日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
安全響應(yīng)團(tuán)隊(duì)的好幫手:網(wǎng)絡(luò)取證工具

隨著惡意軟件變得越來越狡猾,甚至能夠躲避基于特征的反病毒軟件和入侵防護(hù)系統(tǒng)的檢查,一些企業(yè)開始利用網(wǎng)絡(luò)捕獲和分析工具檢測異常網(wǎng)絡(luò)行為,并在發(fā)生安全威脅時(shí)做出響應(yīng)。網(wǎng)絡(luò)監(jiān)控和安全威脅分析解決方案供應(yīng)商N(yùn)etWitness就是一家提供此類產(chǎn)品的公司,正與網(wǎng)絡(luò)監(jiān)控設(shè)備提供商Solera Networks、網(wǎng)絡(luò)安全軟件廠商Check Point Software Technologies和高速數(shù)據(jù)包捕獲解決方案供應(yīng)商Endace在網(wǎng)絡(luò)取證市場展開角逐。NetWitness的產(chǎn)品可以捕獲和存儲(chǔ)網(wǎng)絡(luò)數(shù)據(jù)包,并對其進(jìn)行實(shí)時(shí)分析和檢測。最近,NetWitness的首席安全官Eddie Schwartz接受了我們的采訪。Schwartz認(rèn)為,由于政府機(jī)構(gòu)、大型金融企業(yè)和電信公司的安全團(tuán)隊(duì)開始越來越多地使用網(wǎng)絡(luò)分析工具,以防范能夠突破傳統(tǒng)安全系統(tǒng)的威脅,網(wǎng)絡(luò)取證這一行業(yè)發(fā)展勢頭良好。Schwartz指出,基于特征的安全系統(tǒng)固然重要,但網(wǎng)絡(luò)收集和取證工具可以幫助大型企業(yè)應(yīng)對未知攻擊方法的威脅。以下為采訪實(shí)錄:

創(chuàng)新互聯(lián)是一家專注于做網(wǎng)站、成都做網(wǎng)站與策劃設(shè)計(jì),石龍網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)做網(wǎng)站,專注于網(wǎng)站建設(shè)10余年,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:石龍等地區(qū)。石龍做網(wǎng)站價(jià)格咨詢:028-86922220

請簡要介紹一下NetWitness公司的產(chǎn)品,貴公司的產(chǎn)品真的只是將取證工具部署在入侵防御系統(tǒng)周圍嗎?

Eddie Schwartz:權(quán)威市場研究機(jī)構(gòu)Gartner將網(wǎng)絡(luò)數(shù)據(jù)包捕獲和分析稱為網(wǎng)絡(luò)取證。關(guān)于網(wǎng)絡(luò)取證有很多問題值得討論,但大多數(shù)問題確實(shí)和高級威脅情報(bào)有關(guān)。對于那些真正在考慮如何應(yīng)對這些高級威脅的企業(yè)確來說,這些攻擊屬于復(fù)雜的威脅,可以躲過反病毒軟件和入侵檢測系統(tǒng)的檢查。有一種應(yīng)對這些威脅的解決方案是基于全面的數(shù)據(jù)包捕獲和實(shí)時(shí)的態(tài)勢感知,我們的產(chǎn)品正是屬于這一類解決方案。盡管許多產(chǎn)品都屬于這類解決方案,但其中只有少數(shù)產(chǎn)品能夠處理實(shí)時(shí)事件響應(yīng)或?qū)崟r(shí)入侵檢測和管理,而我們的產(chǎn)品就具有實(shí)時(shí)事件響應(yīng)能力。

您剛才提到了響應(yīng),貴公司的產(chǎn)品在安全威脅發(fā)生時(shí)究竟是響應(yīng)還是報(bào)警?一旦談到響應(yīng),貴公司的產(chǎn)品不就變成了入侵防御系統(tǒng)嗎?

Schwartz:我不太贊成使用“防御(Prevention)”一詞,因?yàn)檫@個(gè)詞現(xiàn)在的意義過于復(fù)雜。我認(rèn)為,有些簡單的措施確實(shí)可以歸類于防御,能夠阻止某些攻擊或采取某種行動(dòng)。特征或定義文件就屬于這類防御性措施,它們描述了某人已受到的攻擊或者事先已對其有一定了解的攻擊。問題是,在許多情況下,如果你遇到一些此類惡意軟件的實(shí)例,你將會(huì)發(fā)現(xiàn),35家防御性平臺供應(yīng)商中沒有一家會(huì)真正承認(rèn)這些惡意軟件,而你也只有8個(gè)小時(shí)的時(shí)間來處理這些惡意軟件造成的后果并做出響應(yīng)。防御并不是最好的辦法。當(dāng)對某些惡意軟件有了一定的認(rèn)識和了解時(shí),你可以將其實(shí)例輸入到一些防御性的平臺。因此,當(dāng)我們談到響應(yīng)時(shí),更多的是指主動(dòng)檢測然后采取必要的響應(yīng)動(dòng)作。有些情況下,響應(yīng)可能是下列動(dòng)作的組合:修改防火墻規(guī)則、書寫Snort特征、只是更加密切地監(jiān)視某些軟件,或者將一些額外的威脅源輸入到你的防御性平臺,以查看此前沒有考慮到的一些新的潛在威脅方法。

您前面提到了全面的數(shù)據(jù)包捕獲,那么有沒有功能足夠強(qiáng)大的產(chǎn)品,可以收集所有數(shù)據(jù)包不丟棄任何數(shù)據(jù)包?

