网络安全实际上是一个非常广泛的话题,为什么这么说呢?网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。不过,我们常说的
网络安全的具体含义会随着“角度”的变化而变化。用户(个人、企业等)角度:
他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。
网络运行和管理者角度:
他们希望对本地网络信息的访问、读写等操作受到保护和控制,避免出现“陷门”、病毒、非法存取、拒绝服务和网络资源非法占用和非法控制等威胁,制止和防御网络黑客的攻击,所有攻城狮都渴望自己成为一名黑客高手。
网络安全与航空安全
我们今天要聊的重点,那可是和互联网有关,更加关注网络的运行和管理。世界的奇妙之处在于,任何事物在其它的领域中总能找到相似的事物。那么,你是否发现?网络安全像极了航空安全。
人们总存在一种错觉,当一架飞机的攻击防御设施越多时,飞机也就越安全。然而事实并非如此,根据二战战后数据统计:
事实证明,即便在战火中,基本飞行安全依然是飞机最大损失来源,一味的给飞机装上机炮、导弹,并没有让飞机更安全。任何高精尖的安全设施也无法完全保障一架飞机的100%安全,但每一架飞机上都会装有黑匣子。
黑匣子居然不是黑色!!!
黑匣子自问世以来,被称为空难见证人的黑匣子为航空安全作出了突出贡献。
1) 无差别记录
- 飞行数据记录仪,记录飞机25小时的飞行参数;
- 驾驶舱语音记录仪,记录最后2小时驾驶舱机组 人员的对话、与管制员的通话,以及各种可能听到的声响。
2) 数据保护
即使发生空难,也不用担心黑匣子会轻易损坏,黑匣子可耐高温(600摄氏度~800摄氏度),高压(可承受1吨重的压力),不怕腐蚀,人们要做的就是以最快的速度找到它。
3)回溯分析
最早利用黑匣子的是军用飞机。1908年,美国发生了第一起军用飞机事故。以后,随着飞行事故增加,迫切需要有一种研究事故原因的仪器。二战时,飞行记录仪正式在军用飞机上使用。战后,开始用到民航飞机上。
近些年,航空业变得越来越安全,有先进的安全设备的功劳,但是更多的安全来源于那从一次次事故中总结出的经验和教训以及那十分严格操作流程和高素质的专业机务人员。
网络安全亦是如此,给自己的网络部署安全设备是必要的,但并不意味着网络就会变得十分安全。网络安全同时需要一个可以无差别全量记录流量会话日志的“黑匣子”,一旦网络被击破,安全攻城狮们应该第一时间找到那个“黑匣子”原本溯源当时的真实网络情况。而Panabit就是那个黑匣子,一个能精准识别全网流量的黑匣子,一个能无差别全量留存记录所有会话信息的黑匣子。
不一样的网络安全
从图上我们需要知道,如果你想让网络更安全,那么FW/IPS/WAF/AV/IDS等等一定是非常有帮助的,这点我们绝不能否认。通过这些设备,我们可以保护信息和系统免受主要网络威胁的影响,比如应用程序攻击、恶意软件、勒索软件、网络钓鱼、漏洞利用工具包等等。
但是,当前的问题在于,我们太注重设备而忽略了人的作用。网络对手已经学会了使用一些策略发起自动化和复杂的攻击,且成本越来越低。因此,与网络安全战略和运营保持同步可能是一项挑战,特别是在政府和企业网络中,网络威胁通常以其最具破坏性的形式瞄准一个国家或其人民的秘密、政治、军事或基础设施资产。
而这时,网络安全中的“黑匣子”变得尤其重要,特别是保障网络设备正常运行方面。(并不包含信息泄露等,这里专指网络设备的防护,请勿喷。)
Panabit+Panalog这一套组合,就是一个非常合格的“黑匣子”。严格上说派网并不是一家安全公司,但是由于对数据识别和回溯分析却十分在行,所以在近几年主动发现了多起较大的网络攻击事件。
不管黑猫白猫,能捉老鼠的就一定是好猫!
现在黑产的攻击已经不是NGFW、UTM、行为管理轻易就可以防住的。
坚持了16年的派网,从一开始就与应用识别打交道,之所以派网可以完成一些匪夷所思的安全防护事件,那完全得益于派网自己的两个核心优势技术。
应用识别率——业内公认最高
PanaOS——X86平台的性能标杆
传统的安全产品,坚持的安全理念是“抓坏人”。假设在一栋大楼门口,安排多名保安,凡是进出门口的人员必须经过保安检查,每名保安检查的项目不同,同时保安也会根据相关规定判断人员是否可以通过?这里的相关规定其实就是我们常说的“病毒库”,其实我们不说,你可能也发现了,这种理念存在一个bug,我们永远猜不到黑客做的病毒会是什么样子,病毒库的更新总是慢于病毒的更新,存在滞后性。
而派网的安全理念完全不同,我们使用的是“七层白名单”技术,我们不会主动区分好人和坏人,从门口进来的每一个人,我们都进行拍照并全程监控,拍照的目的是记录这个人所有细节,全程监控的目的是及时发现这个人是否在做坏事。我们会把每一个人每秒钟所做的每一件事全部记录并呈现给我们的客户。无论病毒还是正常流量,在我这里都可以轻松区分,从而来帮助客户实现对网络流量的监控和管理。又由于我们是根据七层特征去识别流量,那些冒充正常端口号的病毒,也无法逃过我们的检查。
从不放弃网络中任何一个细节,实现记录每个IP每时每刻每个session,这就是派网在网络安全中的价值。
回溯分析,按协议海量抓包
不要担心性能,想抓取哪些,就留存哪些在连接会话里,显示的信息包含:
- 标准五元组:源IP,源端口,目标IP,目标端口,协议类型;
- 协议名称;
- 起始时间;
- 结束时间;
- 上行流量;
- 下行流量;
- 域名信息。
通过抓取的一个会话,可以看到会话的概括或是完整信息:
- 协议类型;
- 起止时间;
- 双向包数量;
- 双向包长度;
- 双向数据量;
- TCP关键标志;
- 源IP/端口;
- 目标IP/端口;
- 原始报文数据;
- 域名信息等。
数据精准识别带来的好处不可言喻,伪装的再成功的威胁报文,通过Panabit也能一一发现。
想伪装成DNS等正常协议进出网络,连门也没有。
实现多维度的安全分析,不要被小流量所欺骗,不过想在几十G速率的出口,识别出区区几M流量,才是硬实力的体现。
谁能想到,家里上网慢,竟然是DNS被劫持导致。
即使你部署了全套的传统安全设备,它们依旧无法告诉你这9个小秘密。
好了,关于网络安全,今天我们就先聊到这,有什么想讨论的,欢迎添加微信来吐槽。
小月月本期语录
1、就像航空安全一样,网络安全中的“黑匣子”一定是必备的;
2、 Panabit就是那个“黑匣子”,一个能精准识别全网流量的“黑匣子”,一个能无差别全量留存记录所有会话信息的“黑匣子”;
3、 “黑匣子”与传统安全配合使用才能保障你的网络安全。
閱讀更多 Panabit 的文章
