如今，安全團隊意識到數據包監控對網絡安全的價值。隨著他們發現數據包監控的更多用途，他們打破了后者本身不足的不實說法。

如果您的回答是“真實”，您可能會驚訝地發現，不少企業已使用基于數據包的監控來更好地檢測、調查和應對分布在越來越分散的網絡基礎設施中的安全威脅。與安全信息和事件管理（SIEM）以及端點檢測和響應（EDR）工具等其它解決方案相輔相成，基于分析數據包的網絡檢測和響應解決方案（NDR）越來越多地為安全團隊提供詳細的網絡上下文和調查能力，這些能力已成為滿足現代網絡安全需求必不可少的。

盡管數據包監控傳統上用于分析網絡、管理流量和識別性能問題，但大型企業發現，將唯一基于數據包的數據源用于網絡和安全用途具有額外的優勢。

本文將特別探討將數據包監控用于企業安全的幾個用例，包括威脅檢測和調查、發現異常、以及為新環境建立基線，這些用例徹底打破了數據包監控在當今安全團隊中不值得進行的錯誤思維。

威脅檢測、發現異常和回溯性調查

近年來，企業托管環境變得越來越復雜。隨著SaaS環境中運行的自帶設備（BYOD）和物聯網（IoT）應用程序的快速增長，監控這些互相連接的設備即使不是不可能，也是令人生畏的。例如，物聯網設備不支持EDR代理。惡意軟件還可以在端點設備上掩蓋其蹤跡，使入侵檢測更難。但是，經過智能元數據增強的網絡數據包分析，為企業安全團隊提供了一種替代方案，可以通過基于實時網絡流量產生的見解來填補這些安全可見性缺口，對其它解決方案可能會錯過或忽視的事件提供一定程度的審查。

事實上，根據Omdia最近對企業中智能使用數據包的情況進行的一項調查（assessing-the-role-of-packet-intelligence-in-securing-the-modern-enterprise-network-environment.pdf (informa.com)），發現不少安全團隊正在使用網絡數據來支持其它安全解決方案，實時威脅檢測被是過去12個月內數據包監控的主要安全用例。通過將威脅情報源與跨網絡環境的全面安全可見性相結合，可以在潛在威脅對網絡基礎設施造成損害或敏感信息被泄露之前盡早被發現。公司還可以利用之前捕獲的數據包所派生的網絡元數據進行回溯，因此在發生數據泄露或惡意軟件出現的情況下，他們可以追溯到問題的源頭。除了威脅調查和檢測以外，數據包監控還有助于驗證其它安全設備是否運行正確。例如，基于網絡檢測和響應解決方案（NDR）可以確認網絡細分（network micro-segmentation）是否按設計執行。

圖 1  過去12個月內數據包監控的主要安全用例

給新環境制定基線

自疫情以來，企業越來越多地轉向使用云和邊緣進行遠程訪問。數據包智能可以幫助為這些新環境制定基準安全級別，因為它在大多數企業全網還是使用物理數據中心的時代就采用了。在Omdia的調查中，大多數企業要么已經在云中捕獲數據包數據，要么計劃這樣做。只有15%的受訪企業沒有計劃將數據包監控用于云安全。

圖 2  大多數企業已經或計劃在云中捕獲數據包數據應用于云網絡安全

數據包監控應用于安全的障礙

Omdia的調查還提到了數據包監控應用于網絡安全的主觀性障礙。其中包括不擅長數據包分析的工作人員、無法擴展到高網絡速率（例如，40Gbps）、較差的分析性能（例如，查詢結果需要太長時間）、操作成本（例如，需要太多的存儲空間和檢測加密流量的能力）。

圖 3  數據包監控應用于網絡安全的主觀性障礙

NETSCOUT的安全產品和技術

三十多年來，NETSCOUT一直是NPM解決方案供應商的翹首。如前所述，NPM的一個關鍵組件是深度包檢測（DPI）。DPI提供數據包的連續可見性，當有了這種可見性后，可以為威脅檢測和取證調查添加上下文數據。在安全方面，NETSCOUT提供了Omnis Cyber Intelligence，這是一種基于可擴展的DPI的NDR解決方案，由Omnis CyberStream傳感器提供動力。Omnis Cyber Intelligence背后的分析方法被稱為自適應服務智能（ASI）。ASI 是一項NETSCOUT的專利技術，可以實時將原始數據包轉換為一組強勁的2-7層元數據，用于網絡/應用性能分析和網絡安全場景。重要的是，在2015年7月，NETSCOUT收購了業界著名的DDoS防護方案提供商Arbor Networks，后者通過其在全球部署的DDoS防護產品和服務，幫助提供精心挑選的威脅情報（稱為ATLAS intelligence）。ATLAS 威脅情報與第三方情報（通過支持STIX/TAXII）持續地利用數百萬的IoC去武裝Omnis Cyber Intelligence。

Omnis CyberStream網絡傳感器最重要的能力之一是，它可以以高達100Gbps的速度連續捕獲完整的數據包。 這是CyberStream與其他廠商的網絡傳感器的重大區別，后者在檢測到威脅后才開始捕獲數據包并使用數據包切片，或使用其它完整性較差的數據（如NetFlow）。CyberStream結合使用NETSCOUT ASI技術及索引和壓縮技術來創建一個強勁的2-7層元數據集，NETSCOUT稱之為“智能數據”。智能數據存儲在本地的CyberStream 傳感器上（存儲容量達數百TB）。

