網絡安全實際上是一個非常廣泛的話題,為什麼這麼說呢?網絡安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科。不過,我們常說的
網絡安全的具體含義會隨著“角度”的變化而變化。用戶(個人、企業等)角度:
他們希望涉及個人隱私或商業利益的信息在網絡上傳輸時受到機密性、完整性和真實性的保護,避免其他人或對手利用竊聽、冒充、篡改、抵賴等手段侵犯用戶的利益和隱私。
網絡運行和管理者角度:
他們希望對本地網絡信息的訪問、讀寫等操作受到保護和控制,避免出現“陷門”、病毒、非法存取、拒絕服務和網絡資源非法佔用和非法控制等威脅,制止和防禦網絡黑客的攻擊,所有攻城獅都渴望自己成為一名黑客高手。
網絡安全與航空安全
我們今天要聊的重點,那可是和互聯網有關,更加關注網絡的運行和管理。世界的奇妙之處在於,任何事物在其它的領域中總能找到相似的事物。那麼,你是否發現?網絡安全像極了航空安全。
人們總存在一種錯覺,當一架飛機的攻擊防禦設施越多時,飛機也就越安全。然而事實並非如此,根據二戰戰後數據統計:
事實證明,即便在戰火中,基本飛行安全依然是飛機最大損失來源,一味的給飛機裝上機炮、導彈,並沒有讓飛機更安全。任何高精尖的安全設施也無法完全保障一架飛機的100%安全,但每一架飛機上都會裝有黑匣子。
黑匣子居然不是黑色!!!
黑匣子自問世以來,被稱為空難見證人的黑匣子為航空安全作出了突出貢獻。
1) 無差別記錄
- 飛行數據記錄儀,記錄飛機25小時的飛行參數;
- 駕駛艙語音記錄儀,記錄最後2小時駕駛艙機組 人員的對話、與管制員的通話,以及各種可能聽到的聲響。
2) 數據保護
即使發生空難,也不用擔心黑匣子會輕易損壞,黑匣子可耐高溫(600攝氏度~800攝氏度),高壓(可承受1噸重的壓力),不怕腐蝕,人們要做的就是以最快的速度找到它。
3)回溯分析
最早利用黑匣子的是軍用飛機。1908年,美國發生了第一起軍用飛機事故。以後,隨著飛行事故增加,迫切需要有一種研究事故原因的儀器。二戰時,飛行記錄儀正式在軍用飛機上使用。戰後,開始用到民航飛機上。
近些年,航空業變得越來越安全,有先進的安全設備的功勞,但是更多的安全來源於那從一次次事故中總結出的經驗和教訓以及那十分嚴格操作流程和高素質的專業機務人員。
網絡安全亦是如此,給自己的網絡部署安全設備是必要的,但並不意味著網絡就會變得十分安全。網絡安全同時需要一個可以無差別全量記錄流量會話日誌的“黑匣子”,一旦網絡被擊破,安全攻城獅們應該第一時間找到那個“黑匣子”原本溯源當時的真實網絡情況。而Panabit就是那個黑匣子,一個能精準識別全網流量的黑匣子,一個能無差別全量留存記錄所有會話信息的黑匣子。
不一樣的網絡安全
從圖上我們需要知道,如果你想讓網絡更安全,那麼FW/IPS/WAF/AV/IDS等等一定是非常有幫助的,這點我們絕不能否認。通過這些設備,我們可以保護信息和系統免受主要網絡威脅的影響,比如應用程序攻擊、惡意軟件、勒索軟件、網絡釣魚、漏洞利用工具包等等。
但是,當前的問題在於,我們太注重設備而忽略了人的作用。網絡對手已經學會了使用一些策略發起自動化和複雜的攻擊,且成本越來越低。因此,與網絡安全戰略和運營保持同步可能是一項挑戰,特別是在政府和企業網絡中,網絡威脅通常以其最具破壞性的形式瞄準一個國家或其人民的秘密、政治、軍事或基礎設施資產。
而這時,網絡安全中的“黑匣子”變得尤其重要,特別是保障網絡設備正常運行方面。(並不包含信息洩露等,這裡專指網絡設備的防護,請勿噴。)
Panabit+Panalog這一套組合,就是一個非常合格的“黑匣子”。嚴格上說派網並不是一家安全公司,但是由於對數據識別和回溯分析卻十分在行,所以在近幾年主動發現了多起較大的網絡攻擊事件。
不管黑貓白貓,能捉老鼠的就一定是好貓!
