增加网络中5个黑暗区域的”可见度”

0x00 用户对用户活动

1. 描述:

虽然full-packet检测是安全架构很重要的一个部分,但是full-packet检测不是被设计成监控网络内部的所有主机间通信的流量。网络中捕获每个包的流量所产生的体积会严重消弱网络的效率和网络流量。这种情况迫使安全架构师限制网络内部“可见度”的深度。一些用户产生的流量,例如往外的互联网流量,会经过检查点。然而用户-用户的流量通常是有限的。

插图1

2. 解决方案:

NetFlow可以增加通过访问层的用户-用户的可见度,而且不影响网络性能。因为NetFlow的数据拼成一个flow的一小部分,这里有其路由到收集点进行分析而少得很多的性能开销。

增加用户对用户的可见度,对于了解恶意软件怎么通过网络传播尤为重要。基于行为的分析对于检测恶意软件相关联的流量patterns非常有用。

0x01 特殊的网络设备

1. 描述

Endpoint终端安全客户端可以运行在一些流行的桌面和服务器操作系统上。专业设备:例如多功能打印机、POS终端、ATM取款机以及物联网设备等,很少部署Endpoint终端安全客户端。这些系统上可能存在操作系统的所有类型的漏洞。同时嵌入式设备也可能包含一些有漏洞的软件例如web服务器等,这些都可能是你网络中薄弱的环节。没有了Endpoint终端安全客户端,这些网络设备将会变成另外一个网络中的黑暗地带。结果是黑客可以很容易的利用这些威胁入侵到你的组织。

插图2

2. 解决方案:

基于NetFlow的分析可以有效的使特殊网络设备增加”可见度”,而无需中断主要设备。使用异常流量检测方式可以解决这个问题。

0x02 加密流量

1. 描述

加密通信是另外一个在网络中的黑暗区域。越来越多的C&C服务器和被入侵的设备的指挥和控制进行加密,以避免被发现。面临的挑战是:你怎么发现不知道内容是什么的情况下发现加密流量中的威胁。

插图3

2. 解决方案

类似生活中电话的例子,它”不一定”知道你说写了什么,进而确定恶意活动正在进行。它是利用一些Meta信息来获取一些关联的数据来进行分析。具体元数据的可怕性可以参考Defcon 23上的议题《Applied Intelligence Using Information That's Not There》。在网络的世界中的Meta信息就是源地址、目的地址、时间戳、传输的数据量、源端口、目的端口以及其他NetFlow中的信息点,进而可以标识出通信中的威胁而不需要知道内容。

真实的应用行为分析案例是,在一个典型的网络中,数据泄露可以使用基于异常行为的检测行动。通常,一个内部主机被作为基线通常只与内部服务器通信,但是突然开始与外部服务器传输大量的数据。这个时候就要引起注意了。

0x03 远程网络

1. 简介

因为跨网络办公地点的增加,安全相关的成本也迅速增加。你必须检测广域网的流量或者你必须在边界实现本地检测设备。即使在远程办公地点部署了边界检测,你可能依然面对有限的用户到用户的活动”可见度“。

2. 解决方案

通过使用WAN和中心收集节点的backhaule(回程链路),可以解决这个黑暗区域。一旦攻击者渗透到网络是,他们可能去横向渗透本地网络分段中的其他主机。如果没有NetFlow的可视化,管理员可能错过这个活动。

0x04 内部数据中心

1. 描述

为了解决大数据量的流量从东向西快速经过最深层的数据包检测设备,安全架构师通常把深度包检测部署在数据中心的边界上。数据中心可见度的问题就是获得一台主机上两台虚拟机之间的数据具有挑战。

2.解决方案

虚拟机可视化问题既然可以通过NetFlow来解决。大多数的现代的Hypervisors支持NetFlow流量监测。

0x05 参考

1. Advanced Threat Detection: Gain Network Visibility and Stop Malware

https://www.lancope.com/sites/default/files/5-Dark-Places.pdf

2. Cisco Cyber Threat Defense 2.0 Design Guide

http://www.cisco.com/c/dam/en/us/td/docs/security/network_security/ctd/ctd2-0/design_guides/ctd_2-0_cvd_guide_jul15.pdf

3. Defcon 23 Applied Intelligence_ Using Information That's Not There

https://media.defcon.org/DEF%20CON%2023/DEF%20CON%2023%20presentations/Michael%20Schrenk%20-%20UPDATED/DEFCON-23-Michael-Schrenk-Applied-Intelligence-UPDATED.pdf

4. WAN回程链路

http://baike.sogou.com/v10974425.htm

时间: 2024-11-10 00:30:16

增加网络中5个黑暗区域的”可见度”的相关文章

Java 在Client/Server 网络中的应用 (转)

client|server|网络 Java 在Client/Server 网络中的应用 (作者: 2000年08月09日 10:19) 随着Java语言的日益流行,特别是Java与Internet Web的密切结合,使它在全球取得了巨大的成功.Java语言以其独立于平台.面向对象.分布式.多线索及完善的安全机制等特色,成为现代信息系统建设中的良好的开发平台和运行环境. 一.Java网络应用模型 和Internet上的许多环境一样,完整的Java应用环境实际上也是一个客户机/服务器环境,更确切地说

