在這篇文章中以幫助網(wǎng)絡(luò)安全分析師了解網(wǎng)絡(luò)安全架構(gòu)的組成部分，從如何使用端點(diǎn)信息來增強(qiáng)網(wǎng)絡(luò)態(tài)勢(shì)感知開始。端點(diǎn)收集了大量對(duì)態(tài)勢(shì)感知有價(jià)值的信息，但這些信息往往沒有得到充分利用。

如果不了解資產(chǎn)正在進(jìn)行的活動(dòng)，就無法檢測(cè)到危害。網(wǎng)絡(luò)安全分析師可以在兩個(gè)地方之一查看這些活動(dòng)，或者有時(shí)兩者兼而有之——直接在設(shè)備上以及在進(jìn)出設(shè)備的通信中(即在網(wǎng)絡(luò)上)。威脅檢測(cè)的第一步是了解可以在設(shè)備上看到哪些活動(dòng)，并了解如何檢測(cè)設(shè)備以提供這種可見性。

端點(diǎn)的價(jià)值

端點(diǎn)不僅僅是一個(gè)閑置在角落里的斷開連接的黑匣子。端點(diǎn)通常是有權(quán)參與預(yù)定義活動(dòng)的計(jì)算平臺(tái)，例如處理能力、訪問資源或與其他端點(diǎn)通信。所有這些端點(diǎn)的存在都是為了向組織提供價(jià)值，但要確保這一價(jià)值，需要驗(yàn)證它們的行為是否符合組織的預(yù)期。有效的態(tài)勢(shì)感知通過定位超出其權(quán)限范圍的端點(diǎn)來執(zhí)行策略，并為運(yùn)營商提供可疑和良性端點(diǎn)行為的整體圖景。這種意識(shí)支持決策并幫助組織降低風(fēng)險(xiǎn)。

操作系統(tǒng)通過生成日志并將其存儲(chǔ)在本地或?qū)⑵浒l(fā)送到中央日志存儲(chǔ)庫來監(jiān)控本地端點(diǎn)。許多組織通過額外的監(jiān)控來補(bǔ)充此日志記錄，在端點(diǎn)上安裝客戶端以檢查處于靜止?fàn)顟B(tài)、內(nèi)存中活動(dòng)狀態(tài)或正在傳輸?shù)臄?shù)據(jù)。這些客戶端可以測(cè)試數(shù)據(jù)中的惡意代碼或確保數(shù)據(jù)處于已知狀態(tài)。還可以觀察在活動(dòng)內(nèi)存中運(yùn)行的進(jìn)程，并驗(yàn)證是否以適當(dāng)?shù)奶貦?quán)級(jí)別運(yùn)行并參與了預(yù)期的行為。一些客戶走得更遠(yuǎn)，限制被認(rèn)為不適當(dāng)或具有威脅性的行為，例如訪問禁止內(nèi)容或不安全地使用系統(tǒng)調(diào)用。這些額外的監(jiān)控功能獲得的可見性是有代價(jià)的。監(jiān)視進(jìn)程占用內(nèi)存和處理器周期。一些端點(diǎn)態(tài)勢(shì)感知工具充當(dāng)應(yīng)用程序和操作系統(tǒng)之間的“墊片”，盡管這些墊片可能會(huì)在正常操作中引入延遲和帶寬限制。

在某些配置中，其中許多解決方案會(huì)生成大量日志數(shù)據(jù)，通常通過網(wǎng)絡(luò)將其發(fā)送到中央收集器。歸檔這些日志所需的存儲(chǔ)量可能會(huì)迅速增加，尤其是在從數(shù)千或數(shù)萬個(gè)端點(diǎn)收集時(shí)，并且此活動(dòng)占用的網(wǎng)絡(luò)帶寬會(huì)增加大量網(wǎng)絡(luò)開銷并使低帶寬連接飽和，端點(diǎn)可見性的某些方面可以在網(wǎng)絡(luò)級(jí)別實(shí)現(xiàn)，允許態(tài)勢(shì)感知收集完全忽略端點(diǎn)提供的重復(fù)數(shù)據(jù)，或者用來自另一個(gè)數(shù)據(jù)集的信息證實(shí)一個(gè)數(shù)據(jù)集中的觀察結(jié)果。

