攻防演练快开始了。
每年这个时候,大家的状态都差不多。
白天调策略,晚上改基线,群消息一天999+,领导一句“最近别出事”,基本就能让整个团队进入满负荷状态。
设备也开始进入全员待命模式。
边界加固了,策略收紧了,情报更新了,大屏也亮起来了。
事实上,大部分单位的安全体系其实已经很完整了。 边界有防火墙,应用层有WAF,已知威胁由IDS/IPS处理,漏洞扫描在事前做风险收敛,各种日志、告警和态势分析平台也在持续运转。 每一套系统各有分工,在自己的一亩三分地上发光发热。 只是现实里的攻击,从来不会老老实实沿着设备边界展开。 它可能隐藏在一次正常业务通信里,也可能只是一次看似普通的内网访问。
于是,在攻防演练中,我们很多时候会有一种困惑:总觉得哪里不太对,但又说不上来。
更崩溃的是,等到防线被攻破、系统被击穿,我们仍不知道攻击是怎么发生的。
攻击路径靠猜,影响范围靠问,等真正开始排查时,很多关键流量早就过去了,最后只能一边翻日志,一边靠经验拼过程。
在攻防演练里,这种说不清、道不明本身,也是一种代(kou)价(fen)。
全流量的价值,往往就是在这个时候开始体现。
像NTM这样的全流量系统,做的事情其实很基础:持续记录网络中的全部通信过程,留存原始的通信事实,包括那些没有触发告警、没有命中规则、甚至没有被任何系统关注到的流量。 它是忠实的摄像头、网络的黑匣子,把发生过的一切完整记录下来。 当这种“全量事实”持续存在时,网络就变成了一个可以随时回放的现场。
一个IP的异常访问,可以顺着会话快速找到对应的通信链路;一次看似普通的外联行为,也能顺着流量关系拉出整条攻击路径。
很多时候,日志只能告诉你“谁连过谁”,但在全流量中,可以直接看到整个通信是如何发生的,包括端口、协议、会话,以及对应的原始数据包。
在事件结束之后,这些原始通信记录、PCAP数据以及通联关系,又能把整个过程重新还原出来。 攻击从哪里进入、经过了哪些节点、访问过哪些系统、数据如何流动,都会重新变得清晰。
因此我们可以说,全流量更像是一种“兜底”的存在,在安全体系之外,补上一层回看事实的能力。
因为发现问题是第一步,后面还要有定位、分析、溯源、复盘和优化。 而这些,最终都离不开一份完整、连续、可信的网络事实。
那么,在攻防演练实战过程中,全流量到底能帮我们做些什么?具体又该如何使用呢?
为此,我们把在攻防演练中总结出来的实战经验整理成了一份《NTM全流量风险发现场景SOP》,免费为大家奉上。
点击文末“阅读原文”即可下载
里面没有太多概念性内容,更多是一些可以直接上手的方法,希望能在这次攻防演练中为大家提供一点帮助。
当然,如果您对NTM全流量溯源分析系统感兴趣,或者在攻防演练期间需要帮助,也欢迎拨打400-773-3996联系我们。