在網(wǎng)絡(luò)中，威脅是指可能影響其平穩(wěn)運(yùn)行的惡意元素，因此，對(duì)于任何希望避免任何財(cái)政損失或生產(chǎn)力下降機(jī)會(huì)的組織來說，威脅檢測(cè)都是必要的。為了先發(fā)制人地抵御來自不同來源的任何此類攻擊，需要有效的威脅檢測(cè)情報(bào)。

威脅檢測(cè)可以是用于發(fā)現(xiàn)對(duì)網(wǎng)絡(luò)或應(yīng)用程序的威脅的任何技術(shù)，威脅檢測(cè)的目的是在威脅實(shí)際影響目標(biāo)之前消除威脅。

威脅參與者進(jìn)入網(wǎng)絡(luò)核心的路徑

惡意軟件是一種可能對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和相關(guān)設(shè)備具有敵意和危險(xiǎn)的軟件，它通常是通過來自非法網(wǎng)站的惡意文件引入系統(tǒng)的。

Active Directory 是有關(guān)網(wǎng)絡(luò)的信息存儲(chǔ)庫(kù)，這使得詐騙者成為未經(jīng)授權(quán)訪問網(wǎng)絡(luò)的目標(biāo)，然后橫向擴(kuò)展到鏈接到同一網(wǎng)絡(luò)的多個(gè)設(shè)備。

攻擊的偵察階段或初步階段涉及收集有關(guān)目標(biāo)的網(wǎng)絡(luò)和安全配置文件的信息，然后，使用收集到的信息來確定合適的軌跡，以訪問潛在的主機(jī)網(wǎng)絡(luò)。端口掃描是通過了解網(wǎng)絡(luò)架構(gòu)來建立進(jìn)入網(wǎng)絡(luò)的路徑的最廣泛使用的技術(shù)之一。

網(wǎng)絡(luò)中的開放端口充當(dāng)在其上運(yùn)行的應(yīng)用程序的網(wǎng)關(guān)，因?yàn)槊總€(gè)端口都有一個(gè)特定的應(yīng)用程序偵聽它。黑客采用的端口掃描過程旨在建立黑客與端口上運(yùn)行的服務(wù)之間的通信。此步驟進(jìn)一步幫助威脅參與者橫向深入網(wǎng)絡(luò)。網(wǎng)絡(luò)中的橫向擴(kuò)展是指由于缺乏持續(xù)身份驗(yàn)證而逐漸收集各種設(shè)備的憑據(jù)。這是傳統(tǒng)網(wǎng)絡(luò)中存在的問題，在傳統(tǒng)網(wǎng)絡(luò)中，單個(gè)安全漏洞可能會(huì)危及整個(gè)網(wǎng)絡(luò)環(huán)境。橫向擴(kuò)展是一種高級(jí)持續(xù)性威脅，往往會(huì)在網(wǎng)絡(luò)中長(zhǎng)時(shí)間未被發(fā)現(xiàn)。但這種垂直運(yùn)動(dòng)的含義是什么？

這就是實(shí)際問題，即分布式拒絕服務(wù)，進(jìn)入了安全管理員的一長(zhǎng)串困境。當(dāng)網(wǎng)絡(luò)中的所有端口都被非法流量用完時(shí)，網(wǎng)絡(luò)服務(wù)就會(huì)中斷，最終網(wǎng)絡(luò)將被視為無法使用。因此，網(wǎng)絡(luò)作為一個(gè)實(shí)體所暴露的漏洞是多方面的。

漏洞管理

脆弱性是一個(gè)廣義的術(shù)語(yǔ)，有多種表現(xiàn)形式。但是，所有形式的漏洞都可能允許攻擊者訪問您的網(wǎng)絡(luò)并利用其資源。其中一種形式的漏洞是數(shù)據(jù)包嗅探，在軟件數(shù)據(jù)包嗅探中，網(wǎng)絡(luò)配置更改為混雜模式，以便于記錄數(shù)據(jù)包。一旦數(shù)據(jù)包被訪問，甚至其標(biāo)頭也可能被更改，從而導(dǎo)致巨大的數(shù)據(jù)丟失。

