Netography發布新型IPS 利用網絡流數據做安全分析
責編:gltian |2019-08-06 18:04:007月23日,網絡安全公司 Netography 發布其 Distributed IPS 的公開測試版,該服務被描述為從入侵檢測系統 (IDS) 進化到入侵防御系統 (IPS) 中的重要一步。Netography 公司宣稱,通過綜合運用云和分布式遙測收集功能,Distributed IPS 服務可幫助公司企業持續自動檢測及處理威脅。
據了解,Distributed IPS 采用 Netography 的專利云流數據收集器采集,通過采集多種形式的流數據,比如 Sflow、NetFlow 和 VPC 流,幫助網絡及安全團隊識別并封鎖惡意流量,包括僵尸網絡、DDoS 攻擊、未授權登錄嘗試和數據滲漏。
Netography 首席執行官巴雷特·萊昂 (Barrett Lyon)表示,交換機、路由器和其他網絡設備都是流服務。此類設備產生的流數據一直以來都被當成帶寬管理之類功能所用的遙測數據。但仔細審查就會發現,這些信息還有別的用處。
“流”的起源
數據流經路由器、交換機和散布網絡各處的其他網絡設備時產生并匯集的信息便稱之為 “流 (flow) ”,網絡控制與管理組件通過流數據相互溝通。
NetFlow 是首先出現的流格式,由思科公司在上世紀九十年代中期引入,為了使網絡管理員能夠分析網絡流量的源頭與去向,以及性能狀況和擁塞原因。大約十年后,該技術加入互聯網工程任務組 (IETF) 標準過程行列。這一標準化流被稱為互聯網協議流信息輸出 (IPFIX:Internet Protocol Flow Information Export),為大量網絡基礎設施供應商所采用。
市面上還有其他流服務,其中很多都是由單一提供商支持的專屬服務。Sflow 則是個例外,有超過 20 多家供應商支持,包括思科之類有自主專利流格式的供應商。
分布式 IPS 能以多種方式處理網絡流信息。流數據的分析方法就有四種,分析時可觸發不同異常。異常傳送給 API,DevOps 開發人員就能以之構造出相應的處理動作。比如說,可以通過 BGP 或 BGP 流規范訂閱自身黑名單饋送,或者訂閱其他黑名單,然后比對網絡流量源地址及目的地址條目是否為黑名單上榜地址。
分辨率問題
Distributed IPS 可檢測分布式拒絕服務 (DDoS) 攻擊、僵尸網絡、數據抽取、登錄嘗試及其他非法網絡活動。Netography 云引擎收集并分析流數據,然后通過自身或客戶(或委托)開發的 API 執行相應操作。
但也有觀察家質疑該網絡控制技術是否足以保證安全。
里斯·莫拉雷斯 (Chris Morales) 是人工智能網絡安全檢測公司 Vectra 安全分析主管,他表示:NetFlow 的問題在于極低的分辨率。就好像試圖按 1970 年代的寶麗來拍立得照片重繪《蒙娜麗莎》一樣。這么低的分辨率不足以高效檢測隱藏威脅。
Netography 聯合創始人兼首席技術官丹·墨菲 (Dan Murphy) 表示,很多公司都被迫構建自有工具來協調封鎖列表、威脅檢測和流。這些工具大多由已不再存在的團隊構建。因此,沒人愿意接手或更新它們,生怕一不小心就弄壞了什么東西。
我們的 Distributed IPS 能減少開發和支持自定義網絡控制的開銷,交付有力集成,讓現有安全工具投資更具價值。
也就是說,Distributed IPS 期望解決的一大問題,更多是人的層面而非技術層面上的。
“流”操作
很多公司都已開發出了自身與之類似的安全編排層,但其中大部分編排層的開發人員后來離職了,順便帶走了這些編排層的操作細節,徒留公司面對“黑盒”難以更新或修復的問題一籌莫展。
這些黑盒解決方案顯然不是完美的安全防護措施,甚至現成的 IPS 產品在功能上也差異甚大。
所以 Netography 的 Distributed IPS 的創意——將非安全設備轉化成了遙測和威脅情報源,是很有啟發性。但這一創意是否真的有用,還倚賴于流數據如何與現場及云端現有防火墻等技術配合使用。
入侵檢測的必要性毋庸置疑,NetFlow 的規模擴展能力似乎很適合做入侵檢測。關鍵挑戰在于,攝入的流數據能否提供網絡安全所需的細粒度分辨率?
發布首個服務的 Netography
2019 年 2 月,定位網絡安全的Netography 以種子輪融資 260 萬美元進入眾人視野。當時該公司預計其自主網絡安全平臺將于 2019 年第二季度面世。
但相比早些時候宣布的內容,該公司現在推出的各項功能與特性已比最初的預計更為健壯。這次的公測版將為 Netography 帶來一些早期客戶,幫助該公司進一步打磨產品,并留出時間開發附加功能,以供后續推出正式版時使用。
Netography 由丹·墨菲和兼任該公司首席執行官的 DDoS 緩解先鋒巴雷特·萊昂 共同創建。萊昂因創建 DDoS 防護解決方案提供商 Prolexic 而為人所知——Prolexic 在 2014 年被阿卡邁公司以 3.7 億美元收購。他還創立了 BitGravity、XDN 和 Defense.net,這三家公司分別被塔塔通信、Fortinet 和 F5 Networks 收購。