對(duì)端點(diǎn)態(tài)勢(shì)感知的常見反對(duì)意見

三件事往往會(huì)阻止企業(yè)充分利用其端點(diǎn)作為網(wǎng)絡(luò)態(tài)勢(shì)感知工具。

首先，也是最明顯的，大多數(shù)企業(yè)都有很多端點(diǎn)：傳統(tǒng)工作站和服務(wù)器;移動(dòng)設(shè)備，例如手機(jī)、平板電腦和筆記本電腦;以及聯(lián)網(wǎng)的非傳統(tǒng)設(shè)備，例如醫(yī)療和科學(xué)設(shè)備、銷售點(diǎn)系統(tǒng)、條形碼掃描儀，甚至燈泡。配置它們以使態(tài)勢(shì)感知相關(guān)信息可用于分析的復(fù)雜性似乎是不可能的。幸運(yùn)的是，大多數(shù)組織現(xiàn)在都有強(qiáng)大的程序來定義企業(yè)中所有機(jī)器應(yīng)該如何配置的基線策略，以及用于執(zhí)行這些策略的成熟工具。還要考慮到，即使是不完善的端點(diǎn)可見性也為網(wǎng)絡(luò)安全防御者提供了重要價(jià)值。盡管看起來令人生畏，但實(shí)現(xiàn)端點(diǎn)可見性的技術(shù)問題可能比想象的要容易得多。

有效端點(diǎn)監(jiān)測(cè)的另一個(gè)常見障礙是哲學(xué)上的。許多防御者對(duì)端點(diǎn)數(shù)據(jù)感到不舒服，因?yàn)榭刂贫它c(diǎn)的攻擊者可能能夠篡改它。這種擔(dān)憂是一種合理的風(fēng)險(xiǎn)，但有一些方法可以管理它。管理篡改端點(diǎn)的可能性的最有效方法之一是配置應(yīng)用程序日志記錄以將日志消息導(dǎo)出到中央服務(wù)器。對(duì)于企業(yè)服務(wù)器，在所有日志消息創(chuàng)建后立即導(dǎo)出它們可能是合適的，但對(duì)于其他端點(diǎn)(例如工作站)來說通常是不切實(shí)際的，因?yàn)楣ぷ髡緮?shù)量更多，并且可能并不總是與企業(yè)有良好的連接。在這種情況下，要管理網(wǎng)絡(luò)使用情況，應(yīng)考慮在創(chuàng)建某些關(guān)鍵消息后立即導(dǎo)出日志，然后則需要定期導(dǎo)出優(yōu)先級(jí)較低的消息(例如，每四個(gè)小時(shí)或當(dāng)端點(diǎn)連接回企業(yè)網(wǎng)絡(luò)時(shí))。最后，請(qǐng)記住，即使是被泄露的日志也具有態(tài)勢(shì)感知價(jià)值，因?yàn)樗鼈兛梢越沂竟粽呦Ｍ[藏的內(nèi)容，戰(zhàn)術(shù)、技術(shù)和程序。

在許多企業(yè)中，端點(diǎn)監(jiān)控的最大障礙不是技術(shù)，而是組織。端點(diǎn)管理通常獨(dú)立于網(wǎng)絡(luò)管理進(jìn)行管理，并且可以進(jìn)一步細(xì)分為對(duì)工作站、服務(wù)器、云與內(nèi)部部署等的管理。真正全面的網(wǎng)絡(luò)態(tài)勢(shì)感知需要組織各部門的協(xié)作。建立這些橋梁可能是一項(xiàng)投資，但回報(bào)不僅僅是端點(diǎn)可見性，而是一種更全面的網(wǎng)絡(luò)安全監(jiān)控和響應(yīng)方法。

分階段的方法：從你所在的地方開始

正如我們所說，大多數(shù)組織都有大量的端點(diǎn)需要管理和監(jiān)控，但不需要監(jiān)控所有端點(diǎn)?？赡芟Ｍ麖谋O(jiān)控關(guān)鍵的本地服務(wù)器基礎(chǔ)架構(gòu)開始，然后將從中學(xué)到的東西帶到基于云的服務(wù)器上，同時(shí)與工作站支持一起開發(fā)用于檢測(cè)本地、云和移動(dòng)端的策略- 用戶環(huán)境。增量收益將帶來增量?jī)r(jià)值和重要的經(jīng)驗(yàn)教訓(xùn)。

分析什么數(shù)據(jù)

當(dāng)開始計(jì)劃將端點(diǎn)數(shù)據(jù)用于網(wǎng)絡(luò)態(tài)勢(shì)感知時(shí)，需要回答一些基本問題，例如

• 組織關(guān)心什么數(shù)據(jù)?

• 組織將如何使其可用于分析?