MITM攻擊也是一種威脅，可能會(huì)危及鏈接到特定網(wǎng)絡(luò)的用戶的敏感數(shù)據(jù)。在 MITM 攻擊中，攻擊者攔截實(shí)際用戶提出的利用實(shí)際網(wǎng)絡(luò)服務(wù)的請(qǐng)求。攔截模式可能會(huì)有所不同，但 IP 欺騙是最常見的方法。每個(gè)設(shè)備接口的IP地址是唯一的，通過網(wǎng)絡(luò)路徑傳輸?shù)臄?shù)據(jù)與IP數(shù)據(jù)包相關(guān)聯(lián)。攻擊者欺騙數(shù)據(jù)包的標(biāo)頭地址，并將流量重定向到入侵者的設(shè)備，使攻擊者能夠竊取信息。入侵的作案手法可能各不相同，但破壞網(wǎng)絡(luò)的可能性仍然很高。

全面監(jiān)控和檢測(cè)這些威脅超出了支持自動(dòng)檢測(cè)端口的掃描工具的范圍，然而，端口漏洞并不是唯一需要全面管理的麻煩威脅。

漏洞管理在保護(hù)網(wǎng)絡(luò)免受威脅方面發(fā)揮著關(guān)鍵作用，漏洞管理必須是一個(gè)持續(xù)的循環(huán)過程，這樣才能足夠快地識(shí)別和修復(fù)威脅，以幫助網(wǎng)絡(luò)維持運(yùn)行。

為什么取證日志分析很重要

保護(hù)網(wǎng)絡(luò)免受威脅和漏洞是任何網(wǎng)絡(luò)監(jiān)控工具的主要目的。但是，要實(shí)現(xiàn)這一目標(biāo)，存在許多挑戰(zhàn)，包括：

• 找到問題的根源：在網(wǎng)絡(luò)中遇到問題后，有必要立即提出解決該問題的辦法，為此，應(yīng)毫不含糊地確定問題的根源。但這并不總是一項(xiàng)簡(jiǎn)單的任務(wù)，考慮到與網(wǎng)絡(luò)相關(guān)的設(shè)備和接口的數(shù)量。
• 關(guān)聯(lián)從各種來源收集的日志：解析收集的日志是一項(xiàng)繁瑣的操作，尤其是當(dāng)日志是從復(fù)雜的網(wǎng)絡(luò)體系結(jié)構(gòu)中收集的時(shí)，有防火墻日志、事件日志、路由器日志、DNS 日志等等。如果沒有適當(dāng)?shù)娜罩娟P(guān)聯(lián)軟件，關(guān)聯(lián)它們可能會(huì)很乏味。
• 持續(xù)評(píng)估網(wǎng)絡(luò)安全：大型網(wǎng)絡(luò)可能面臨外部和內(nèi)部威脅，通過使用可觀測(cè)性，可以加快隔離這些威脅并防止未來攻擊的速度。

可觀測(cè)性在威脅檢測(cè)中的作用

可觀測(cè)性僅作用于收集的遙測(cè)數(shù)據(jù)，包括日志、指標(biāo)和跟蹤。作為可觀測(cè)性的關(guān)鍵支柱，日志記錄關(guān)鍵事件，并通過使用網(wǎng)絡(luò)路徑分析和根本原因分析等功能幫助設(shè)計(jì)有效的威脅情報(bào)策略。通過以特定方式分析根本原因，可以創(chuàng)建有關(guān)可能對(duì)系統(tǒng)或 Web 應(yīng)用程序產(chǎn)生負(fù)面影響的各種異常的信息集合。