Schwartz:有許多方法可以實(shí)現(xiàn)全面的數(shù)據(jù)包捕獲。例如,我們有一個(gè)客戶,可以說是全球最大的私有IP網(wǎng)絡(luò)運(yùn)營商之一,其總數(shù)據(jù)吞吐量為60GB/s,內(nèi)部需要實(shí)時(shí)存儲(chǔ)到實(shí)時(shí)態(tài)勢感知網(wǎng)格中的數(shù)據(jù)高達(dá)1.5 PB/s(1PB=1024TB)。我們的產(chǎn)品完全可用于這種超大型應(yīng)用環(huán)境,關(guān)鍵問題就是將其擴(kuò)展到這種應(yīng)用環(huán)境。要實(shí)現(xiàn)全面的數(shù)據(jù)包捕獲,既可以利用基于商品型設(shè)備的存儲(chǔ)方法,也可以利用傳統(tǒng)的存儲(chǔ)方法,例如存儲(chǔ)區(qū)域網(wǎng)絡(luò)或其他方法。使用哪種存儲(chǔ)方法僅僅取決于你在數(shù)據(jù)保留和用例方面的目的。有些企業(yè)的用例只限于對安全問題的事件響應(yīng),因此其存儲(chǔ)數(shù)據(jù)的使用壽命將短于那些用例更多的是為了典型取證或調(diào)查的企業(yè),他們可以回溯并查看更長周期的網(wǎng)絡(luò)流量歷史,這些周期可能是60天、90天甚至在某些情況下更長。

有一個(gè)術(shù)語叫“高級持續(xù)性威脅(Advanced Persistent Threat,APT)”,我曾就該術(shù)語請教過一位專家,他認(rèn)為安全產(chǎn)品供應(yīng)商的營銷部門正在淡化APT的使用。您如何定義APT?

Schwartz:我認(rèn)為,判斷一種攻擊是不是屬于APT,可以按照以下三個(gè)標(biāo)準(zhǔn):第一,必須有證據(jù)表明攻擊者是特定的,而且攻擊者有一定的組織性、動(dòng)機(jī)和與此相關(guān)的資金支持。第二,攻擊的目標(biāo)有針對性。第三,攻擊者能夠采取各種不同類型的攻擊手段,從社會(huì)工程、惡意軟件開發(fā)到基于網(wǎng)絡(luò)的攻擊等等。例如,我們已經(jīng)看到,一些政府客戶遭受了一系列的魚叉式網(wǎng)絡(luò)釣魚攻擊(Spear Phishing Attack)。這些魚叉式網(wǎng)絡(luò)釣魚攻擊的范圍從非常明確的社會(huì)工程攻擊到安裝惡意軟件,而這些惡意軟件是攻擊者自己開發(fā)的,此前從未在其他地方出現(xiàn)過。很顯然,惡意軟件具有關(guān)于企業(yè)特定資產(chǎn)的先驗(yàn)信息——一些網(wǎng)絡(luò)映射工作在此之前已經(jīng)完成。這些魚叉式網(wǎng)絡(luò)釣魚攻擊就符合我對APT的定義。

有沒有辦法將這種基于網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包收集和分析方法簡化為一種面向中小型企業(yè)的輕量級版本?

Schwartz:這項(xiàng)工作已經(jīng)被納入我們的計(jì)劃之中。目前,我們的客戶主要是大型和超大型的政府機(jī)構(gòu)和商業(yè)企業(yè)。我們已經(jīng)在計(jì)劃開發(fā)針對特定類型用例的產(chǎn)品,也就是你所說的交付即用型解決方案。但是,我認(rèn)為應(yīng)對高級威脅沒有捷徑可走?,F(xiàn)在,安全機(jī)構(gòu)(如SANS)應(yīng)該提醒用戶,不要再考慮如何通過反病毒軟件解決特定的威脅,而應(yīng)該開始考慮如何獲得對其網(wǎng)絡(luò)的可見性。一個(gè)新興的威脅情報(bào)市場將會(huì)出現(xiàn)并不斷發(fā)展,人們可以在這里提供自動(dòng)化的威脅情報(bào),這些威脅情報(bào)的復(fù)雜性將前所未有。


本文名稱:安全響應(yīng)團(tuán)隊(duì)的好幫手:網(wǎng)絡(luò)取證工具
文章出自:http://www.dlmjj.cn/article/cdiphsg.html