• 組織以后怎么改變主意?

端點(diǎn)有很多數(shù)據(jù)。后續(xù)部分討論網(wǎng)絡(luò)態(tài)勢(shì)感知分析時(shí)，將討論如何識(shí)別重要數(shù)據(jù)。目前，只需說以下類型的數(shù)據(jù)可能是最重要的數(shù)據(jù)(大致按此順序)：

• 無法在其他任何地方獲得的數(shù)據(jù)

• 將該數(shù)據(jù)與其他數(shù)據(jù)相關(guān)聯(lián)的數(shù)據(jù)

• 證實(shí)你已經(jīng)擁有的數(shù)據(jù)

我們顯然對(duì)端點(diǎn)優(yōu)勢(shì)最感興趣，我們可以看到在其他任何地方都看不到的東西。因此，首先考慮僅在端點(diǎn)上可用的事件的數(shù)據(jù)(和元數(shù)據(jù))是有意義的。示例包括有關(guān)進(jìn)程創(chuàng)建或端點(diǎn)防火墻阻止的網(wǎng)絡(luò)連接嘗試的信息。雖然這些數(shù)據(jù)很有用，但當(dāng)可以將其與其他來源的數(shù)據(jù)融合時(shí)，就會(huì)變得非常有用。出于這個(gè)原因，第二種最重要的端點(diǎn)數(shù)據(jù)是可用于將端點(diǎn)數(shù)據(jù)與其他數(shù)據(jù)集相關(guān)聯(lián)的信息。例如，網(wǎng)絡(luò)連接檢查可以發(fā)現(xiàn)網(wǎng)絡(luò)連接包含惡意軟件，端點(diǎn)數(shù)據(jù)可以發(fā)現(xiàn)主機(jī)上打開了哪些進(jìn)程。有了進(jìn)程列表和進(jìn)程打開的網(wǎng)絡(luò)連接(包括連接的時(shí)間戳和目標(biāo)信息)，就可以確定哪個(gè)進(jìn)程下載了惡意軟件。

最后，雖然收集重復(fù)網(wǎng)絡(luò)數(shù)據(jù)的端點(diǎn)數(shù)據(jù)似乎是浪費(fèi)精力，但有時(shí)在兩個(gè)不同的有利位置獲得信息支持的推斷可能很有價(jià)值。這種推論有助于分析師建立對(duì)他們結(jié)論的信心，并排除(或排除)任何一個(gè)傳感器可能產(chǎn)生誤報(bào)的可能性。

在哪里分析端點(diǎn)數(shù)據(jù)

一個(gè)相關(guān)的問題是在哪里存儲(chǔ)這些數(shù)據(jù)。選擇是

• 在端點(diǎn)

• 在中心位置

• 介于兩者之間的東西

通常，將數(shù)據(jù)從端點(diǎn)移動(dòng)到中央收集器可以實(shí)現(xiàn)更輕松地將數(shù)據(jù)與來自其他觀察域和數(shù)據(jù)集的信息融合在一起。然而，端點(diǎn)是一個(gè)嘈雜的數(shù)據(jù)源，因此將所有內(nèi)容發(fā)送回中心位置可能需要大量的工程工作。

一種方法是對(duì)端點(diǎn)本身進(jìn)行分析。這種方法有兩個(gè)主要缺點(diǎn)。首先是現(xiàn)在在一臺(tái)機(jī)器上分析數(shù)據(jù)，根據(jù)定義，我們正在評(píng)估妥協(xié)的可能性，因此必須相應(yīng)地調(diào)整對(duì)我們結(jié)果的信心。第二個(gè)考慮因素，不存在端點(diǎn)來進(jìn)行安全分析影響可用性，端點(diǎn)的存在是為了做企業(yè)的生意，安全分析不應(yīng)對(duì)可用性產(chǎn)生負(fù)面影響。

還有數(shù)據(jù)保留的問題。同樣，在端點(diǎn)上存儲(chǔ)大量歷史數(shù)據(jù)會(huì)影響最終用戶的服務(wù)可用性;如果想保留一段時(shí)間，則可能必須將其進(jìn)行備份轉(zhuǎn)移。

