前不久，啟明星辰重磅發(fā)布了網(wǎng)絡安全態(tài)勢觀察報告，報告對近年來網(wǎng)絡安全的發(fā)展態(tài)勢進行了總結(jié)，并對未來的網(wǎng)絡安全發(fā)展趨勢進行了預判。

針對網(wǎng)絡安全態(tài)勢的發(fā)展，啟明星辰集團合伙人兼副總裁袁智輝用三個詞對當前的安全態(tài)勢進行了簡單的概括，即逐利化、體系化、組織化。

所謂逐利化是指目前的網(wǎng)絡安全威脅攻擊越來越目標具像，無論是勒索病毒還是僵尸木馬，其目的性十分明確；體系化是指攻擊者的攻擊手法會按照攻擊鏈條形成各種攻擊武器，形成多個專業(yè)分割的體系，譬如有專門挖漏洞的，有專門做攻擊載荷的，有專門做木馬的，非常有體系化；組織化是指，目前每個安全攻擊都不是以一個單點的形式存在，前期可能用很長的時間踩點，隨后進行單點突破橫向滲透，隨后獲取關鍵信息資產(chǎn)并消除痕跡，整體極具組織性，由此一來，檢測的重要性尤為凸顯。

“取證難”與“溯源難”成為常態(tài)

然而報告中有所提及，綜合近年來發(fā)生的網(wǎng)絡安全事故會發(fā)現(xiàn)，取證難、溯源難成為常態(tài)。無論是Facebook用戶信息的泄露，還是知名酒店數(shù)據(jù)的外泄等事件，都難以對攻擊進行有效的追溯分析以及對攻擊進行受損評估。

何為有效的分析溯源？不妨給大家舉個例子：隨著當前網(wǎng)絡普及程度的提升，“網(wǎng)絡暴力”的出現(xiàn)讓很多人為之頭疼。很多居心叵測的人會通過錄制并發(fā)放視頻的方式來博取大眾的眼球，而這些視頻往往會被進行惡意的剪輯，譬如掐頭去尾，用以偏概全的方式來抹黑事實，給大眾造成譬如“城管打人”“警察暴力執(zhí)法”等不良印象。如果沒有完整的視頻來闡明事實的真相，那諸如城管打人、警察暴力執(zhí)法就會被大眾默認為既定事實。好在現(xiàn)在民警都配有執(zhí)法記錄儀，一旦上述事件發(fā)生，民警能夠通過完整的執(zhí)法視頻來給大家一個真相。

相類比網(wǎng)絡安全世界，諸如此類事件同樣在發(fā)生。隨著大家對網(wǎng)絡安全重視程度的不斷提升，越來越多的網(wǎng)絡安全設備被企業(yè)所使用。發(fā)現(xiàn)＋分析＋響應是大家公認的行之有效的網(wǎng)絡攻擊應對方式，但這些公認的網(wǎng)絡安全體系一旦沒能奏效，企業(yè)業(yè)務將面臨重大的損失和不良影響。

啟明星辰認為，用戶在面臨網(wǎng)絡安全攻擊時，往往會遇到以下幾點問題：面對海量攻擊告警不知如何下手分析；面對可疑攻擊不知如何判斷攻擊的真實性；面對復雜攻擊無法獲取有效的攻擊證據(jù)；面對網(wǎng)絡被攻破無法判斷攻擊的影響范圍和受害程度；面對數(shù)據(jù)被盜取無法判斷數(shù)據(jù)損失的嚴重程度；面對0day漏洞無法判斷0day攻擊是否已經(jīng)出現(xiàn)在自己的網(wǎng)絡中；面對APT攻擊無法確定攻擊的隱蔽程度、攻擊路徑和攻擊渠道。

綜合來講，以上這些問題往往是因為證據(jù)鏈不足，導致無法對網(wǎng)絡攻擊進行行之有效的預判，因此當網(wǎng)絡攻擊真的發(fā)生時，除了進行有效的安全防御外，對網(wǎng)絡行為進行取證、分析、回溯也是十分重要的一環(huán)，為了滿足用戶對于網(wǎng)絡行為分析取證的需求，啟明星辰正式發(fā)布了新一代全流量分析取證解決方案——NFT。

網(wǎng)絡安全領域的“執(zhí)法記錄儀”

和傳統(tǒng)的攻擊分析類產(chǎn)品的不同之處在于，啟明星辰的全流量分析取證解決方案不僅僅針對攻擊行為進行取證，而是對全流量進行取證，無論是否有攻擊發(fā)生都將進行保存，便于事后進行進一步的取證和線索的跟蹤。啟明星辰認為，基于網(wǎng)絡流量元數(shù)據(jù)和數(shù)據(jù)包的采集，進行流行為的安全威脅分析和取證，是未來最重要安全技術之一。相類比來講，NFT解決方案可以稱為網(wǎng)絡安全領域的“執(zhí)法記錄儀”。

根據(jù)啟明星辰高級威脅檢測與響應產(chǎn)品線總監(jiān)倪海洋介紹，本次發(fā)布的新一代全流量分析取證解決方案是啟明星辰新品和先前成熟的產(chǎn)品相結(jié)合。其主要涉及三類產(chǎn)品，分別包括CS、APT、TAR為代表的威脅檢測分析產(chǎn)品，以NGFW、IPS、WAF為代表的威脅聯(lián)動響應產(chǎn)品以及最新發(fā)布的全流量分析取證產(chǎn)品NFT，通過對三類產(chǎn)品的部署，能夠形成一個完整的閉環(huán)，而NFT也是整個解決方案的核心。

倪海洋表示，啟明星辰此次發(fā)布的新品是網(wǎng)絡安全業(yè)界第一款全流量分析取證產(chǎn)品，相比傳統(tǒng)的網(wǎng)絡安全體系來講，全流分析取證解決方案主要具有以下幾點優(yōu)勢：

●網(wǎng)絡全流量無損記錄：原始網(wǎng)絡流量不會說謊。再狡猾的不法分子，只要是通過網(wǎng)絡進入攻擊目標區(qū)域，都會在網(wǎng)絡流量上留下痕跡。該方案中的全流量分析取證產(chǎn)品（NFT），通過自研的數(shù)據(jù)包存儲和檢索等關鍵技術，實現(xiàn)了基于單臺物理設備上20Gbps的穩(wěn)定高速抓包能力，可以連續(xù)存儲長達數(shù)月的網(wǎng)絡原始流量。

同時該系統(tǒng)擁有完整的網(wǎng)絡元數(shù)據(jù)索引能力，具備目前業(yè)界最高的數(shù)據(jù)檢索性能，并支持超高倍速的原始數(shù)據(jù)包回放，為該方案的威脅取證和數(shù)據(jù)分析提供了完美的數(shù)據(jù)基石。

●威脅檢測全覆蓋：該方案融合了多款威脅檢測和分析產(chǎn)品，從已知威脅檢測到未知威脅檢測，從傳統(tǒng)的特征檢測到惡意行為檢測，融合了精確的威脅情報數(shù)據(jù)，擁有業(yè)界最先進、最全面的檢測能力，可以及時發(fā)現(xiàn)網(wǎng)絡中出現(xiàn)的漏洞攻擊、APT攻擊、挖礦、僵木蠕攻擊等多種威脅行為。

●威脅處理智能化：全流分析取證解決方案將威脅檢測、威脅取證分析、威脅響應處置融合在一起，通過檢測技術發(fā)現(xiàn)威脅，通過取證分析能力確認威脅，通過自動化安全策略阻斷威脅，從而實現(xiàn)威脅的智能化閉環(huán)處理。

袁智輝表示，啟明星辰作為一家以檢測技術起家的網(wǎng)絡安全公司，其在特征檢測層面有著深厚的技術和客戶積累。而全流量分析取證解決方案的應用勢必會給用戶帶來更深層次的安全體驗，其能夠做到全天候的實時安全檢測和防護，此外通過高效精準的攻擊定位和追溯，能夠與串行設備進行實時聯(lián)動，幫助用戶及時阻斷攻擊行為，防止攻擊事態(tài)的進一步惡化，從而最大限度的降低客戶損失。

寫在最后

作為全流量分析取證層面第一個吃螃蟹的企業(yè)，啟明星辰的全流量分析取證解決方案能夠切實解決當前企業(yè)所面臨的取證、分析、溯源困難的問題。相信在啟明星辰的帶動下，未來會有越來越多的安全企業(yè)加入到全流量分析的行列中，通過全方位、全天候的全流量分析檢測，讓網(wǎng)絡攻擊再無匿身之地！