信息化觀察網(wǎng)

不久前，網(wǎng)絡(luò)安全公司 Netography 發(fā)布其 Distributed IPS 的公開(kāi)測(cè)試版，該服務(wù)被描述為從入侵檢測(cè)系統(tǒng) (IDS) 進(jìn)化到入侵防御系統(tǒng) (IPS) 中的重要一步。Netography 公司宣稱(chēng)，通過(guò)綜合運(yùn)用云和分布式遙測(cè)收集功能，Distributed IPS 服務(wù)可幫助公司企業(yè)持續(xù)自動(dòng)檢測(cè)及處理威脅。

據(jù)了解，Distributed IPS 采用 Netography 的專(zhuān)利云流數(shù)據(jù)收集器采集，通過(guò)采集多種形式的流數(shù)據(jù)，比如 Sflow、NetFlow 和 VPC 流，幫助網(wǎng)絡(luò)及安全團(tuán)隊(duì)識(shí)別并封鎖惡意流量，包括僵尸網(wǎng)絡(luò)、DDoS 攻擊、未授權(quán)登錄嘗試和數(shù)據(jù)滲漏。

Netography 首席執(zhí)行官巴雷特·萊昂 (Barrett Lyon)表示，交換機(jī)、路由器和其他網(wǎng)絡(luò)設(shè)備都是流服務(wù)。此類(lèi)設(shè)備產(chǎn)生的流數(shù)據(jù)一直以來(lái)都被當(dāng)成帶寬管理之類(lèi)功能所用的遙測(cè)數(shù)據(jù)。但仔細(xì)審查就會(huì)發(fā)現(xiàn)，這些信息還有別的用處。

“流”的起源

數(shù)據(jù)流經(jīng)路由器、交換機(jī)和散布網(wǎng)絡(luò)各處的其他網(wǎng)絡(luò)設(shè)備時(shí)產(chǎn)生并匯集的信息便稱(chēng)之為 “流 (flow) ”，網(wǎng)絡(luò)控制與管理組件通過(guò)流數(shù)據(jù)相互溝通。

NetFlow 是首先出現(xiàn)的流格式，由思科公司在上世紀(jì)九十年代中期引入，為了使網(wǎng)絡(luò)管理員能夠分析網(wǎng)絡(luò)流量的源頭與去向，以及性能狀況和擁塞原因。大約十年后，該技術(shù)加入互聯(lián)網(wǎng)工程任務(wù)組 (IETF) 標(biāo)準(zhǔn)過(guò)程行列。這一標(biāo)準(zhǔn)化流被稱(chēng)為互聯(lián)網(wǎng)協(xié)議流信息輸出 (IPFIX：Internet Protocol Flow Information Export)，為大量網(wǎng)絡(luò)基礎(chǔ)設(shè)施供應(yīng)商所采用。

市面上還有其他流服務(wù)，其中很多都是由單一提供商支持的專(zhuān)屬服務(wù)。Sflow 則是個(gè)例外，有超過(guò) 20 多家供應(yīng)商支持，包括思科之類(lèi)有自主專(zhuān)利流格式的供應(yīng)商。

分布式 IPS 能以多種方式處理網(wǎng)絡(luò)流信息。流數(shù)據(jù)的分析方法就有四種，分析時(shí)可觸發(fā)不同異常。異常傳送給 API，DevOps 開(kāi)發(fā)人員就能以之構(gòu)造出相應(yīng)的處理動(dòng)作。比如說(shuō)，可以通過(guò) BGP 或 BGP 流規(guī)范訂閱自身黑名單饋送，或者訂閱其他黑名單，然后比對(duì)網(wǎng)絡(luò)流量源地址及目的地址條目是否為黑名單上榜地址。

分辨率問(wèn)題

Distributed IPS 可檢測(cè)分布式拒絕服務(wù) (DDoS) 攻擊、僵尸網(wǎng)絡(luò)、數(shù)據(jù)抽取、登錄嘗試及其他非法網(wǎng)絡(luò)活動(dòng)。Netography 云引擎收集并分析流數(shù)據(jù)，然后通過(guò)自身或客戶(hù)（或委托）開(kāi)發(fā)的 API 執(zhí)行相應(yīng)操作。

