隨著惡意軟件變得越來越狡猾，甚至能夠躲避基于特征的反病毒軟件和入侵防護(hù)系統(tǒng)的檢查，一些企業(yè)開始利用網(wǎng)絡(luò)捕獲和分析工具檢測異常網(wǎng)絡(luò)行為，并在發(fā)生安全威脅時做出響應(yīng)。網(wǎng)絡(luò)監(jiān)控和安全威脅分析解決方案供應(yīng)商N(yùn)etWitness就是一家提供此類產(chǎn)品的公司，正與網(wǎng)絡(luò)監(jiān)控設(shè)備提供商Solera Networks、網(wǎng)絡(luò)安全軟件廠商Check Point Software Technologies和高速數(shù)據(jù)包捕獲解決方案供應(yīng)商Endace在網(wǎng)絡(luò)取證市場展開角逐。NetWitness的產(chǎn)品可以捕獲和存儲網(wǎng)絡(luò)數(shù)據(jù)包，并對其進(jìn)行實(shí)時分析和檢測。最近，NetWitness的首席安全官Eddie Schwartz接受了我們的采訪。Schwartz認(rèn)為，由于政府機(jī)構(gòu)、大型金融企業(yè)和電信公司的安全團(tuán)隊(duì)開始越來越多地使用網(wǎng)絡(luò)分析工具，以防范能夠突破傳統(tǒng)安全系統(tǒng)的威脅，網(wǎng)絡(luò)取證這一行業(yè)發(fā)展勢頭良好。Schwartz指出，基于特征的安全系統(tǒng)固然重要，但網(wǎng)絡(luò)收集和取證工具可以幫助大型企業(yè)應(yīng)對未知攻擊方法的威脅。以下為采訪實(shí)錄：

請簡要介紹一下NetWitness公司的產(chǎn)品，貴公司的產(chǎn)品真的只是將取證工具部署在入侵防御系統(tǒng)周圍嗎？

Eddie Schwartz：權(quán)威市場研究機(jī)構(gòu)Gartner將網(wǎng)絡(luò)數(shù)據(jù)包捕獲和分析稱為網(wǎng)絡(luò)取證。關(guān)于網(wǎng)絡(luò)取證有很多問題值得討論，但大多數(shù)問題確實(shí)和高級威脅情報有關(guān)。對于那些真正在考慮如何應(yīng)對這些高級威脅的企業(yè)確來說，這些攻擊屬于復(fù)雜的威脅，可以躲過反病毒軟件和入侵檢測系統(tǒng)的檢查。有一種應(yīng)對這些威脅的解決方案是基于全面的數(shù)據(jù)包捕獲和實(shí)時的態(tài)勢感知，我們的產(chǎn)品正是屬于這一類解決方案。盡管許多產(chǎn)品都屬于這類解決方案，但其中只有少數(shù)產(chǎn)品能夠處理實(shí)時事件響應(yīng)或?qū)崟r入侵檢測和管理，而我們的產(chǎn)品就具有實(shí)時事件響應(yīng)能力。

您剛才提到了響應(yīng)，貴公司的產(chǎn)品在安全威脅發(fā)生時究竟是響應(yīng)還是報警？一旦談到響應(yīng)，貴公司的產(chǎn)品不就變成了入侵防御系統(tǒng)嗎？

Schwartz：我不太贊成使用“防御（Prevention）”一詞，因?yàn)檫@個詞現(xiàn)在的意義過于復(fù)雜。我認(rèn)為，有些簡單的措施確實(shí)可以歸類于防御，能夠阻止某些攻擊或采取某種行動。特征或定義文件就屬于這類防御性措施，它們描述了某人已受到的攻擊或者事先已對其有一定了解的攻擊。問題是，在許多情況下，如果你遇到一些此類惡意軟件的實(shí)例，你將會發(fā)現(xiàn)，35家防御性平臺供應(yīng)商中沒有一家會真正承認(rèn)這些惡意軟件，而你也只有8個小時的時間來處理這些惡意軟件造成的后果并做出響應(yīng)。防御并不是最好的辦法。當(dāng)對某些惡意軟件有了一定的認(rèn)識和了解時，你可以將其實(shí)例輸入到一些防御性的平臺。因此，當(dāng)我們談到響應(yīng)時，更多的是指主動檢測然后采取必要的響應(yīng)動作。有些情況下，響應(yīng)可能是下列動作的組合：修改防火墻規(guī)則、書寫Snort特征、只是更加密切地監(jiān)視某些軟件，或者將一些額外的威脅源輸入到你的防御性平臺，以查看此前沒有考慮到的一些新的潛在威脅方法。