現在黑產的攻擊已經不是NGFW、UTM、行為管理輕易就可以防住的。
堅持了16年的派網,從一開始就與應用識別打交道,之所以派網可以完成一些匪夷所思的安全防護事件,那完全得益於派網自己的兩個核心優勢技術。
應用識別率——業內公認最高
PanaOS——X86平臺的性能標杆
傳統的安全產品,堅持的安全理念是“抓壞人”。假設在一棟大樓門口,安排多名保安,凡是進出門口的人員必須經過保安檢查,每名保安檢查的項目不同,同時保安也會根據相關規定判斷人員是否可以通過?這裡的相關規定其實就是我們常說的“病毒庫”,其實我們不說,你可能也發現了,這種理念存在一個bug,我們永遠猜不到黑客做的病毒會是什麼樣子,病毒庫的更新總是慢於病毒的更新,存在滯後性。
而派網的安全理念完全不同,我們使用的是“七層白名單”技術,我們不會主動區分好人和壞人,從門口進來的每一個人,我們都進行拍照並全程監控,拍照的目的是記錄這個人所有細節,全程監控的目的是及時發現這個人是否在做壞事。我們會把每一個人每秒鐘所做的每一件事全部記錄並呈現給我們的客戶。無論病毒還是正常流量,在我這裡都可以輕鬆區分,從而來幫助客戶實現對網絡流量的監控和管理。又由於我們是根據七層特徵去識別流量,那些冒充正常端口號的病毒,也無法逃過我們的檢查。
從不放棄網絡中任何一個細節,實現記錄每個IP每時每刻每個session,這就是派網在網絡安全中的價值。
回溯分析,按協議海量抓包
不要擔心性能,想抓取哪些,就留存哪些在連接會話裡,顯示的信息包含:
- 標準五元組:源IP,源端口,目標IP,目標端口,協議類型;
- 協議名稱;
- 起始時間;
- 結束時間;
- 上行流量;
- 下行流量;
- 域名信息。
通過抓取的一個會話,可以看到會話的概括或是完整信息:
- 協議類型;
- 起止時間;
- 雙向包數量;
- 雙向包長度;
- 雙向數據量;
- TCP關鍵標誌;
- 源IP/端口;
- 目標IP/端口;
- 原始報文數據;
- 域名信息等。
數據精準識別帶來的好處不可言喻,偽裝的再成功的威脅報文,通過Panabit也能一一發現。
想偽裝成DNS等正常協議進出網絡,連門也沒有。
實現多維度的安全分析,不要被小流量所欺騙,不過想在幾十G速率的出口,識別出區區幾M流量,才是硬實力的體現。
誰能想到,家裡上網慢,竟然是DNS被劫持導致。
即使你部署了全套的傳統安全設備,它們依舊無法告訴你這9個小秘密。
好了,關於網絡安全,今天我們就先聊到這,有什麼想討論的,歡迎添加微信來吐槽。
小月月本期語錄
1、就像航空安全一樣,網絡安全中的“黑匣子”一定是必備的;
2、 Panabit就是那個“黑匣子”,一個能精準識別全網流量的“黑匣子”,一個能無差別全量留存記錄所有會話信息的“黑匣子”;
3、 “黑匣子”與傳統安全配合使用才能保障你的網絡安全。
閱讀更多 Panabit 的文章