可觀測(cè)性的發(fā)展有助于簡(jiǎn)化威脅檢測(cè)過程，因?yàn)樗谌斯ぶ悄芎蜋C(jī)器學(xué)習(xí)的幫助下預(yù)測(cè)分類威脅。這使您能夠深入了解網(wǎng)絡(luò)的實(shí)際拓?fù)?#xff0c;并創(chuàng)建一個(gè)配置文件，通過日志和報(bào)告對(duì)偏差發(fā)出警報(bào)。持續(xù)反饋是構(gòu)建可觀測(cè)性的概念，從日志生成的反饋有助于威脅檢測(cè)?？捎^測(cè)性不容忽視;現(xiàn)代企業(yè)解決方案越來越多地使用它來為客戶提供服務(wù)，同時(shí)遵守隱私規(guī)則并滿足 SLA 的關(guān)鍵要素。

借助可觀測(cè)性，所有傳入和傳出的數(shù)據(jù)包都會(huì)根據(jù)一組預(yù)先確定的規(guī)則進(jìn)行審查。這些規(guī)則是黑客的目標(biāo)，因?yàn)楦乃鼈兛赡軙?huì)破壞網(wǎng)絡(luò)應(yīng)用程序的功能?；诳捎^測(cè)性的適當(dāng)防火墻分析器可以快速響應(yīng)在其監(jiān)控下對(duì)防火墻實(shí)施的微小更改。

實(shí)用的可觀測(cè)性解決方案

OpManager Plus 已將可觀測(cè)性納入其行列。它改進(jìn)了其功能，以滿足企業(yè)在阻止威脅方面的主動(dòng)監(jiān)控需求，并且還充分利用了取證日志在實(shí)現(xiàn)這一目標(biāo)方面的潛力，是利用可觀測(cè)性密切關(guān)注網(wǎng)絡(luò)應(yīng)用程序的完美解決方案。可以：

• 獲取有關(guān)安全性、帶寬和合規(guī)性的全面報(bào)告，確保網(wǎng)絡(luò)安全永不受到損害，這些安全報(bào)告可用于了解可能影響網(wǎng)絡(luò)的所有安全威脅，這些報(bào)告提供了有關(guān)安全策略是否需要修訂的見解。
• 對(duì)典型的業(yè)務(wù)流量和網(wǎng)絡(luò)異常進(jìn)行分類，以使用由高級(jí)安全分析模塊（ASAM）提供支持的網(wǎng)絡(luò)異常檢測(cè)來保護(hù)您的網(wǎng)絡(luò)。
• 創(chuàng)建根本原因分析配置文件，并找到影響網(wǎng)絡(luò)的問題的根本原因。這有助于可觀測(cè)性構(gòu)建威脅數(shù)據(jù)庫(kù)，從而幫助威脅檢測(cè)。OpManager Plus將幫助創(chuàng)建一個(gè)專用的配置文件，該配置文件由多個(gè)數(shù)據(jù)監(jiān)視器的集合組成，基于該配置文件可以得出有關(guān)影響網(wǎng)絡(luò)的問題的結(jié)論。
• 防止內(nèi)部攻擊。外部威脅并不是唯一可能影響網(wǎng)絡(luò)的威脅類別，威脅也可能來自網(wǎng)絡(luò)內(nèi)部。這需要一個(gè)智能的內(nèi)部檢測(cè)工具來監(jiān)控組織內(nèi)員工的活動(dòng)?？梢允褂脙?nèi)部威脅檢測(cè)工具持續(xù)監(jiān)控 URL、影子 IT、防火墻警報(bào)等。
• 通過定期監(jiān)控網(wǎng)絡(luò)中的所有交換機(jī)端口來提高網(wǎng)絡(luò)安全性。各種應(yīng)用程序與網(wǎng)絡(luò)中的設(shè)備之間的流量流通過這些交換機(jī)端口進(jìn)行。OpUtils插件提供了一個(gè)高效的端口掃描工具，可以高度了解這些端口，并收集有關(guān)網(wǎng)絡(luò)中端口可用性的寶貴信息。
• 檢測(cè)網(wǎng)絡(luò)中的異常流量活動(dòng)，這可能意味著存在安全威脅，攻擊者試圖用異常數(shù)量的數(shù)據(jù)包或請(qǐng)求填充真實(shí)用戶的設(shè)備。使用NetFlow Analyzer插件密切監(jiān)控來自任何可疑來源的流量的任何偏離。