但也有觀察家質(zhì)疑該網(wǎng)絡(luò)控制技術(shù)是否足以保證安全。

里斯·莫拉雷斯 (Chris Morales) 是人工智能網(wǎng)絡(luò)安全檢測(cè)公司 Vectra 安全分析主管，他表示：NetFlow 的問(wèn)題在于極低的分辨率。就好像試圖按 1970 年代的寶麗來(lái)拍立得照片重繪《蒙娜麗莎》一樣。這么低的分辨率不足以高效檢測(cè)隱藏威脅。

Netography 聯(lián)合創(chuàng)始人兼首席技術(shù)官丹·墨菲 (Dan Murphy) 表示，很多公司都被迫構(gòu)建自有工具來(lái)協(xié)調(diào)封鎖列表、威脅檢測(cè)和流。這些工具大多由已不再存在的團(tuán)隊(duì)構(gòu)建。因此，沒(méi)人愿意接手或更新它們，生怕一不小心就弄壞了什么東西。

我們的 Distributed IPS 能減少開(kāi)發(fā)和支持自定義網(wǎng)絡(luò)控制的開(kāi)銷(xiāo)，交付有力集成，讓現(xiàn)有安全工具投資更具價(jià)值。

也就是說(shuō)，Distributed IPS 期望解決的一大問(wèn)題，更多是人的層面而非技術(shù)層面上的。

“流”操作

很多公司都已開(kāi)發(fā)出了自身與之類(lèi)似的安全編排層，但其中大部分編排層的開(kāi)發(fā)人員后來(lái)離職了，順便帶走了這些編排層的操作細(xì)節(jié)，徒留公司面對(duì)“黑盒”難以更新或修復(fù)的問(wèn)題一籌莫展。

這些黑盒解決方案顯然不是完美的安全防護(hù)措施，甚至現(xiàn)成的 IPS 產(chǎn)品在功能上也差異甚大。

所以 Netography 的 Distributed IPS 的創(chuàng)意——將非安全設(shè)備轉(zhuǎn)化成了遙測(cè)和威脅情報(bào)源，是很有啟發(fā)性。但這一創(chuàng)意是否真的有用，還倚賴(lài)于流數(shù)據(jù)如何與現(xiàn)場(chǎng)及云端現(xiàn)有防火墻等技術(shù)配合使用。

入侵檢測(cè)的必要性毋庸置疑，NetFlow 的規(guī)模擴(kuò)展能力似乎很適合做入侵檢測(cè)。關(guān)鍵挑戰(zhàn)在于，攝入的流數(shù)據(jù)能否提供網(wǎng)絡(luò)安全所需的細(xì)粒度分辨率？

發(fā)布首個(gè)服務(wù)的 Netography

2019 年 2 月，定位網(wǎng)絡(luò)安全的Netography 以種子輪融資 260 萬(wàn)美元進(jìn)入眾人視野。當(dāng)時(shí)該公司預(yù)計(jì)其自主網(wǎng)絡(luò)安全平臺(tái)將于 2019 年第二季度面世。

但相比早些時(shí)候宣布的內(nèi)容，該公司現(xiàn)在推出的各項(xiàng)功能與特性已比最初的預(yù)計(jì)更為健壯。這次的公測(cè)版將為 Netography 帶來(lái)一些早期客戶(hù)，幫助該公司進(jìn)一步打磨產(chǎn)品，并留出時(shí)間開(kāi)發(fā)附加功能，以供后續(xù)推出正式版時(shí)使用。

Netography 由丹·墨菲和兼任該公司首席執(zhí)行官的 DDoS 緩解先鋒巴雷特·萊昂 共同創(chuàng)建。萊昂因創(chuàng)建 DDoS 防護(hù)解決方案提供商 Prolexic 而為人所知——Prolexic 在 2014 年被阿卡邁公司以 3.7 億美元收購(gòu)。他還創(chuàng)立了 BitGravity、XDN 和 Defense.net，這三家公司分別被塔塔通信、Fortinet 和 F5 Networks 收購(gòu)。