网络流量分析

Key Benefits of 网络流量分析

加上“it 's not if”, it’s when” mindset regarding cyber attacks today, 对于安全专业人员来说，确保尽可能多地覆盖组织的环境可能会让他们感到难以承受.

The network is a critical element of their 攻击表面; gaining visibility into their network data provides one more area they can detect attacks 和 stop them early.

NTA的好处包括:

• Improved visibility into devices connecting to your network (e.g. 物联网设备、医疗保健访问者)
• 满足法规遵从性要求
• Troubleshoot operational 和 security issues
• 通过丰富的细节和额外的网络背景，更快地响应调查

设置NTA的关键步骤是确保从正确的来源收集数据. 如果您正在寻找流量并映射网络数据包从起点到目的地的旅程，流量数据是非常有用的. 这种级别的信息可以帮助检测未经授权的WAN通信，并利用网络资源和性能, but it can lack rich detail 和 context to dig into cybersecurity issues.

从网络数据包中提取的数据包数据可以帮助网络管理员了解用户是如何实现/操作应用程序的, 跟踪广域网链路上的使用情况, 和 monitor for suspicious 恶意软件 or other security incidents. 深度数据包检测(DPI)工具通过将原始元数据转换为可读格式，并使网络和安全管理人员能够深入到最细微的细节，从而提供100%的网络可见性.

Importance of 网络流量分析

Keeping a close eye on your network perimeter is always good practice. 即使有强大的防火墙，错误也可能发生，恶意流量也可能通过. Users could also leverage methods such as tunneling, 外部网管, 和 VPNs to get around firewall rules.

Additionally, the rise of ransomware as 常见的攻击类型 in recent years makes network traffic monitoring even more critical. 网络监控解决方案应该能够检测到指示的活动 ransomware攻击 通过不安全的协议. 采取WannaCry, 例如, where attackers actively scanned for networks with TCP port 445 open, 和 then used a vulnerability in SMBv1 to access network file shares.

Remote Desktop Protocol (RDP) is another commonly targeted application. Make sure you block any inbound connection attempts on your firewall. Monitoring traffic inside your firewalls allows you to validate rules, 获得有价值的见解, 和 can also be used as a source of network traffic-based alerts.

注意与管理协议(如远程登录)相关的任何可疑活动. Because 远程登录 is an unencrypted protocol, 会话流量将显示适合设备品牌和型号的命令行接口(CLI)命令序列. CLI strings may reveal login procedures, 用户凭证的表示, comm和s to display boot or running configuration, 复制文件, 和更多的.

请确保检查网络数据中是否有运行未加密管理协议的设备, 如:

• 远程登录
• Hypertext Transport Protocol (HTTP, port 80)
• Simple Network Management Protocol (SNMP, ports 161/162)
• 思科智能安装(SMI端口4786)

What is the Purpose of Monitoring Network Traffic?

通过在网络边缘和网络核心实现网络流量分析，可以调查许多操作和安全问题. 使用流量分析工具, you can spot things like large downloads, streaming or suspicious inbound or outbound traffic. 确保从监视防火墙的内部接口开始, 这将允许您跟踪活动回到特定的客户或用户.

NTA还为组织提供了对其网络威胁的更多可见性, 在端点之外. 与 the rise in mobile devices, IoT devices, smart TV’s, etc.，您需要比防火墙日志更智能的东西. Firewall logs are also problematic when a network is under attack.

您可能会发现，由于防火墙上的资源负载或它们已被覆盖(有时甚至被黑客修改)，它们无法访问。, resulting in the loss of vital forensic information.

分析和监控网络流量的一些用例包括:

• 检测勒索软件活动
• Monitoring data exfiltration/internet activity
• Monitor access to files on file servers or MSSQL databases
• Track a user’s activity on the network, though User Forensics reporting
• 提供在网络上运行的设备、服务器和服务的清单
• Highlight 和 identity root cause of b和width peaks on the network
• Provide real-time dashboards focusing on network 和 user activity
• 为管理层和审核员生成任何时间段的网络活动报告

在NTA解决方案中寻找什么

Not all tools for monitoring network traffic are the same. 一般, 它们可以分为两种类型:基于流量的工具和深度数据包检测(DPI)工具. 与in these tools you’ll have options for software agents, 存储历史数据, 以及入侵检测系统. 在评估哪个解决方案适合您的组织时，请考虑以下五件事:

1. Availability of flow-enabled devices: 您的网络中是否有支持流的设备，能够生成只接受Cisco Netflow等流的NTA工具所需的流? DPI工具接受原始流量, found on every network via any managed switch, 并且是独立于供应商的. 网络交换机和路由器不需要任何特殊模块或支持, just traffic from a SPAN or port mirror from any managed switch.
2. 数据来源: 流数据和包数据来自不同的来源，并不是所有的NTA工具都收集这两种数据. 一定要查看您的网络流量，并确定哪些部分是关键的, 然后将功能与工具进行比较，以确保涵盖了您需要的所有内容.
3. 网络上的点: Consider whether the tool uses agent-based software or agent-free. Also be careful not to monitor too many data sources right out the gate. 而不是, be strategic in picking locations where data converges, such as internet gateways or VLANs associated with critical servers.
4. 实时数据vs. 历史数据: Historical data is critical to analyzing past events, 但随着时间的推移，一些监控网络流量的工具不会保留这些数据. 还要检查该工具是否根据您想要存储的数据量定价. 清楚地了解您最关心的数据，以便找到最适合您的需求和预算的选项.
5. Full packet capture, cost 和 complexity: Some DPI tools capture 和 retain all packets, 导致昂贵的电器, 存储成本增加, 和 much training/expertise to operate. 其他s do more of the 'heavy lifting,捕获完整的数据包，但只提取每个协议的关键细节和元数据. 这种元数据提取导致大量数据减少，但仍然具有可读性, actionable detail that’s ideal for both network 和 security teams.

结论

网络流量分析是监控网络可用性和活动以识别异常的重要方法, 最大化性能, 还要留意有没有袭击. 除了日志聚合之外， UEBA, 端点数据, 网络流量是全面可见性和安全性分析的核心部分，可以及早发现威胁并快速消除威胁.

在选择NTA解决方案时, consider the current blind spots on your network, the data sources you need information from, 以及它们在网络上的关键点，以便进行有效的监控. 与 NTA作为一个图层添加到你的 security information 和 event management (SIEM) 解决方案，您将获得对环境和用户的更多了解.

继续学习NTA

了解Rapid7的XDR & SIEM产品

网络流量分析 新闻 from the Rapid7 博客

Latest Episodes from [THE LOST BOTS] Security Podcast