就如我在《什么是网络行为异常检测(NBAD)?》(点击这里打开微信公众号链接)和《网络行为异常检测(NBAD)是如何工作的?》(点击这里打开微信公众号链接)中所介绍的,网络行为异常检测,NBAD设备的有效部署,是跟企业的内网环境有关系的。但我这里写的并不是技术性的观点,而是评论性的观点。
笔者:国际认证信息系统审计师、软考系统分析师
这里先补一句,网络行为异常检测,在各种厂商那里会有各种不同的术语名称,比如“网络流量分析”、“网络行为分析”、“网络可视性分析”等等,所以还是要看产品具体实现的功能去辨别这产品是否NBAD设备,是否能达到自己对NBAD设备的使用预期。
比如某厂的产品描述大致为:(我司产品)是大容量、高性能的数据包采集和分析平台,分布部署在网络的关键节点,对网络通讯数据在包一级进行实时挖掘、分析,对关键业务中的网络异常、应用性能异常和网络行为异常实时发现,并提供异常原因的回溯分析等功能。
拿住关键词就知道产品的表面情况,然后再看产品白皮书,结合横向对比,基本上就能对产品功能性能有整体印象,最后就是看自己的预期和预算的匹配程度了。
和常规网络安全产品不同,NBAD设备本质上还是一套“软件”设备,很多厂商提供的NBAD产品实际就是一台高性能高配置专门优化过的X86服务器,在其上运行专有的软件。
但从设备能否良好工作角度出发去看,会发现网络产品厂商在NBAD设备上有天然优势。这是因为NBAD设备需要对整个内网的所有流量进行分析,而不像传统网络安全设备一般部署在网络边界出口,或者重点防御区域出口这些单点位置。
要对网络所有流量比如两台终端之间的点对点流量进行分析,就无法避开需要和网络设备有联动能力,而且联动能力越强越好。
加上NBAD设备的告警、主动应对、事后回放等等功能,都要能集成到企业内网的安全信息事件管理平台(SIEM),这对于能提供一揽子从网络到安全的解决方案的网络产品厂商来说,是巨大的整合优势。
所以,如果认真对比产商产品说明,可以看到有类似如下的描述,完全就是从网络结构角度出发的:
支持旁路部署,通过端口镜像采集网络流量数据;支持基于 VLAN、VXLAN、MPLS VLAN、QinQ等方式配置虚拟链路接口......
而有些产商更干脆直接地在产品说明上指出,配合我司某某型号路由器、交换机、某某安全设备,才能完整地实现只有我们有,别人无法提供的某些核心关键功能。这基本上就是在说我自家产品的联动能力是依赖于私有的网络协议,而不仅仅是通过流量镜像之类的常规做法去获取流量和实现流量分析。
所以,归纳起来的结论是:只要预算允许,那就网络设备加上网络安全设备整套体系全上一个厂家的。如果预算不允许,着重考察网络安全设备比如NBAD设备与网络设备的互动能力。
本站微信订阅号:
本页网址二维码: