多的机会绕过传统解决方案并潜入其中的世界中,70% 的攻击来自内部网络,这种方法已经不够了。如何保护您的系统和数据免受不断变化的绕过传统解决方案的威胁?” 网络行为分析和异常检测页面指出。
部署 NBA/ADS
网络行为分析可通过 Flowmon ADS 提供,部署简单。从来自路由器、交换机和其他网络设备的网络遥测数据 (IPFIX/NetFlow) 中可以了解到很多信息。
这个想法是首先收集并分析这些网络遥测数据。为了利用这些数据,IT 定义了网络规模 电话号码 和 DNS 或 DHCP 等服务的 IP 地址。掌握了所有这些后,网络行为分析系统会自动创建基线并开始监控和检测异常。
通过机器学习,人工智能可以发挥一些魔力,NBA/ADS 可以学习每个用户和所有网络服务的流量特征,并分析正常行为和异常行为之间的差异。基线具有自适应性,可以根据行为进行更改。
详细了解 Flowmon 如何提供帮助
Flowmon ADS 和网络行为分析可帮助 IT 确定网络上的异常活动,报告这些异常并检测标准方法无法发现的入侵和攻击,以便 IT 能够快速响应并最大限度地减少财务影响。
“Flowmon 为企业提供基于 NBAD 技术的先进安全情报。其 Flowmon 异常检测系统 (ADS) 是一款功能强大的工具,受到全球 CISO 和安全工程师的信赖,帮助他们掌控现代网络威胁。该解决方案利用复杂的算法和机器学习来自动识别绕过防火墙、IDS/IPS 或防病毒等传统解决方案的网络异常和风险,”网络行为分析和异常检测解释道。
Flowmon ADS 还包括信誉数据库,
有助于发现与已知攻击者、命令控制域、僵尸网络、对等网络、垃圾邮件发送者等的通信。
在网络行为分析和异常检测页面上了解有关异常检测的更多信息。
