信息來源:比特網(wǎng)
在好萊塢大片中,黑客就像是使用計(jì)算機(jī)的黑魔導(dǎo)士,可以通過利用計(jì)算機(jī)炸毀房屋,關(guān)閉公路,釋放瘟疫引發(fā)混亂。也許很多人并不相信,但事實(shí)上,電影中的這些橋段總是不斷上演!某國山寨 Facebook 網(wǎng)站剛上線便被一名 18 歲的蘇格蘭大學(xué)生黑掉,F(xiàn)acebook CEO 小扎自己的 Twitter 和 Pinterest 帳戶雙雙被盜……在現(xiàn)實(shí)中,黑客行動(dòng)的刺激程度絕對(duì)不亞于電影。
尤其是在數(shù)字經(jīng)濟(jì)的浪潮下,黑客的任何行動(dòng)造成任何信息的失竊,都等同于企業(yè)資產(chǎn)的流失。數(shù)據(jù)安全成為一個(gè)極為重要的挑戰(zhàn)!
不信?!舉個(gè)小栗子~
在現(xiàn)實(shí)中,黑客是在不斷成長的!現(xiàn)在,黑進(jìn)企業(yè)的網(wǎng)絡(luò)只是黑客的第一步,做法之一就是,他們會(huì)把網(wǎng)絡(luò)內(nèi)的一個(gè)主機(jī)當(dāng)做跳板,從用戶的數(shù)據(jù)庫中拖取數(shù)據(jù)。這個(gè)數(shù)據(jù)讀取過程通常會(huì)傳輸大量數(shù)據(jù),時(shí)間長短不一。而這個(gè)漫長而且危險(xiǎn)的過程,網(wǎng)絡(luò)邊界的防火墻卻是看不到的。
好怕怕,那該怎么辦?
思科的 NaaS 方案實(shí)現(xiàn)安全“面布防”
思科 NaaS 方案通過網(wǎng)絡(luò)來收集網(wǎng)絡(luò)傳送的所有信息,然后利用 Netflow 協(xié)議發(fā)送至數(shù)據(jù)采集設(shè)備,這樣所有利用網(wǎng)絡(luò)的傳輸將一覽無余。接下來,數(shù)據(jù)分析設(shè)備對(duì)采集的數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析,從數(shù)據(jù)中發(fā)現(xiàn)安全隱患。例如,發(fā)現(xiàn)異常流量主機(jī),發(fā)現(xiàn)違規(guī)訪問,發(fā)現(xiàn)蠕蟲病毒傳播,發(fā)現(xiàn)數(shù)據(jù)竊取行為。利用此方案可以對(duì)網(wǎng)絡(luò)的流量及所有的訪問行為一覽無余,真正做到無死角網(wǎng)絡(luò)監(jiān)控,安全“面布防”。
思科正是利用路由交換設(shè)備部署位置的特點(diǎn),結(jié)合了思科路由交換設(shè)備的功能,推出了 “Network as a sensor” 方案,完美的解決了這個(gè)問題。
思科NaaS實(shí)現(xiàn)主機(jī)異常行為檢測(cè)
千萬不要小看一個(gè) ACK 數(shù)據(jù)包!千萬不要小看一個(gè) ACK 數(shù)據(jù)包!千萬不要小看一個(gè) ACK 數(shù)據(jù)包!一旦重復(fù)大量發(fā)送,這種數(shù)據(jù)流就會(huì)對(duì)網(wǎng)絡(luò)設(shè)備造成影響,特別是網(wǎng)絡(luò)中的 4-7 層設(shè)備對(duì)此類異常流量抵抗能力弱,輕的造成設(shè)備高 CPU 利用率,網(wǎng)絡(luò)處理速度變慢時(shí)延變大。嚴(yán)重時(shí)候直接會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓,從而網(wǎng)絡(luò)癱瘓。
所以,每個(gè)數(shù)據(jù)包的正常并不代表主機(jī)就正常!
思科 NaaS 方案中,數(shù)據(jù)采集分析設(shè)備 Stealthwatch Management Console 在收集到 Netflow 信息后,會(huì)對(duì)信息進(jìn)行存儲(chǔ),然后進(jìn)行大數(shù)據(jù)分析。針對(duì)網(wǎng)絡(luò)中出現(xiàn)流量的主機(jī)進(jìn)行流量行為建模,每個(gè)主機(jī)的流量統(tǒng)計(jì)特征都不一樣。
思科 NaaS 方案中,數(shù)據(jù)分析設(shè)備 Stealthwatch 對(duì)自身收集的網(wǎng)絡(luò)訪問大數(shù)據(jù)進(jìn)行整理建模后,進(jìn)一步在數(shù)據(jù)中進(jìn)行大數(shù)據(jù)分析來發(fā)現(xiàn)各類違規(guī)。Stealthwatch 設(shè)計(jì)了大量的異常行為事件模板,從數(shù)據(jù)中提取安全事件。這些安全事件包括地址掃描、暴力破解、各類泛洪攻擊、以及平時(shí)非常難檢測(cè)的隱藏超長連接等等。內(nèi)置超過 100 個(gè)安全異常行為,同時(shí)用戶還可以定制自己的異常行為模板,讓 NaaS 幫用戶進(jìn)行數(shù)據(jù)分析并告警。利用這些異常行為分析,能夠幫用戶發(fā)現(xiàn)網(wǎng)絡(luò)滲漏、數(shù)據(jù)竊取以及 DDOS 等惡意行為。
在產(chǎn)生事件告警后,管理人員還可以通過 Stealthwatch 進(jìn)行相應(yīng)設(shè)定,通過調(diào)用第三方設(shè)備對(duì)安全事件進(jìn)行自動(dòng)響應(yīng)。例如:調(diào)用思科的路由器下發(fā) null0 路由,將產(chǎn)生異常的主機(jī)對(duì)網(wǎng)路的攻擊進(jìn)行阻斷?;蛘哒{(diào)用 ISE,將網(wǎng)絡(luò)中接入的異常主機(jī)物理端口進(jìn)行關(guān)閉。
通過 Network as a Sensor 方案,思科真正將網(wǎng)絡(luò)作為防御威脅的有力工具,通過網(wǎng)絡(luò)的覆蓋,做到真正的 “安全無死角”。
最后,參與微話題討論,不僅可以得到思科安全專家徐洪濤的在線答疑,更能獲得以下大禮包:
· 《應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅》;
· 《思科安全智能研究與分析團(tuán)隊(duì)Talos》;
· 《適用于網(wǎng)絡(luò)的思科高級(jí)惡 意軟件防護(hù)》;
· 《CiscoCybe Range 安全服務(wù)》。
參與方式
關(guān)注思科中國官方微信公眾號(hào) “思科聯(lián)天下”,回復(fù) “S002”,即可參與實(shí)時(shí)互動(dòng)~