未知高級頑固威脅(APT)對全球網絡構成日益突出的安全隱患。它們能夠繞過現有安全工具,隱藏長達數週之久,尋找適當時機發起攻擊 - 並最終造成數千美元甚至更大的損失。
它們可能駐留於網絡之中,但公司現有的安全工具卻無法檢測到。
網絡數據流分析(NTA)是一種有效工具,能夠搶在高級頑固威脅給貴公司網絡造成損失之前,將其查殺。網絡數據流分析技術綜合運用人工智能,機器學習,豐富的網絡通信元數據及內容審查來檢測威脅。它能夠檢測連網設備之間的網絡通信,以及登入和登出網絡設備的通信安全性,以此識別潛在威脅。
高級頑固威脅利用現有安全工具中的缺口作惡。基於規則運行的一類安全工具,例如防火牆和入侵檢測系統等,須首先知道威脅才能被檢測到。高級頑固威脅具有不明特性,這就意味著高級頑固威脅可以成功逃避這些工具。此外,高級頑固威脅還能繞過沙箱,感染物聯網和自帶辦公設備;並在無法安裝終端安全軟件的環境下,攻擊數據採集與監測系統網絡。像安全信息和事件管理等日誌管理方案,不僅難以部署並在事後分析事件,還容易引發大量的誤報。而嚴重依賴NetFlow和/或IPFIX協議的一類安全軟件,由於數據協議缺乏充分而又詳盡的網絡通信元數據,難以實現有效安全保障,因此也對高級頑固威脅無效。
高級頑固威脅必須有所動作,方可實現其目標,例如感染其他設備,下載TOR路由,掃描開放端口,或與命令及控制服務器通信等。此類行為均會在網絡內部生成,有別於正常網絡流量的異常通信數據。MENDEL運用高級網絡數據流分析技術,在此類異常行為出現的同時實施同步檢測,令安全團隊能夠攔截違規通信,識別網絡內部的其他受病毒感染的設備,捕捉通信數據以便進一步分析。MENDEL能夠通過核心交換機所映射的網絡數據流鏡像,檢測全網安全狀況 - 含連網物聯網設備和自帶辦公設備在內;無需僅僅依賴規則本身,便可實時檢測全網範圍內的高級不明攻擊,創建特定區域檔案或分析事件日誌。用戶無需事先預判發起攻擊的時間,也無需事後費時費力進行分析。
網絡數據流分析技術還意味著,MENDEL不僅具備未知威脅的高級檢測能力,還能針對實施網絡通信的每台設備,主機,子網和服務(含7層網絡),提供細緻入微的圖形化顯示,深入審核每台設備的進出站數據包,含無法安裝終端客戶端軟件的物聯網設備和自帶辦公設備在內。由於異常事件會影響網絡性能,MENDEL還能夠針對網絡性能進行監測。
最後一點,MENDEL應用網絡數據流分析技術的範圍,不僅局限於傳統的IT網絡。日益受到更多攻擊的數據採集與監控系統(SCADA)/工業控制系統(ICS)網絡,也能通過MENDEL所獨有的分析功能受到保護。