无线网络中的路由器知识

在企业无线网办公中经常会出现一些使用手册上未涉及到的疑难和故障,有时难以应付,无法解决.下面就无线网络中由路由器引发的典型故障进行分析,并提供解决方案. 连接错误线路不通 网络线路不通有很多原因造成,但首先要检查的是连接配置上有无错误. 在确保路由器电源正常的前提下首先查看宽带接入端.路由器上的指示灯可以说明宽带线路接入端是否正常,由说明书上可以辨认哪一个亮灯为宽带接入端及用户端,观察其灯闪亮状态,连续闪烁为正常,不亮或长亮不闪烁为故障.我们可以换一根宽带胶线代替原来的线路进行连接. 如果故障依

无线网络中路由器的知识

在企业无线网办公中经常会出现一些使用手册上未涉及到的疑难和故障,有时难以应付,无法解决.下面就无线网络中由路由器引发的典型故障进行分析,并提供解决方案. 连接错误线路不通 网络线路不通有很多原因造成,但首先要检查的是连接配置上有无错误. 在确保路由器电源正常的前提下首先查看宽带接入端.路由器上的指示灯可以说明宽带线路接入端是否正常,由说明书上可以辨认哪一个亮灯为宽带接入端及用户端,观察其灯闪亮状态,连续闪烁为正常,不亮或长亮不闪烁为故障.我们可以换一根宽带胶线代替原来的线路进行连接. 如果故障依

透析办公网络中的网络安全

  一.办公网络中网络安全的主要威胁 随着计算机网络应用范围的不断扩展,大量基于IP网络的应用层出不穷.加剧了网络的负担,安全问题越加突出.一方面,网络提供了资源的共享性.用户使用的方便性,通过分布式处理提高了系统效率和可靠性,还具有了扩充性.另一方面,这些特点增加了网络受攻击的可能性.计算机网络所面临的威胁包括对网络中办公信息的威胁和对设备的威胁. 总的说来,办公网络安全的主要威胁来自以下几个方面:自然灾害.意外事故;计算机犯罪;内部泄密;外部泄密;信息丢失;信息战等. 二.如何加强办公网络中

如何保证CAN网络中通讯的可靠性和节点数

在CAN-bus电路设计中,理论上收发器支持节点数最多可做到110个,但实际应用中往往达不到这个数量.这里我们谈谈如何通过合理的CAN-bus总线设计,保证CAN网络中的通讯的可靠性和节点数量. 1.影响CAN总线节点数的因素 影响总线节点数的因素有多种,本文我们从满足接收节点的差分电压幅值方面来讨论,只有满足了这个前提条件,我们才能考虑总线的其他因素如寄生电容.寄生电感对信号的影响. 1)发送节点的CAN接口负载 为何考虑CAN接口负载? CAN接口负载即为CANH.CANL之间的有效电阻值大

ASON网络中的DCN

1 引言ASON网络是现在世界上光传送网络研究的热点,它是原有光传送网络的一次重大演进,具有许多原有光传送网络不可比拟的优点.目前ASON网络设备在国际上的现网中已经进入了规模应用,并将逐步部署在我国的光传送网络中.由于ASON网络层次中存在控制平面,用来实现光网络内的路由.信令.自动发现等功能,ASON网络内的DCN网络相对于原 有的传送网络内的信令网具有更为重要的地位.基于这些原因,国际国际电信联盟组织(ITU-T)对于ASON网络内的DCN网络进行了大量标准化工作.ITU-T G. 808

通信网络中OSPF协议应用与算法优化

3G通信技术已被广泛的应用,并日益向4G演进,通信网络中接入站和传输点的数量呈倍数增长,且仍有快速增长的趋势.通信网络的站点网的能力及局部故障恢复保护机制的要求也变得更高.开放最短路径优先(0SPF)属于一类动态路由的选择协议,它能够快速查探运行网络的拓扑改变,并能够经快速的收敛计算无环路新路由,时间短并用数据流很小,已成现代的通信网组网最佳选择.1通信网络和OSPF协议的相关概念1.1通信网络的相关概念传统通信网络,也就是电话交换网络,由交换.传输及终端组成.交换是终端信息交换中介体,传输是信

SDN交换机在云计算网络中的应用场景

SDN的技术已经发展了好几年了,而云计算的历史更长,两者的结合更是作为SDN的一个杀手级应用在近两年炒得火热,一些知名咨询公司的关于SDN逐年增加的市场份额的论断,也主要是指SDN在云计算网络中的应用. 关于SDN在云计算网络中的应用,目前有两个主要的流派,一个是VMware为代表的"软"派,另外一个则是以思科为代表的"硬"派.前者主要是指整个网络虚拟化方案的核心逻辑都是实现在服务器中的Hypervisor之上,物理网络只是一个管道;而后者则是指网络虚拟化的核心逻辑

PR值风波会引起网络中的“金融危机”吗

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 网络中PR值,它现在的地位可以说好比现实中的银行.银行倒了,产生了金融危机;而PR值被取消了呢?会引起网站质量评比危机吗?冷静下来好好想一想PR值,我们从而会发现大家都在病态的过分追捧PR值. 现在网络中有两种有关谷歌的传闻:一,谷歌将取消PR技术.二,谷歌仍保留PR技术,但将不会出现在网站管理员工具中,从而逐渐降低PR值在搜索引擎关键词的影