如前所述，SOC的強大程度與它必須保護的攻擊面的可見程度大致相關。這聽起來不錯，但一個簡單的人為問題出現了——互聯網的保護通常是由適合不同情境的不同工具實現的。對于每個新加的工具，必須開發API來鏈接其它工具，通常syslog與批處理數據、設備數據和流數據不同。使用Omnis Cyber Intelligence的優勢在于，通過提供對底層流量的實時顆粒度分析，使用者可以無縫高效地為云流量提供與On-premises的流量相同的流量管理、安全性和監控策略，即在云環境中也具有與傳統數據中心相同的功能。

對于網絡和安全操作，NETSCOUT的技術可以將大容量的網絡流量實時轉換為高度結構化、多維的元數據， 即“智能數據”（見圖4）。vSTREAM傳感器為云和虛擬化環境提供了CyberStream設備的全部功能。 vSTREAM傳感器可以作為云環境中的實例部署，也可以作為hypervisor中的虛擬機部署。此外，傳感器可以作為公有云的實例實現，包括AWS、Azure、GCP和Oracle云基礎設施。

圖 4  面向企業網絡中所有表面可見性的Omnis Cyber Intelligence架構

在網絡環境中，用戶體驗和應用安全可能會發生沖突。如果沒有適當的經驗，日志數據和應用洞察分析之間的差距很大。隨著DPI提供的強大可見性，網絡安全設備可以更多地了解在網絡上運行的實際應用、傳遞的信息以及這些信息是否適合于所使用的協議和預期的目的地。這讓信任區域中流量的重新路由，比早期實施的隱式“拒絕所有入站”和“允許所有出站”的訪問控制，更有效地實現一個精細的零信任策略網絡。通過在電信和各個垂直行業（醫療保健提供商、金融科技等）長期積累的經驗，NETSCOUT可以快速識別正在運行的應用以及每個會話中的預期標準體驗值（延遲、路由等）。

NETSCOUT的ASI利用對網絡事件的洞察來揭示網絡異常和IoC。圖5解釋了ASI技術提供了什么類型的可見性來理解正常和異常行為。

圖 5  自適應服務智能（Adaptive Service Intelligence，簡稱ASI）事件、主機、會話與報文

Omnis Cyber Intelligence 和ASI技術的技術組件強調了NETSCOUT為客戶提供的目標。如前所述，使用DPI作為支撐和統一的Omnis Cyber Intelligence平臺，NETSCOUT提供了一種它稱之為“可視性無邊界”的能力。DPI 觸發了“智能檢測”，對應用中出現的變化進行線速分析及提供可見性，增強的數據幫助SOC確定要調查哪些應用。在一個應用中，例如域名系統（DNS）會話，服務器可能需要更長的時間來響應，或者 DNS包的大小已經增長，這都意味著可能的DNS隧道?；?/span>DPI的Omnis Cyber Intelligence可以檢測到正在發生的 事情。

NETSCOUT網絡性能監控所產生的協同效應帶來了一系列的效益，這不僅僅包括威脅檢測和應用保證。重要的能力包括：

? NETSCOUT提供的安全能力是“風起于青萍之末，浪成于微瀾之間”。在活動變成事件之前，SOC建立 正常的操作監控，對可疑活動發出警報，然后確認事件已被檢測，告警機制包括早期預警和持續的攻擊 面監控。如果確實發生了攻擊或疑似攻擊，SOC可以啟動接觸者追蹤，并對2-7層元數據或數據包進行 回溯調查。

? NETSCOUT促進安全和ITOps團隊的整合，并放大他們的協作效益。安全和ITOps的聯手以幾種不同的方式表現。網絡本身在滿負荷前運行得最好。如果應用很慢或者用戶體驗很差，通常需要某種類型的負載平衡。如果安全設備的容量達到最大，它們要么丟包，要么允許不受監控的活動進入?？捎^察性和持續性監控不是同一件事，但肯定是親兄弟。實施關鍵性能指標（KPI）對網絡和安全性都有好處。

? NETSCOUT可以啟動智能緩解。Omnis Cyber Intelligence評估安全態勢，通過與領先的SIEM、SOAR和 NGFW平臺的集成有助于安全團隊的銜接，并阻止對手的下一步行動。Omnis Cyber Intelligence還可以通 過Omnis Arbor Edge Defense（AED）防御解決方案在網絡邊緣支配緩解措施，以阻止入站和出站威脅。Omnis Cyber Intelligence旨在這些安全棧中發揮作用，包括將NETSCOUT智能數據導出到第三方數據湖的能力，讓安全分析師能結合其他安全數據集來豐富信息，進行自定義分析。

? NETSCOUT 幫助未來的網絡驗證。不斷變化的、嶄新的環境在我們眼前誕生——擁有專有操作系統的IoT/OT場景、5G網絡和元宇宙。在這些環境中，網絡的原基礎變得更加重要。NETSCOUT平臺隨著網絡的發展一起發展。

粉碎不實說法

總而言之，數據包監控是詳細、準確并且與設備不相關，因此對于尋求網絡安全解決方案，可以跨設備并可在內部和外部環境中使用的IT團隊，非常適合。

網絡完全在物理數據中心運作的日子已經一去不復返了。隨著遠程/混合工作模式和云應用程序的持續發展，安全團隊需要一個基于數據包的NDR解決方案，可以無縫地跨環境運行，并提供網絡安全維護所需的具體信息。在過去，數據包監控的確主要應用于故障排除目的，但今天的安全團隊已意識到了使用數據包監控進行網絡防御的價值，減輕攻擊即將帶來傷害的嚴重性。隨著企業在疫情后繼續探索新的網絡環境，并為數據包監控找到更多的安全用途，他們將繼續打破數據包監控無法獨立提供安全的不實說法。