HOME > 解決方案

一魚多吃,網路指標也有資安的 Insight

2021/11/30






透過網路安全分析將網路攻擊風險降至最低

網路攻擊的形式有很多種,但它們幾乎都有一個共同特徵:都是透過網路進行的。雖然也有例外,但網路通常是攻擊者用來對企業發起任何漏洞利用、資料竊取或其他入侵行為的進入點。

這意味著如果追蹤網路安全分析結果,IT 團隊和安全工程人員就可以取得所面臨的大多數網路威脅的集中可見度,還可以監控他們回應威脅的有效性。

為了大幅降低被網路攻擊得手的風險,以及減輕一旦發生時所受的影響,IT 團隊應該追蹤各種網路指標。本文將提供應該監控哪些關鍵指標類型的入門知識,以協助保持網路安全。

網路指標和安全性
在深入研究要追蹤的指標之前,讓我們多討論一下網路指標和安全性之間的關係。

對於大多數團隊來說,追蹤網路指標的主要原因是為了管理網路效能。特別是在當今高度複雜且以軟體定義的多層、多雲網路架構環境中,監控延遲、封包遺失、輸送輛和頻寬等指標,對於發現和分析可能影響客戶的網路效能問題非常重要。

但這些和網路營運有關的資料也可以提供安全性方面的見解。當攻擊者試圖闖入網路時,網路指標異常通常是最早出現的跡象之一。

因此,儘管安全性不是監控網路的唯一原因,但防禦網路攻擊這個網路監控使用案例,重要性和效能管理同等重要。

用於監控安全性的網路指標
為了偵測和回應安全威脅,IT 團隊應該監控哪些類型的網路指標?當然,確切的答案取決於您的網路架構和所面臨的威脅。但一般來說,以下網路指標可為改進安全分析提供良好的基準。
  • 頻寬消耗
如果頻寬使用量突然激增,可能是惡意活動出現的結果,例如是 DDoS 攻擊的一部分,正在下載敏感資料或使用假流量淹沒網路。
透過識別異常的頻寬模式,團隊可以識別他們或許無法從其他安全監控捕捉到的可疑活動。
 
  • 重新傳輸
當封包未能到達目的地並需要再次傳送時,就會出現重新傳輸 (retransmission) 的情形。這可能是攻擊的副產品之一,目的是使網路不堪負擔或使某些運作正常的端點離線。除頻寬外,我們還應將重新傳輸率的異常模式視為潛在攻擊並進行調查。
  • 開啟連線
雖然網路中開啟連線的總數 (代表網路上活動中的端點總數) 可能會因合理的原因快速改變,但在一個連線數通常穩定的網路中,總數突然發生變化也可能代表遭受入侵。如果新增連線是來自過去沒有見過的端點,更應該小心。
  • 開啟連接埠
追蹤哪些端點開啟了哪些連接埠,以及連接埠設定發生哪些變化,是深入了解是否遭到攻擊的另一種方法。被攻擊的主機可能會打開通常不會開啟的連接埠。
此外,某些端點可能是安全的,但無意間開啟了不安全的連接埠。尋找和關閉這些連接埠是主動保護網路的一種方法。
  • IP 地址衝突
通常沒有正當理由讓兩個端點試圖使用相同的 IP 地址。但這種情況確實會發生,有時是由於設定錯誤 (例如某主機使用靜態 IP,但該 IP 已透過 DHCP 分配給另一台主機),有時是由於攻擊者試圖欺騙端點。因此,追蹤 IP 地址衝突是發現潛在惡意活動的一種方法。


結論


同樣,光是這一份支持安全分析的網路指標列表還不夠。檢視延遲等資料也可能會有幫助,在攻擊期間這些資料也可能會出現異常。安全團隊可能會想追蹤如網路攻擊平均偵測時間 (MTTD) 和平均解決時間 (MTTR) 之類的指標,儘管它們不是特定於網路的指標。

不過,無論哪種方式,監控網路都應該成為任何現代網路安全戰略的支柱之一。

想了解更多現代網路安全趨勢的資訊嗎?透過 Splunk《2021 年安全現況》了解對全球業界領導者的調查結果。

----------------------------------------------------------------------------------------------------------------

這是 Chris Tozzi 的客座部落格文章,他是 Fixate IO 的內容資深編輯和 DevOps 分析師。Chris Tozzi 曾擔任記者和 Linux 系統管理員。他對開放原始碼、敏捷式基礎架構和網路技術特別感興趣。他是 Fixate IO 的內容資深編輯和 DevOps 分析師。他的最新著作《樂趣和獲利:自由和開放原始碼軟體革命的歷史》 於 2017 年出版。