高级分析、威胁情报集成以及物联网支持等能力均为网络流量分析工具(NTA)的重要能力。

在威胁检测和响应过程中,理解网络行为起着举足轻重的作用。据ESG的研究发现,87%的组织使用NTA进行威胁检测和响应,并且有43%的组织认为NTA是检测和响应威胁的“第一防线”。

通常认为:网络行为是不会说谎的。由于网络攻击会通过网络交互进行恶意软件传播、C&C传输、数据渗漏等行为,安全从业人员需要运用正确的工具,及时地发现恶意行为,并从全局进行分析。

考虑到NTA对于安全分析和运维而言如此高的重要性,ESG向347名网络安全专业人员咨询了对SOC人员而言,NTA最重要的能力,得到了以下的六个关键点:

  1. 44%的人认为NTA工具必须有内置的分析能力帮助分析师改善并加速威胁检测。这些分析能力可以是基于机器学习算法、启发法、脚本等等。这些分析的目的是让分析师通过NTA工具获取关键数据并收到高可信的告警——而非是噪音预警。

  2. 44%的人认为NTA工具必须提供威胁情报服务或者有集成威胁情报的能力,从而将可疑或者恶意的网络行为与已知的威胁进行对比。由于MITRE ATT&CK架构得到越来越多的注意,威胁情报集成已经成为几乎所有安全工具的必备能力;因此,NTA工具必须从一开始就被赋予威胁情报的能力。

  3. 38%的人认为NTA工具必须有能力监控物联网流量、协议、设备等。鉴于物联网的出现时间不长,我认为对物联网的支持会在未来12到18个月里成为企业对各类NTA工具的硬性需求。

  4. 37%的人认为NTA工具必须有能力监控所有已连接的网络节点,并且当有新网络节点连接时进行告警。换而言之,安全从业者依然希望NTA工具有传统的NAC能力,并且当未许可设备接入时进行告警。

  5. 37%的人认为NTA工具必须有测试和记录过与其他安全技术集成的能力,在我的经验中,NTA工具应该和恶意软件沙箱、EDR、SIEM以及上述提到的威胁情报能力紧密结合。

  6. 37%的人认为NTA工具必须有能力监控云流量,并且报告威胁以及异常。在亚马逊之前的re:Inforce会议上,亚马逊宣布一种新的VPC流量监控功能,可以为云网络提供可视化能力——这恰恰是用户正在寻求的持续性云网络监控能力。NTA工具必须能够有监控诸如AWS、微软Azure、谷歌云平台(GCP)等云服务器网络的能力,从而提供端到端的网络安全可视化。

市面上有大量的NTA工具,但是企业该如何根据需求选择合适的一款?本文建议CISO在采购的时候确保该款NTA工具至少需要满足以上六个能力。

声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。