当涉及到威胁检测和响应时,了解网络行为至关重要。根据ESG公司的研究,87%的组织使用网络流量分析(NTA)工具进行威胁检测和响应,43%的组织表示网络流量分析(NTA)是检测和响应威胁的“第一道防线”。
正如网络安全专业人士经常说的那样,“网络不会撒谎。”由于网络攻击者使用网络通信进行恶意软件分发、命令和控制以及数据泄露,经过培训的专业人员应该能够使用正确的工具、时间、监督来发现恶意活动。
而网络流量分析(NTA)是安全分析和操作的重要工具。但安全运营中心(SOC)人员认为的最重要的网络流量分析(NTA)能力是什么?ESG公司向347名网络安全专业人员询问了这个问题,以下是他们的回答:
•44%的受访者表示,网络流量分析(NTA)工具必须内置分析功能,以帮助分析师改进和加速威胁检测。这些分析可以建立在机器学习算法、启发式算法、脚本等基础上。这里的要点是,分析人员希望网络流量分析(NTA)工具能够处理数据并提供高保真警报,而不是无用的示警。
•44%的受访者表示,网络流量分析(NTA)工具必须提供威胁情报服务或集成功能,以便对可疑/恶意网络行为与已知威胁进行比较。威胁情报综合已成为所有安全工具的关键所在,例如对MITRE ATT&CK框架(MAF)越来越感兴趣。因此,必须从一开始就将威胁情报纳入网络流量分析(NTA)工具中。
•38%的受访者表示,网络流量分析(NTA)工具必须能够监控物联网(IoT)流量、协议、设备等。但相信在未来12至18个月内,企业中的所有网络流量分析(NTA)工具都需要物联网支持。
•37%的受访者表示,网络流量分析(NTA)工具必须能够监控所有连接的网络节点,并在连接新网络节点时发出警报。换句话说,安全专业人员希望网络流量分析(NTA)工具采用这种传统的网络准入控制 (NAC)功能,并在未经批准的设备连接时发出警报。
•37%的受访者表示,网络流量分析(NTA)工具必须能够监控云计算流量,并报告威胁和异常情况。亚马逊公司在最近召开的Re:Inforce会议上宣布推出新的虚拟私有云(VPC)流量监控功能,提供对云计算网络的可视性。这正是用户要求的连续云计算网络监控类型。网络流量分析(NTA)工具必须能够跨亚马逊网络服务(AWS)、Microsoft Azure、谷歌云平台(GCP)等平台利用这样的云计算网络监控功能,以提供端到端的网络安全可见性。
如今市场上有很多很好的网络流量分析(NTA)工具,那么如何选择符合企业要求的工具呢?在此对首席信息安全官的建议是,通过采用具有以上所述六大功能的网络流量分析(NTA)工具来启动其信息邀请书(RFI)/建议邀请书(RFP)流程。
京公网安备 11010502049343号