可视化对安全性的贡献不可低估

近期我们了解到，有很多企业安全团队脑洞大开，独具匠心地利用我们强大的Riverbed SteelCentral™可视化平台提高网络的安全性。具体来说，就是利用SteelCentral NetProfiler所具有的实时流量数据分析能力，在攻击的预防和补救方面起到至关重要的作用。

NetProfiler可大规模分析并报告流量与数据包数据以实现可视化，Riverbed副总技术官Charles Kaplan认为，“正是由于这种优势，大大帮助了业务和IT团队，为其提供深入分析，使其做出有效的资源决策，并快速解决问题，尤其是安全问题。”

NetProfiler可交付端到端网络监测与报告，以不同于绝大多数解决方案的方式应对安全挑战，专注于事发前后管理。传统防火墙、入侵防御系统（IPS）和沙盒工具均无法实现NetProfiler的功能，而NetProfiler也不会影响这些工具的正常工作。

例如，您可以借助NetProfiler在网络周界内实现管理与监控。它很容易实现监管横向流量的微观细分，识别不安全协议，以及发现未经批准的应用程序的使用情况。

NetProfiler与您的防火墙、IPS和其他安全解决方案进行集成并提高其有效性，交付高清晰物证，记录安全事件发生的整个过程。

首先，我来解释一下NetProfiler是如何帮助您了解暴露在外的表面区域的，然后讨论如何应对该情况，最后我们看一下攻击后的物证。

加固网络基础设施

涉及到保护基础设施时，网络与安全团队通常难以抉择究竟哪些资产是最重要的，所在位置，与其通讯的设备等等。

例如，有些移动部件通常围绕单一服务交付给用户：

• 前端web服务器
• 应用层
• 数据库层
• DNS服务器
• 活动目录

NetProfiler可助您找到上述移动部件，这样您可以细分关键任务，然后从安全角度按优先排序。

图1的服务地图很好地说明了这一点。虽然绝大多数服务层都被明确界定并贴了标签(portaloid, portalapps, portaldb, portalappserver)，然而我们还是可以看到靠近底端的一层被标记为“未分配”字样。该服务的关键一部分未分配，这样的话，基础设施是不可能得到妥善保护的。

图1: SteelCentral 交付交互式工作流程，指导运维人员了解某个服务的全部组件

了解网络基础设施

试想一下这样一个场景：一家大型零售商希望更好地控制信用卡授权终端，但很快发现有成百上千个地点和成千上万台终端，却没有每个终端的IP地址的完整清单。只需把刷卡终端连接到10.10.10.10（代表某个IP地址），它们就会在NetProfiler中采取以下措施：

• 运行一个与10.10.10.10连接的所有系统的报表。该报表可去除无关的内部系统，例如补丁更新和漏洞扫描服务器，从而提供所有刷卡商亭的清单。
• 然后，该报表被发送到主机组ByFunction: POS。
• 接着，运行该报表看主机群ByFunction:POS是否与除10.10.10.10之外的任何系统有连接。该报表可以显示出刷卡商亭有无遭受破坏，有无从场外发送数据。

这一切只需几分钟便可完成，而保护信用卡数据的效果却和任何传统防火墙或IPS一样棒。

以上是网络可视化的例子，也是借助NetProfiler加固网络基础设施的两种方式。

攻击后取证

一旦发生攻击，您和您的领导希望确定以下几点：攻击严重程度如何？攻击了什么地方等等。这些数据对于提升以后的安全性及了解有无泄漏内容至关重要。

SteelCentral翔实的物证数据捕获有助于分析攻击，并进行全面修复。直接获取详细的物证信息可提升威胁分析与风险管理。我们来看一下典型的安全工作流程。

遭到攻击后，您肯定想了解哪台设备，例如笔记本，受到了损害，并希望根据结构化的步骤消除威胁泄漏。您希望看到最近谁与该笔记本“对话”了，反之亦然。更重要的是，您希望知道那些配置文件是否异常。

NetProfiler可展示所有与该笔记本对话的设备和连接，比如过去一个月的。然后您将之与过去48小时的相比较，看是否有异常情况。如果发送了大文件，您可以看到它们是否连接到了源代码服务器、财务服务器或员工未正常连接的服务器，虽然他们可能有密码。

然后您可以一路追寻到NetFlow和数据包数据，从而查找出攻击的根本原因。您甚至可以找出入侵者究竟窃取了哪一个有效负载，然后使用您的审计跟踪来确定一个适当的或兼容的响应。

安全生态系统中的SteelCentral

与防火墙、沙盒、入侵检测系统（IDS）或IPS不同的是，SteelCentral可以帮助您了解并记录周界内发生的一切。恶意的内部人士或外部人士使用的受到破坏的凭证一般会逃离传统监控，但却难逃SteelCentral的火眼金睛。只保护周边安全是远远不够的，您必须监视整个企业的所有行为。

我们Riverbed坚信每位负责IT基础设施的人也都应对安全负责。端到端可视化不仅有助于排除故障和解决性能问题，而且在提升整体网络安全方面也起着非常重要的作用。

——作者：Riverbed公司大中华区总经理  袁志陵