ZBC ! 啟明星辰致力打造網路安全界的“執法記錄儀”

前不久，啟明星辰重磅釋出了網路安全態勢觀察報告，報告對近年來網路安全的發展態勢進行了總結，並對未來的網路安全發展趨勢進行了預判。

針對網路安全態勢的發展，啟明星辰集團合夥人兼副總裁袁智輝用三個詞對當前的安全態勢進行了簡單的概括，即逐利化、體系化、組織化。

所謂逐利化是指目前的網路安全威脅攻擊越來越目標具像，無論是勒索病毒還是殭屍木馬，其目的性十分明確;體系化是指攻擊者的攻擊手法會按照攻擊鏈條形成各種攻擊武器，形成多個專業分割的體系，譬如有專門挖漏洞的，有專門做攻擊載荷的，有專門做木馬的，非常有體系化;組織化是指，目前每個安全攻擊都不是以一個單點的形式存在，前期可能用很長的時間踩點，隨後進行單點突破橫向滲透，隨後獲取關鍵資訊資產並消除痕跡，整體極具組織性，由此一來，檢測的重要性尤為凸顯。

“取證難”與“溯源難”成為常態

然而報告中有所提及，綜合近年來發生的網路安全事故會發現，取證難、溯源難成為常態。無論是Facebook使用者資訊的洩露，還是知名酒店資料的外洩等事件，都難以對攻擊進行有效的追溯分析以及對攻擊進行受損評估。

何為有效的分析溯源?不妨給大家舉個例子：隨著當前網路普及程度的提升，“網路暴力”的出現讓很多人為之頭疼。很多居心叵測的人會透過錄制併發放影片的方式來博取大眾的眼球，而這些影片往往會被進行惡意的剪輯，譬如掐頭去尾，用以偏概全的方式來抹黑事實，給大眾造成譬如“城管打人”“警察暴力執法”等不良印象。如果沒有完整的影片來闡明事實的真相，那諸如城管打人、警察暴力執法就會被大眾預設為既定事實。好在現在民警都配有執法記錄儀，一旦上述事件發生，民警能夠透過完整的執法影片來給大家一個真相。

相類比網路安全世界，諸如此類事件同樣在發生。隨著大家對網路安全重視程度的不斷提升，越來越多的網路安全裝置被企業所使用。發現+分析+響應是大家公認的行之有效的網路攻擊應對方式，但這些公認的網路安全體系一旦沒能奏效，企業業務將面臨重大的損失和不良影響。

啟明星辰認為，使用者在面臨網路安全攻擊時，往往會遇到以下幾點問題：面對海量攻擊告警不知如何下手分析;面對可疑攻擊不知如何判斷攻擊的真實性;面對複雜攻擊無法獲取有效的攻擊證據;面對網路被攻破無法判斷攻擊的影響範圍和受害程度;面對資料被盜取無法判斷資料損失的嚴重程度;面對0day漏洞無法判斷0day攻擊是否已經出現在自己的網路中;面對APT攻擊無法確定攻擊的隱蔽程度、攻擊路徑和攻擊渠道。

綜合來講，以上這些問題往往是因為證據鏈不足，導致無法對網路攻擊進行行之有效的預判，因此當網路攻擊真的發生時，除了進行有效的安全防禦外，對網路行為進行取證、分析、回溯也是十分重要的一環，為了滿足使用者對於網路行為分析取證的需求，啟明星辰正式釋出了新一代全流量分析取證解決方案——NFT。

網路安全領域的“執法記錄儀”

和傳統的攻擊分析類產品的不同之處在於，啟明星辰的全流量分析取證解決方案不僅僅針對攻擊行為進行取證，而是對全流量進行取證，無論是否有攻擊發生都將進行儲存，便於事後進行進一步的取證和線索的跟蹤。啟明星辰認為，基於網路流量後設資料和資料包的採集，進行流行為的安全威脅分析和取證，是未來最重要安全技術之一。相類比來講，NFT解決方案可以稱為網路安全領域的“執法記錄儀”。

根據啟明星辰高階威脅檢測與響應產品線總監倪海洋介紹，本次釋出的新一代全流量分析取證解決方案是啟明星辰新品和先前成熟的產品相結合。其主要涉及三類產品，分別包括CS、APT、TAR為代表的威脅檢測分析產品，以NGFW、IPS、WAF為代表的威脅聯動響應產品以及最新發布的全流量分析取證產品NFT，透過對三類產品的部署，能夠形成一個完整的閉環，而NFT也是整個解決方案的核心。

倪海洋表示，啟明星辰此次釋出的新品是網路安全業界第一款全流量分析取證產品，相比傳統的網路安全體系來講，全流分析取證解決方案主要具有以下幾點優勢：

●網路全流量無損記錄：原始網路流量不會說謊。再狡猾的不法分子，只要是透過網路進入攻擊目標區域，都會在網路流量上留下痕跡。該方案中的全流量分析取證產品(NFT)，透過自研的資料包儲存和檢索等關鍵技術，實現了基於單臺物理裝置上20Gbps的穩定高速抓包能力，可以連續儲存長達數月的網路原始流量。

同時該系統擁有完整的網路後設資料索引能力，具備目前業界最高的資料檢索效能，並支援超高倍速的原始資料包回放，為該方案的威脅取證和資料分析提供了完美的資料基石。

●威脅檢測全覆蓋：該方案融合了多款威脅檢測和分析產品，從已知威脅檢測到未知威脅檢測，從傳統的特徵檢測到惡意行為檢測，融合了精確的威脅情報資料，擁有業界最先進、最全面的檢測能力，可以及時發現網路中出現的漏洞攻擊、APT攻擊、挖礦、僵木蠕攻擊等多種威脅行為。

●威脅處理智慧化：全流分析取證解決方案將威脅檢測、威脅取證分析、威脅響應處置融合在一起，透過檢測技術發現威脅，透過取證分析能力確認威脅，透過自動化安全策略阻斷威脅，從而實現威脅的智慧化閉環處理。

袁智輝表示，啟明星辰作為一家以檢測技術起家的網路安全公司，其在特徵檢測層面有著深厚的技術和客戶積累。而全流量分析取證解決方案的應用勢必會給使用者帶來更深層次的安全體驗，其能夠做到全天候的實時安全檢測和防護，此外透過高效精準的攻擊定位和追溯，能夠與序列裝置進行實時聯動，幫助使用者及時阻斷攻擊行為，防止攻擊事態的進一步惡化，從而最大限度的降低客戶損失。

寫在最後

作為全流量分析取證層面第一個吃螃蟹的企業，啟明星辰的全流量分析取證解決方案能夠切實解決當前企業所面臨的取證、分析、溯源困難的問題。相信在啟明星辰的帶動下，未來會有越來越多的安全企業加入到全流量分析的行列中，透過全方位、全天候的全流量分析檢測，讓網路攻擊再無匿身之地!