| Pengenalan |
Dalam dunia di mana jenayah siber semakin berleluasa, melihat ke belakang adalah perkara yang hebat, dan mungkin senjata paling berkuasa untuk sesebuah syarikat. Apabila menyiasat insiden serangan siber, penganalisis keselamatan maklumat selalunya perlu mengumpul data daripada pelbagai sumber untuk membina semula kejadian itu, termasuk fail log, trafik rangkaian peringkat tinggi (NetFlow) dan berbilang alat pemantauan keselamatan yang berbeza. |
Dalam insiden serangan siber, adalah yang paling penting untuk mengukur dengan cepat dan tepat kesan insiden tersebut. Seperti yang ditunjukkan oleh beberapa pelanggaran data berprofil tinggi baru-baru ini, ketidakupayaan untuk memahami dan menyampaikan serangan siber dengan cepat dan tepat boleh memberi impak yang besar terhadap kepercayaan pelanggan, kesetiaan jenama dan akhirnya kepada keuntungan.
Dalam dunia di mana jenayah siber semakin berleluasa, melihat ke belakang adalah perkara yang hebat dan mungkin senjata paling berkuasa syarikat. Apabila menyiasat insiden serangan siber, penganalisis keselamatan maklumat selalunya perlu mengumpul data daripada pelbagai sumber untuk membina semula kejadian itu, termasuk fail log, trafik rangkaian peringkat tinggi (NetFlow) dan berbilang alat pemantauan keselamatan yang berbeza. Seperti yang anda boleh bayangkan, ini boleh menjadi proses yang sangat perlahan dan selalunya tidak berkesan. Akibatnya, perusahaan sering mengumpul sejumlah besar peristiwa yang tidak dapat diselesaikan dan terus membentuk ancaman yang tidak diketahui.
Berjaya mengendalikan serangan bermakna dapat memahami dengan cepat bila dan bagaimana serangan itu berlaku, mengenal pasti kelemahan yang melaluinya penyerang memasuki sistem syarikat, dan data serta sistem yang mungkin telah dibocorkan atau dimusnahkan. Ini penting untuk melindungi keselamatan siber syarikat anda.
Tanpa tahap keterlihatan rangkaian ini, syarikat mempunyai sedikit peluang untuk bertindak balas dengan sewajarnya terhadap serangan atau mencegah serangan masa hadapan. Di situlah pembalakan data mentah masuk: Tetapi apakah sebenarnya yang melibatkan pembalakan data mentah? Bagaimanakah ia boleh membantu syarikat global?
Menilai trafik rangkaian anda
Komunikasi antara pelbagai komponen dalam infrastruktur, seperti pelayan, sistem desktop, komputer riba dan peranti mudah alih, ditangkap sebagai aliran "paket" rangkaian. Data ini mengandungi pelbagai maklumat mentah, seperti sumber trafik, aliran destinasi, "muatan" yang dihantar -data sebenar, dsb.
Pakej data bersamaan dengan "sumber kebenaran tunggal", yang mempunyai dua faedah:
1. Dapatkan sumber maklumat lengkap data asal untuk siasatan insiden keselamatan siber;
2. Semak data daripada perspektif prestasi untuk mengenal pasti dan menyelesaikan isu yang mungkin memberi kesan kepada prestasi.
Dua senario aplikasi biasa adalah seperti berikut:
Senario 1: Ia telah terjejas dan sudah tiba masanya untuk memberi amaran kepada pelanggan tentang fakta bahawa keselamatan data mereka telah terjejas.
Di sisi positifnya, mempunyai 1 bulan data rangkaian mentah untuk dianalisis membolehkan anda lebih spesifik dalam menerangkan masalah, dan bukannya hanya berkata, "Kami telah terjejas, berhati-hati pelanggan Anda boleh mengetahui masa yang tepat!" insiden, tahap pencerobohan penyerang ke dalam rangkaian juga boleh ditentukan sama ada penyerang telah melakukan sebarang operasi "peninjauan" sebelum pencerobohan, data khusus yang dicuri, bagaimana dan di mana data itu dieksfiltrasi, dsb.
Ini ialah subset maklumat yang berkuasa untuk digunakan semasa berkomunikasi dengan pelanggan dan menyumbang kepada membina keselamatan yang lebih teguh.
Senario 2: Kegagalan prestasi yang serius berlaku dalam rangkaian anda, malah menjejaskan penyediaan perkhidmatan kepada pelanggan.
Jika masalahnya bukan pada ISP anda, ini mungkin bukan masalah dengan rangkaian anda. Dengan menganalisis paket, organisasi selalunya boleh mengenal pasti dan membetulkan isu prestasi biasa dengan cepat. Sebagai contoh, isu seperti cara aplikasi beroperasi dengan pangkalan data yang diberikan.
Integrasi adalah kunci
Syarikat mempunyai beberapa penyelesaian keselamatan, selalunya menyukarkan untuk mendapatkan pandangan yang bersatu dan koheren tentang ancaman dan aktiviti pada rangkaian. Ini menunjukkan bahawa kita memerlukan integrasi yang lebih baik.
Proses penyepaduan tidak perlu rumit, dan juga tidak semestinya melibatkan penggunaan dan pelaksanaan infrastruktur baharu. Dengan menyepadukan keupayaan pengelogan rangkaian ke dalam alatan sedia ada, penganalisis boleh beralih terus daripada makluman dalam alatan tersebut untuk memeriksa sejarah rangkaian peringkat paket asas untuk melihat transaksi tertentu yang berlaku pada rangkaian. Ini memperkemas dan melicinkan penyiasatan, membantu penganalisis membuang positif palsu dan mengenal pasti, mengutamakan dan bertindak balas terhadap ancaman sebenar dengan lebih cepat.
Dalam memerangi jenayah siber dan persaingan untuk memenangi bahagian pasaran dengan prestasi terbaik, syarikat tidak perlu mencipta semula roda itu, mereka juga tidak perlu menjadi pakar dalam penjujukan DNA rangkaian. Mempunyai akses kepada data mentah yang memegang jawapan kepada banyak pelanggaran data hari ini dan isu prestasi memberikan syarikat kelebihan besar dalam memanfaatkan pandangan belakang dengan cepat dan memperbaiki kelemahan keselamatan dan isu prestasi dengan lebih cepat.
Atas ialah kandungan terperinci Bagaimanakah paket data mendedahkan DNA serangan rangkaian?. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!
![[Web front-end] Permulaan pantas Node.js](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
