未知高级顽固威胁(APT)对全球网络构成日益突出的安全隐患。它们能够绕过现有安全工具,隐藏长达数周之久,寻找适当时机发起攻击 - 并最终造成数千亿美元甚至更大的损失。
虽然它们驻留于网络之中,但贵司现有的安全工具却无法检测到。
网络数据流分析(NTA)是一种有效工具,能够抢在高级顽固威胁给贵司网络造成损失之前,将其查杀。网络数据流分析技术综合运用人工智能、机学、丰富的网络通信元数据及内容审查来检测威胁。它能够检测连网设备之间的网络通信,以及登入和登出网络设备的通信安全性,以此识别潜在威胁。
高级顽固威胁利用现有安全工具中的缺口作恶。基于规则运行的一类安全工具,例如防火墙和入侵检测系统等,须首先掌握威胁特征,方可予以检测。高级顽固威胁具有不明特性,这就意味着其可以成功规避此类工具。此外,高级顽固威胁还能绕过沙盘,感染物联网和自带办公设备;并在无法安装终端安全软件的环境下,攻击数据采集与监测系统网络。诸如安全信息和事件管理等日志管理方案,不仅难以部署并在事后分析事件,还易引发大量的误报。而重度依赖NetFlow和/或IPFIX协议的一类安全软件,由于数据协议缺乏充分而又详尽的网络通信元数据,难以实现有效安全保障,因此也对高级顽固威胁无效。
高级顽固威胁必须有所动作,方可实现其目标,例如感染其他设备、下载TOR路由、扫描开放端口,或与命令及控制服务器通信等。此类行为均会在网络内部生成,有别于正常网络流量的异常通信数据。MENDEL运用高级网络数据流分析技术,在此类异常行为出现的同时实施同步检测,令安全团队能够拦截违规通信,识别网络内部的其他染毒设备,捕捉通信数据以便做进一步分析。MENDEL能够通过核心交换机所映射的网络数据流镜像,检测全网安全状况 - 含连网物联网设备和自带办公设备在内;无需仅仅依赖规则本身,便可实时检测全网范围内的高级不明攻击,创建特定区域档案或分析事件日志。用户无需事先预判发起攻击的时间,也无需事后费时费力进行分析。
网络数据流分析技术还意味着,MENDEL不仅具备未知威胁的高级检测能力,还能针对实施网络通信的每台设备、主机、子网和服务(含7层网络),提供细致入微的图形化显示,深入审核每台设备的进出站数据包,含无法安装终端客户端软件的物联网设备和自带办公设备在内。由于异常事件会影响网络性能,MENDEL还能够针对网络性能进行监测。
最后一点,MENDEL应用网络数据流分析技术的范围,不仅局限于传统IT网络。日益受到更多攻击的数据采集与监控系统(SCADA)/工业控制系统(ICS)网络,也能通过MENDEL所独有的分析功能受到保护。