您前面提到了全面的數(shù)據(jù)包捕獲，那么有沒有功能足夠強(qiáng)大的產(chǎn)品，可以收集所有數(shù)據(jù)包不丟棄任何數(shù)據(jù)包？

Schwartz：有許多方法可以實(shí)現(xiàn)全面的數(shù)據(jù)包捕獲。例如，我們有一個客戶，可以說是全球最大的私有IP網(wǎng)絡(luò)運(yùn)營商之一，其總數(shù)據(jù)吞吐量為60GB/s，內(nèi)部需要實(shí)時存儲到實(shí)時態(tài)勢感知網(wǎng)格中的數(shù)據(jù)高達(dá)1.5 PB/s（1PB=1024TB）。我們的產(chǎn)品完全可用于這種超大型應(yīng)用環(huán)境，關(guān)鍵問題就是將其擴(kuò)展到這種應(yīng)用環(huán)境。要實(shí)現(xiàn)全面的數(shù)據(jù)包捕獲，既可以利用基于商品型設(shè)備的存儲方法，也可以利用傳統(tǒng)的存儲方法，例如存儲區(qū)域網(wǎng)絡(luò)或其他方法。使用哪種存儲方法僅僅取決于你在數(shù)據(jù)保留和用例方面的目的。有些企業(yè)的用例只限于對安全問題的事件響應(yīng)，因此其存儲數(shù)據(jù)的使用壽命將短于那些用例更多的是為了典型取證或調(diào)查的企業(yè)，他們可以回溯并查看更長周期的網(wǎng)絡(luò)流量歷史，這些周期可能是60天、90天甚至在某些情況下更長。

有一個術(shù)語叫“高級持續(xù)性威脅（Advanced Persistent Threat，APT）”，我曾就該術(shù)語請教過一位專家，他認(rèn)為安全產(chǎn)品供應(yīng)商的營銷部門正在淡化APT的使用。您如何定義APT？

Schwartz：我認(rèn)為，判斷一種攻擊是不是屬于APT，可以按照以下三個標(biāo)準(zhǔn)：第一，必須有證據(jù)表明攻擊者是特定的，而且攻擊者有一定的組織性、動機(jī)和與此相關(guān)的資金支持。第二，攻擊的目標(biāo)有針對性。第三，攻擊者能夠采取各種不同類型的攻擊手段，從社會工程、惡意軟件開發(fā)到基于網(wǎng)絡(luò)的攻擊等等。例如，我們已經(jīng)看到，一些政府客戶遭受了一系列的魚叉式網(wǎng)絡(luò)釣魚攻擊（Spear Phishing Attack）。這些魚叉式網(wǎng)絡(luò)釣魚攻擊的范圍從非常明確的社會工程攻擊到安裝惡意軟件，而這些惡意軟件是攻擊者自己開發(fā)的，此前從未在其他地方出現(xiàn)過。很顯然，惡意軟件具有關(guān)于企業(yè)特定資產(chǎn)的先驗(yàn)信息——一些網(wǎng)絡(luò)映射工作在此之前已經(jīng)完成。這些魚叉式網(wǎng)絡(luò)釣魚攻擊就符合我對APT的定義。

有沒有辦法將這種基于網(wǎng)絡(luò)設(shè)備的數(shù)據(jù)包收集和分析方法簡化為一種面向中小型企業(yè)的輕量級版本？

Schwartz：這項(xiàng)工作已經(jīng)被納入我們的計劃之中。目前，我們的客戶主要是大型和超大型的政府機(jī)構(gòu)和商業(yè)企業(yè)。我們已經(jīng)在計劃開發(fā)針對特定類型用例的產(chǎn)品，也就是你所說的交付即用型解決方案。但是，我認(rèn)為應(yīng)對高級威脅沒有捷徑可走?，F(xiàn)在，安全機(jī)構(gòu)（如SANS）應(yīng)該提醒用戶，不要再考慮如何通過反病毒軟件解決特定的威脅，而應(yīng)該開始考慮如何獲得對其網(wǎng)絡(luò)的可見性。一個新興的威脅情報市場將會出現(xiàn)并不斷發(fā)展，人們可以在這里提供自動化的威脅情報，這些威脅情報的復(fù)雜性將前所未有。

【編輯推薦】

1. 平凡黑客講述精彩人生（六） 網(wǎng)絡(luò)犯罪如何取證
2. 計算機(jī)取證系列教程：最佳取證工具M(jìn)ACtimes