在好莱坞大片中,黑客就像是使用计算机的黑魔导士,可以通过利用计算机炸毁房屋,关闭公路,释放瘟疫引发混乱。也许很多人并不相信,但事实上,电影中的这些桥段总是不断上演!某国山寨 Facebook 网站刚上线便被一名 18 岁的苏格兰大学生黑掉,Facebook CEO 小扎自己的 Twitter 和 Pinterest 帐户双双被盗……在现实中,黑客行动的刺激程度绝对不亚于电影。
尤其是在数字经济的浪潮下,黑客的任何行动造成任何信息的失窃,都等同于企业资产的流失。数据安全成为一个极为重要的挑战!
不信?!举个小栗子~
在现实中,黑客是在不断成长的!现在,黑进企业的网络只是黑客的第一步,做法之一就是,他们会把网络内的一个主机当做跳板,从用户的数据库中拖取数据。这个数据读取过程通常会传输大量数据,时间长短不一。而这个漫长而且危险的过程,网络边界的防火墙却是看不到的。
思科的 NaaS 方案实现安全“面布防”
思科 NaaS 方案通过网络来收集网络传送的所有信息,然后利用 Netflow 协议发送至数据采集设备,这样所有利用网络的传输将一览无余。接下来,数据分析设备对采集的数据进行大数据分析,从数据中发现安全隐患。例如,发现异常流量主机,发现违规访问,发现蠕虫病毒传播,发现数据窃取行为。利用此方案可以对网络的流量及所有的访问行为一览无余,真正做到无死角网络监控,安全“面布防”。
思科正是利用路由交换设备部署位置的特点,结合了思科路由交换设备的功能,推出了 “Network as a sensor” 方案,完美的解决了这个问题。
思科NaaS实现主机异常行为检测
千万不要小看一个 ACK 数据包!千万不要小看一个 ACK 数据包!千万不要小看一个 ACK 数据包!一旦重复大量发送,这种数据流就会对网络设备造成影响,特别是网络中的 4-7 层设备对此类异常流量抵抗能力弱,轻的造成设备高 CPU利用率,网络处理速度变慢时延变大。严重时候直接会导致网络设备瘫痪,从而网络瘫痪。
所以,每个数据包的正常并不代表主机就正常!
思科 NaaS 方案中,数据采集分析设备 Stealthwatch Management Console 在收集到 Netflow 信息后,会对信息进行存储,然后进行大数据分析。针对网络中出现流量的主机进行流量行为建模,每个主机的流量统计特征都不一样。
思科 NaaS 方案中,数据分析设备 Stealthwatch 对自身收集的网络访问大数据进行整理建模后,进一步在数据中进行大数据分析来发现各类违规。Stealthwatch 设计了大量的异常行为事件模板,从数据中提取安全事件。这些安全事件包括地址扫描、暴力破解、各类泛洪攻击、以及平时非常难检测的隐藏超长连接等等。内置超过 100 个安全异常行为,同时用户还可以定制自己的异常行为模板,让 NaaS 帮用户进行数据分析并告警。利用这些异常行为分析,能够帮用户发现网络渗漏、数据窃取以及 DDOS 等恶意行为。
在产生事件告警后,管理人员还可以通过 Stealthwatch 进行相应设定,通过调用第三方设备对安全事件进行自动响应。例如:调用思科的路由器下发 null0 路由,将产生异常的主机对网路的攻击进行阻断。或者调用 ISE,将网络中接入的异常主机物理端口进行关闭。
通过 Network as a Sensor 方案,思科真正将网络作为防御威胁的有力工具,通过网络的覆盖,做到真正的 “安全无死角”。
====================================分割线================================
本文转自d1net(转载)