信息來源：比特網(wǎng)

       在好萊塢大片中，黑客就像是使用計算機的黑魔導(dǎo)士，可以通過利用計算機炸毀房屋，關(guān)閉公路，釋放瘟疫引發(fā)混亂。也許很多人并不相信，但事實上，電影中的這些橋段總是不斷上演!某國山寨 Facebook 網(wǎng)站剛上線便被一名 18 歲的蘇格蘭大學(xué)生黑掉，F(xiàn)acebook CEO 小扎自己的 Twitter 和 Pinterest 帳戶雙雙被盜……在現(xiàn)實中，黑客行動的刺激程度絕對不亞于電影。

       尤其是在數(shù)字經(jīng)濟的浪潮下，黑客的任何行動造成任何信息的失竊，都等同于企業(yè)資產(chǎn)的流失。數(shù)據(jù)安全成為一個極為重要的挑戰(zhàn)!

不信？!舉個小栗子~

       在現(xiàn)實中，黑客是在不斷成長的!現(xiàn)在，黑進企業(yè)的網(wǎng)絡(luò)只是黑客的第一步，做法之一就是，他們會把網(wǎng)絡(luò)內(nèi)的一個主機當(dāng)做跳板，從用戶的數(shù)據(jù)庫中拖取數(shù)據(jù)。這個數(shù)據(jù)讀取過程通常會傳輸大量數(shù)據(jù)，時間長短不一。而這個漫長而且危險的過程，網(wǎng)絡(luò)邊界的防火墻卻是看不到的。

好怕怕，那該怎么辦？

思科的 NaaS 方案實現(xiàn)安全“面布防”

       思科 NaaS 方案通過網(wǎng)絡(luò)來收集網(wǎng)絡(luò)傳送的所有信息，然后利用 Netflow 協(xié)議發(fā)送至數(shù)據(jù)采集設(shè)備，這樣所有利用網(wǎng)絡(luò)的傳輸將一覽無余。接下來，數(shù)據(jù)分析設(shè)備對采集的數(shù)據(jù)進行大數(shù)據(jù)分析，從數(shù)據(jù)中發(fā)現(xiàn)安全隱患。例如，發(fā)現(xiàn)異常流量主機，發(fā)現(xiàn)違規(guī)訪問，發(fā)現(xiàn)蠕蟲病毒傳播，發(fā)現(xiàn)數(shù)據(jù)竊取行為。利用此方案可以對網(wǎng)絡(luò)的流量及所有的訪問行為一覽無余，真正做到無死角網(wǎng)絡(luò)監(jiān)控，安全“面布防”。

       思科正是利用路由交換設(shè)備部署位置的特點，結(jié)合了思科路由交換設(shè)備的功能，推出了 “Network as a sensor” 方案，完美的解決了這個問題。

思科NaaS實現(xiàn)主機異常行為檢測

       千萬不要小看一個 ACK 數(shù)據(jù)包!千萬不要小看一個 ACK 數(shù)據(jù)包!千萬不要小看一個 ACK 數(shù)據(jù)包!一旦重復(fù)大量發(fā)送，這種數(shù)據(jù)流就會對網(wǎng)絡(luò)設(shè)備造成影響，特別是網(wǎng)絡(luò)中的 4-7 層設(shè)備對此類異常流量抵抗能力弱，輕的造成設(shè)備高 CPU 利用率，網(wǎng)絡(luò)處理速度變慢時延變大。嚴重時候直接會導(dǎo)致網(wǎng)絡(luò)設(shè)備癱瘓，從而網(wǎng)絡(luò)癱瘓。

       所以，每個數(shù)據(jù)包的正常并不代表主機就正常!

       思科 NaaS 方案中，數(shù)據(jù)采集分析設(shè)備 Stealthwatch Management Console 在收集到 Netflow 信息后，會對信息進行存儲，然后進行大數(shù)據(jù)分析。針對網(wǎng)絡(luò)中出現(xiàn)流量的主機進行流量行為建模，每個主機的流量統(tǒng)計特征都不一樣。

       思科 NaaS 方案中，數(shù)據(jù)分析設(shè)備 Stealthwatch 對自身收集的網(wǎng)絡(luò)訪問大數(shù)據(jù)進行整理建模后，進一步在數(shù)據(jù)中進行大數(shù)據(jù)分析來發(fā)現(xiàn)各類違規(guī)。Stealthwatch 設(shè)計了大量的異常行為事件模板，從數(shù)據(jù)中提取安全事件。這些安全事件包括地址掃描、暴力破解、各類泛洪攻擊、以及平時非常難檢測的隱藏超長連接等等。內(nèi)置超過 100 個安全異常行為，同時用戶還可以定制自己的異常行為模板，讓 NaaS 幫用戶進行數(shù)據(jù)分析并告警。利用這些異常行為分析，能夠幫用戶發(fā)現(xiàn)網(wǎng)絡(luò)滲漏、數(shù)據(jù)竊取以及 DDOS 等惡意行為。

       在產(chǎn)生事件告警后，管理人員還可以通過 Stealthwatch 進行相應(yīng)設(shè)定，通過調(diào)用第三方設(shè)備對安全事件進行自動響應(yīng)。例如：調(diào)用思科的路由器下發(fā) null0 路由，將產(chǎn)生異常的主機對網(wǎng)路的攻擊進行阻斷?；蛘哒{(diào)用 ISE，將網(wǎng)絡(luò)中接入的異常主機物理端口進行關(guān)閉。

       通過 Network as a Sensor 方案，思科真正將網(wǎng)絡(luò)作為防御威脅的有力工具，通過網(wǎng)絡(luò)的覆蓋，做到真正的 “安全無死角”。

最后，參與微話題討論，不僅可以得到思科安全專家徐洪濤的在線答疑，更能獲得以下大禮包：

· 《應(yīng)對高級網(wǎng)絡(luò)威脅》;

· 《思科安全智能研究與分析團隊Talos》;

· 《適用于網(wǎng)絡(luò)的思科高級惡 意軟件防護》;

· 《CiscoCybe Range 安全服務(wù)》。

參與方式

       關(guān)注思科中國官方微信公眾號 “思科聯(lián)天下”，回復(fù) “S002”，即可參與實時互動~