信息來(lái)源：比特網(wǎng)

       在好萊塢大片中，黑客就像是使用計(jì)算機(jī)的黑魔導(dǎo)士，可以通過(guò)利用計(jì)算機(jī)炸毀房屋，關(guān)閉公路，釋放瘟疫引發(fā)混亂。也許很多人并不相信，但事實(shí)上，電影中的這些橋段總是不斷上演!某國(guó)山寨 Facebook 網(wǎng)站剛上線便被一名 18 歲的蘇格蘭大學(xué)生黑掉，F(xiàn)acebook CEO 小扎自己的 Twitter 和 Pinterest 帳戶雙雙被盜……在現(xiàn)實(shí)中，黑客行動(dòng)的刺激程度絕對(duì)不亞于電影。

       尤其是在數(shù)字經(jīng)濟(jì)的浪潮下，黑客的任何行動(dòng)造成任何信息的失竊，都等同于企業(yè)資產(chǎn)的流失。數(shù)據(jù)安全成為一個(gè)極為重要的挑戰(zhàn)!

不信？!舉個(gè)小栗子~

       在現(xiàn)實(shí)中，黑客是在不斷成長(zhǎng)的!現(xiàn)在，黑進(jìn)企業(yè)的網(wǎng)絡(luò)只是黑客的第一步，做法之一就是，他們會(huì)把網(wǎng)絡(luò)內(nèi)的一個(gè)主機(jī)當(dāng)做跳板，從用戶的數(shù)據(jù)庫(kù)中拖取數(shù)據(jù)。這個(gè)數(shù)據(jù)讀取過(guò)程通常會(huì)傳輸大量數(shù)據(jù)，時(shí)間長(zhǎng)短不一。而這個(gè)漫長(zhǎng)而且危險(xiǎn)的過(guò)程，網(wǎng)絡(luò)邊界的防火墻卻是看不到的。

好怕怕，那該怎么辦？

思科的 NaaS 方案實(shí)現(xiàn)安全“面布防”

       思科 NaaS 方案通過(guò)網(wǎng)絡(luò)來(lái)收集網(wǎng)絡(luò)傳送的所有信息，然后利用 Netflow 協(xié)議發(fā)送至數(shù)據(jù)采集設(shè)備，這樣所有利用網(wǎng)絡(luò)的傳輸將一覽無(wú)余。接下來(lái)，數(shù)據(jù)分析設(shè)備對(duì)采集的數(shù)據(jù)進(jìn)行大數(shù)據(jù)分析，從數(shù)據(jù)中發(fā)現(xiàn)安全隱患。例如，發(fā)現(xiàn)異常流量主機(jī)，發(fā)現(xiàn)違規(guī)訪問(wèn)，發(fā)現(xiàn)蠕蟲病毒傳播，發(fā)現(xiàn)數(shù)據(jù)竊取行為。利用此方案可以對(duì)網(wǎng)絡(luò)的流量及所有的訪問(wèn)行為一覽無(wú)余，真正做到無(wú)死角網(wǎng)絡(luò)監(jiān)控，安全“面布防”。

       思科正是利用路由交換設(shè)備部署位置的特點(diǎn)，結(jié)合了思科路由交換設(shè)備的功能，推出了 “Network as a sensor” 方案，完美的解決了這個(gè)問(wèn)題。

思科NaaS實(shí)現(xiàn)主機(jī)異常行為檢測(cè)

       千萬(wàn)不要小看一個(gè) ACK 數(shù)據(jù)包!千萬(wàn)不要小看一個(gè) ACK 數(shù)據(jù)包!千萬(wàn)不要小看一個(gè) ACK 數(shù)據(jù)包!一旦重復(fù)大量發(fā)送，這種數(shù)據(jù)流就會(huì)對(duì)網(wǎng)絡(luò)設(shè)備造成影響，特別是網(wǎng)絡(luò)中的 4-7 層設(shè)備對(duì)此類異常流量抵抗能力弱，輕的造成設(shè)備高 CPU 利用率，網(wǎng)絡(luò)處理速度變慢時(shí)延變大。嚴(yán)重時(shí)候直接會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓，從而網(wǎng)絡(luò)癱瘓。

       所以，每個(gè)數(shù)據(jù)包的正常并不代表主機(jī)就正常!

       思科 NaaS 方案中，數(shù)據(jù)采集分析設(shè)備 Stealthwatch Management Console 在收集到 Netflow 信息后，會(huì)對(duì)信息進(jìn)行存儲(chǔ)，然后進(jìn)行大數(shù)據(jù)分析。針對(duì)網(wǎng)絡(luò)中出現(xiàn)流量的主機(jī)進(jìn)行流量行為建模，每個(gè)主機(jī)的流量統(tǒng)計(jì)特征都不一樣。

       思科 NaaS 方案中，數(shù)據(jù)分析設(shè)備 Stealthwatch 對(duì)自身收集的網(wǎng)絡(luò)訪問(wèn)大數(shù)據(jù)進(jìn)行整理建模后，進(jìn)一步在數(shù)據(jù)中進(jìn)行大數(shù)據(jù)分析來(lái)發(fā)現(xiàn)各類違規(guī)。Stealthwatch 設(shè)計(jì)了大量的異常行為事件模板，從數(shù)據(jù)中提取安全事件。這些安全事件包括地址掃描、暴力破解、各類泛洪攻擊、以及平時(shí)非常難檢測(cè)的隱藏超長(zhǎng)連接等等。內(nèi)置超過(guò) 100 個(gè)安全異常行為，同時(shí)用戶還可以定制自己的異常行為模板，讓 NaaS 幫用戶進(jìn)行數(shù)據(jù)分析并告警。利用這些異常行為分析，能夠幫用戶發(fā)現(xiàn)網(wǎng)絡(luò)滲漏、數(shù)據(jù)竊取以及 DDOS 等惡意行為。

       在產(chǎn)生事件告警后，管理人員還可以通過(guò) Stealthwatch 進(jìn)行相應(yīng)設(shè)定，通過(guò)調(diào)用第三方設(shè)備對(duì)安全事件進(jìn)行自動(dòng)響應(yīng)。例如：調(diào)用思科的路由器下發(fā) null0 路由，將產(chǎn)生異常的主機(jī)對(duì)網(wǎng)路的攻擊進(jìn)行阻斷?；蛘哒{(diào)用 ISE，將網(wǎng)絡(luò)中接入的異常主機(jī)物理端口進(jìn)行關(guān)閉。

       通過(guò) Network as a Sensor 方案，思科真正將網(wǎng)絡(luò)作為防御威脅的有力工具，通過(guò)網(wǎng)絡(luò)的覆蓋，做到真正的 “安全無(wú)死角”。

最后，參與微話題討論，不僅可以得到思科安全專家徐洪濤的在線答疑，更能獲得以下大禮包：

· 《應(yīng)對(duì)高級(jí)網(wǎng)絡(luò)威脅》;

· 《思科安全智能研究與分析團(tuán)隊(duì)Talos》;

· 《適用于網(wǎng)絡(luò)的思科高級(jí)惡 意軟件防護(hù)》;

· 《CiscoCybe Range 安全服務(wù)》。

參與方式

       關(guān)注思科中國(guó)官方微信公眾號(hào) “思科聯(lián)天下”，回復(fù) “S002”，即可參與實(shí)時(shí)互動(dòng)~