如何有效部署网络行为异常检测(NBAD)设备?

作者:Sender Su  来源:原创内容  发布日期:2022-03-24  最后修改日期:2022-03-28

  就如我在《什么是网络行为异常检测(NBAD)?》(点击这里打开微信公众号链接)和《网络行为异常检测(NBAD)是如何工作的?》(点击这里打开微信公众号链接)中所介绍的,网络行为异常检测,NBAD设备的有效部署,是跟企业的内网环境有关系的。但我这里写的并不是技术性的观点,而是评论性的​观点。

article banner

笔者:国际认证信息系统审计师、软考系统分析师

  这里先补一句,网络行为异常检测,在各种厂商那里会有各种不同的术语名称,比如“网络流量分析”、“网络行为分析”、“网络可视性分析”等等,所以还是要看产品具体实现的功能去辨别这产品是否NBAD设备,是否能达到自己对NBAD设备的使用预期。

  比如某厂的产品描述大致为:(我司产品)是大容量、高性能的数据包采集和分析平台,分布部署在网络的关键节点,对网络通讯数据在包一级进行实时挖掘、分析,对关键业务中的网络异常、应用性能异常和网络行为异常实时发现,并提供异常原因的回溯分析等功能。

  拿住关键词就知道产品的表面情况,然后再看产品白皮书,结合横向对比,基本上就能对产品功能性能有整体印象,最后就是看自己的预期和预算的匹配程度了。

  和常规网络安全产品不同,NBAD设备本质上还是一套“软件”设备,很多厂商提供的NBAD产品实际就是一台高性能高配置专门优化过的X86服务器,在其上运行专有的软件。

  但从设备能否良好工作角度出发去看,会发现网络产品厂商在NBAD设备上有天然优势。这是因为NBAD设备需要对整个内网的所有流量进行分析,而不像传统网络安全设备一般部署在网络边界出口,或者重点防御区域出口这些单点位置。

  要对网络所有流量比如两台终端之间的点对点流量进行分析,就无法避开需要和网络设备有联动能力,而且联动能力越强越好。

  加上NBAD设备的告警、主动应对、事后回放等等功能,都要能集成到企业内网的安全信息事件管理平台(SIEM),这对于能提供一揽子从网络到安全的解决方案的网络产品厂商来说,是巨大的整合优势。

  所以,如果认真对比产商产品说明,可以看到有类似如下的描述,完全就是从网络结构角度出发的:

  支持旁路部署,通过端口镜像采集网络流量数据;支持基于 VLAN、VXLAN、MPLS VLAN、QinQ等方式配置虚拟链路接口......

  而有些产商更干脆直接地在产品说明上指出,配合我司某某型号路由器、交换机、某某安全设备,才能完整地实现只有我们有,别人无法提供的某些核心关键功能。这基本上就是在说我自家产品的联动能力是依赖于私有的网络协议,而不仅仅是通过流量镜像之类的常规做法去​获取流量和实现流量分析。

  所以,归纳起来的结论是:只要预算允许,那就网络设备加上网络安全设备整套体系全上一个厂家的。如果预算不允许,着重考察网络安全设备比如NBAD设备与网络设备的互动能力。

本栏目相关
  •  2024-11-13 挖深网络安全的兔子洞:CPU 微码补丁管理
  •  2024-11-10 安全加固基准搅合国产操作系统上下游关系
  •  2022-05-11 CIS-CAT 配置评估工具介绍及操作实践
  •  2022-03-16 Windows 系统安全基线及软件工具介绍
  •  2022-08-28 网络攻防中的色彩象征
  •  2022-03-11 安装RHEL/CentOS时如何选择配置安全策略?
  •  2023-02-27 注意:TightVNC 2.8.75 释出,修补 zlib 漏洞 CVE-2022-37434
  •  2022-03-25 从甲方角度介绍“CIS互联网安全中心”
  •  2022-03-17 详细了解微软安全合规工具包(SCT)
  • 本站微信订阅号:

    微信订阅号二维码

    本页网址二维码: