Netography发布新型IPS 利用网络流数据做安全分析
7月23日,网络安全公司 Netography 发布其 Distributed IPS 的公开测试版,该服务被描述为从入侵检测系统 (IDS) 进化到入侵防御系统 (IPS) 中的重要一步。Netography 公司宣称,通过综合运用云和分布式遥测收集功能,Distributed IPS 服务可帮助公司企业持续自动检测及处理威胁。
据了解,Distributed IPS 采用 Netography 的专利云流数据收集器采集,通过采集多种形式的流数据,比如 Sflow、NetFlow 和 VPC 流,帮助网络及安全团队识别并封锁恶意流量,包括僵尸网络、DDoS 攻击、未授权登录尝试和数据渗漏。
Netography 首席执行官巴雷特·莱昂 (Barrett Lyon)表示,交换机、路由器和其他网络设备都是流服务。此类设备产生的流数据一直以来都被当成带宽管理之类功能所用的遥测数据。但仔细审查就会发现,这些信息还有别的用处。
“流”的起源
数据流经路由器、交换机和散布网络各处的其他网络设备时产生并汇集的信息便称之为 “流 (flow) ”,网络控制与管理组件通过流数据相互沟通。
NetFlow 是首先出现的流格式,由思科公司在上世纪九十年代中期引入,为了使网络管理员能够分析网络流量的源头与去向,以及性能状况和拥塞原因。大约十年后,该技术加入互联网工程任务组 (IETF) 标准过程行列。这一标准化流被称为互联网协议流信息输出 (IPFIX:Internet Protocol Flow Information Export),为大量网络基础设施供应商所采用。
市面上还有其他流服务,其中很多都是由单一提供商支持的专属服务。Sflow 则是个例外,有超过 20 多家供应商支持,包括思科之类有自主专利流格式的供应商。
分布式 IPS 能以多种方式处理网络流信息。流数据的分析方法就有四种,分析时可触发不同异常。异常传送给 API,DevOps 开发人员就能以之构造出相应的处理动作。比如说,可以通过 BGP 或 BGP 流规范订阅自身黑名单馈送,或者订阅其他黑名单,然后比对网络流量源地址及目的地址条目是否为黑名单上榜地址。
分辨率问题
Distributed IPS 可检测分布式拒绝服务 (DDoS) 攻击、僵尸网络、数据抽取、登录尝试及其他非法网络活动。Netography 云引擎收集并分析流数据,然后通过自身或客户(或委托)开发的 API 执行相应操作。
但也有观察家质疑该网络控制技术是否足以保证安全。
里斯·莫拉雷斯 (Chris Morales) 是人工智能网络安全检测公司 Vectra 安全分析主管,他表示:NetFlow 的问题在于极低的分辨率。就好像试图按 1970 年代的宝丽来拍立得照片重绘《蒙娜丽莎》一样。这么低的分辨率不足以高效检测隐藏威胁。
Netography 联合创始人兼首席技术官丹·墨菲 (Dan Murphy) 表示,很多公司都被迫构建自有工具来协调封锁列表、威胁检测和流。这些工具大多由已不再存在的团队构建。因此,没人愿意接手或更新它们,生怕一不小心就弄坏了什么东西。
我们的 Distributed IPS 能减少开发和支持自定义网络控制的开销,交付有力集成,让现有安全工具投资更具价值。
也就是说,Distributed IPS 期望解决的一大问题,更多是人的层面而非技术层面上的。
“流”操作
很多公司都已开发出了自身与之类似的安全编排层,但其中大部分编排层的开发人员后来离职了,顺便带走了这些编排层的操作细节,徒留公司面对“黑盒”难以更新或修复的问题一筹莫展。
这些黑盒解决方案显然不是完美的安全防护措施,甚至现成的 IPS 产品在功能上也差异甚大。
所以 Netography 的 Distributed IPS 的创意——将非安全设备转化成了遥测和威胁情报源,是很有启发性。但这一创意是否真的有用,还倚赖于流数据如何与现场及云端现有防火墙等技术配合使用。
入侵检测的必要性毋庸置疑,NetFlow 的规模扩展能力似乎很适合做入侵检测。关键挑战在于,摄入的流数据能否提供网络安全所需的细粒度分辨率?
发布首个服务的 Netography
2019 年 2 月,定位网络安全的Netography 以种子轮融资 260 万美元进入众人视野。当时该公司预计其自主网络安全平台将于 2019 年第二季度面世。
但相比早些时候宣布的内容,该公司现在推出的各项功能与特性已比最初的预计更为健壮。这次的公测版将为 Netography 带来一些早期客户,帮助该公司进一步打磨产品,并留出时间开发附加功能,以供后续推出正式版时使用。
Netography 由丹·墨菲和兼任该公司首席执行官的 DDoS 缓解先锋巴雷特·莱昂 共同创建。莱昂因创建 DDoS 防护解决方案提供商 Prolexic 而为人所知——Prolexic 在 2014 年被阿卡迈公司以 3.7 亿美元收购。他还创立了 BitGravity、XDN 和 Defense.net,这三家公司分别被塔塔通信、Fortinet 和 F5 Networks 收购。
相关文章
- 1条评论
- 听弧寄认2022-05-30 01:13:20
- 一大问题,更多是人的层面而非技术层面上的。“流”操作很多公司都已开发出了自身与之类似的安全编排层,但其中大部分编排层的开发人员后来离职了,顺便带走了这些编排层的操作细节,徒留公司面对“黑盒”难以更新或修复的问题一筹莫展。这些黑盒解决方案显然不是完美的安