启明星辰NTA（网络流量分析）产品如何演化、创新、固安全

近年来，安全威胁形势愈加严峻,网络安全事件层出不穷:直接影响了美国政治选举的希拉里邮件泄露事件，导致大学生徐玉玉付出了生命代价的高校信息泄露事件，让孟加拉银行损失8100万美元的黑客入侵事件，国际原子能属披露的德国核电站遭受到的扰乱性网络攻击等等，网络安全受到了前所未有的关注。

作为网络安全从业者，随着黑客攻击逐渐产业化、服务化和普及化，我们的防御机制也在向体系化、智能化迈进，威胁情报、态势感知、行为分析、追溯取证成为了新的解决手段。

然而，16年8月份的黑客组织“影子经济人”盗取NSA大量黑客工具和漏洞利用包事件，后被专家证实，这些在网上被公开售卖的攻击工具，可成功突破国内外一流安全厂商的防火墙，也就是说，我们投入巨大的安全防御体系面临着重大威胁。

在这种情况下，我们迫切需要知道这些问题的答案：”攻击者有没有来?来了走没走?走了又带走了什么信息?”更进一步的问题是：攻击者具体什么时间进入我们的网络?采用什么手段收集网内信息?是否已进入漏洞挖掘阶段?是否已成功利用漏洞?有没有进行权限提升?而能够提供这些问题答案的全流量分析产品在安全业界也随即被重视起来。

2017年6月份，网络流量分析NTA技术入选了Gartner《2017年11大顶尖信息安全技术》。这个国际知名的权威咨询机构是这样解读NTA技术的： NTA解决方案通过监控网络流量、连接和对象来识别恶意的行为迹象。对于那些试图通过基于网络的方式去识别绕过边界安全的高级攻击的企业而言，应该考虑使用NTA技术来帮助识别、管理和分类这些事件，作出辅助决策。可以看出,在新的安全形势下，流量分析技术在威胁分析，恶意行为监测上的作用进一步的强化了。现有的安全防护措施屡屡失效，人们迫切需要在常见的网络三剑客——IPS+IDS+防火墙——的基础上做进一步补充，而根据“只要有攻击就会有流量产生”这样的朴素道理，几者结合后极大地提升了防御能力。

第一代：侧重异常流量检测的NTA

在以往的NTA类产品价值介绍中，我们常看到的是这样的说明：网络流量分析有助于网络管理者进行网络规划、网络优化、网络监控、流量趋势分析等工作。启明星辰在2012年推出的NTA侧重于互联网出口的异常流量检测、网络流量分布分析，此产品具有面向企业网用户和运营商行业的多个型号。

第二代：侧重内网合规审计的NTA

近年来，内网威胁问题呈现井喷之势，为解决攻击横向扩散问题，启明星辰通过多个项目总结与产品融合，在2013年推出了第二代NTA产品(TSOC-NBA网络行为分析)，侧重于内网的合规流量审计，基于黑白灰名单的方式来解决内网秩序问题。

第三代：融合外网检测与内网合规，同时兼具追溯取证的NTA

以高级持续性威胁(APT)为代表的新型攻击手段渐渐兴起后，对流量分析产品提出了新的要求，既要在网络层面实时、近实时的呈现网络流量，又要在受攻击后(数天/数周)进行网络入侵取证。同时随着云计算，大数据等新技术的出现，单位存储和单位计算的成本越来越低，使得采用更大的样本空间，更智能的分析算法的技术在安全产品中得以实际应用，那么”需要采集原始流量，FLOW流信息，应用协议元数据，持续监测网络连接对象，分析异常流量，追溯可疑行为，联动威胁情报应对高级威胁”，就成为了当前NTA类产品演进的一个重要方向。NTA技术的采集，存储，分析，挖掘，可视化能力也成为了企业感知网络安全事件，应对信息安全挑战的一个可靠选择。

正是在这样的历史机遇下，启明星辰的TSOC-NBA再次进行了产品的变革，在2017年11月推出了第三代NTA，同时也是国内第一款集流量可视化与追溯取证功能于一身的大数据架构全流量分析产品。

安全领域持续分化，不断融合，安全领域已细分为十几个大类信息，五十几个小类，在2016年安全牛统计分析的安全全景图中，网络流量分析类被归到网络空间安全大类中。在2017，2018年的安全全景图中被归类到安全智能类中，所以说，NTA流量分析产品仍在不断进行产品演化，来应对新的应用场景，解决新的安全问题。

启明星辰一直密切关注国际上同类产品的发展与迭代，并对Gartner分析报告中说明的“SIEM (SOC)类产品为什么需要流分析?将流量数据和日志数据集成后会给SIEM带来哪些突破?”等问题进行了长期的讨论与实际场景验证，从而确认：

◆ 加入流分析后，可以拓宽数据源头，可以加强威胁检测和修正能力;

◆ 加入流分析后，可以通过包捕捉加强网络取证能力;

◆ 加入流分析后，可以缩短平均响应时间;

同时集成了流量信息的SIEM在以下场景的功能会有很大的提升：

◆ 有网络可见性要求的场景;

◆ 检测没有特征的攻击;

◆ 上下文感知;

◆ 态势感知;

就在前不久，启明星辰在某用户内网中，通过部署的NTA和SIEM产品，发现了挖矿病毒新变种MsraMiner，通过调查分析，追踪到了此变种挖矿病毒在用户内网主机的感染、传播全过程。文章链接：挖矿病毒新变种MsraMiner让企业内网沦陷为“矿场”!!

正是在这样的理念下，在多个项目的联动方案实践中，网络流量分析产品和态势感知，SOC(SIEM)产品的技术架构不断融合，成为了态势感知产品的流量态势引擎。通过流量分析产品与态势感知产品的无缝结合，在流量态势上增强全天候全方位态势感知能力，真正做到了1+1>2。2017年，作为中国首个进入Gartner SIEM魔力象限的安全管理平台(TSOC-USM)，TSOC-NBA作为其重要组件也被写入了SIEM魔力象限报告中。NTA产品的下一步进阶又该如何呢?请拭目以待!