端點(diǎn)上的分析和存儲(chǔ)以及將其全部移動(dòng)到中央位置之間的一個(gè)可能折衷方案是建立中間收集點(diǎn)，這些收集點(diǎn)靠近(從網(wǎng)絡(luò)角度)收集數(shù)據(jù)的端點(diǎn)。這些中間節(jié)點(diǎn)可以執(zhí)行某些類型的分析，并且可以更長(zhǎng)時(shí)間地存儲(chǔ)數(shù)據(jù)，因?yàn)槭占头治鰯?shù)據(jù)是其存在的主要目的和價(jià)值。端點(diǎn)數(shù)據(jù)架構(gòu)的一種特別有效的方法是使用這些收集點(diǎn)來運(yùn)行管理分析，以確定哪些數(shù)據(jù)可以丟棄以及哪些數(shù)據(jù)值得保留。

當(dāng)討論網(wǎng)絡(luò)態(tài)勢(shì)感知工程時(shí)，當(dāng)決定集中收集數(shù)據(jù)時(shí)，大多數(shù)工程考慮因素與網(wǎng)絡(luò)數(shù)據(jù)的考慮因素相同，以后將更深入地討論這些問題?，F(xiàn)在，將只提及這個(gè)數(shù)據(jù)編排問題中與端點(diǎn)數(shù)據(jù)特別相關(guān)的幾個(gè)方面：

• 用于將數(shù)據(jù)發(fā)送到中心位置的策略將取決于端點(diǎn)的網(wǎng)絡(luò)連接，并且與端點(diǎn)的連接是高度可變的。他們將擁有多少帶寬?他們什么時(shí)候會(huì)擁有它?是否需要采取額外措施來保護(hù)傳輸中的數(shù)據(jù)?由于所有這些考慮因素都會(huì)影響最佳策略，并且由于它們?cè)诙它c(diǎn)之間都存在很大差異，因此可能需要處理關(guān)于端點(diǎn)數(shù)據(jù)的新近度或維度的不同保證。

• 網(wǎng)絡(luò)檢查數(shù)據(jù)收集通常針對(duì)少量相當(dāng)大容量的數(shù)據(jù)流進(jìn)行優(yōu)化。端點(diǎn)數(shù)據(jù)收集針對(duì)大量相對(duì)低容量的數(shù)據(jù)流進(jìn)行了優(yōu)化。最適合一個(gè)人的架構(gòu)可能不適合另一個(gè)人。然而，中間收集器可以提供幫助的另一種方法是簡(jiǎn)化這個(gè)問題，因?yàn)閬碜允占鞯木酆隙它c(diǎn)數(shù)據(jù)看起來更像來自網(wǎng)絡(luò)監(jiān)視器的數(shù)據(jù)流，并且更適合相同的工程方法。

• 端點(diǎn)為企業(yè)工作，回程端點(diǎn)數(shù)據(jù)不應(yīng)過度干擾可用性。通過端點(diǎn)監(jiān)控，記住安全性的存在只是為了讓任務(wù)更有可能成功。

• 接下來，將轉(zhuǎn)向網(wǎng)絡(luò)網(wǎng)絡(luò)態(tài)勢(shì)感知工程，討論網(wǎng)絡(luò)可見性，為什么除了端點(diǎn)可見性之外還需要它，以及何時(shí)在網(wǎng)絡(luò)級(jí)別實(shí)施端點(diǎn)可見性的某些方面可能很有價(jià)值。

• 網(wǎng)絡(luò)檢查數(shù)據(jù)收集通常針對(duì)少量相當(dāng)大容量的數(shù)據(jù)流進(jìn)行優(yōu)化。端點(diǎn)數(shù)據(jù)收集針對(duì)大量相對(duì)低容量的數(shù)據(jù)流進(jìn)行了優(yōu)化。最適合一個(gè)人的架構(gòu)可能不適合另一個(gè)人。然而，中間收集器可以提供幫助的另一種方法是簡(jiǎn)化這個(gè)問題，因?yàn)閬碜允占鞯木酆隙它c(diǎn)數(shù)據(jù)看起來更像來自網(wǎng)絡(luò)監(jiān)視器的數(shù)據(jù)流，并且更適合相同的工程方法。

• 端點(diǎn)為企業(yè)工作，回程端點(diǎn)數(shù)據(jù)不應(yīng)過度干擾可用性。通過端點(diǎn)監(jiān)控，記住安全性的存在只是為了讓任務(wù)更有可能成功。

接下來，將轉(zhuǎn)向網(wǎng)絡(luò)網(wǎng)絡(luò)態(tài)勢(shì)感知工程，討論網(wǎng)絡(luò)可見性，為什么除了端點(diǎn)可見性之外還需要它，以及何時(shí)在網(wǎng)絡(luò)級(jí)別實(shí)施端點(diǎn)可見性的某些方面可能很有價(jià)值。