论网络分析与追溯技术对安全演练的重要性

运维帮 · 公众号 · 运维 · 2021-05-19 14:23

正文

互联网接入区如同城邦的城门，一座城往往不仅仅有一个门，一个企业的互联网接入区势必也是复杂的，安全演练中有威胁的流量也往往通过这个门进入到企业内网。

在以往安全体系的建设中，大量的安全设备，也堆积到了互联网的接入区。那么NTA技术还能补充哪些能力呢？笔者认为有两大核心关键能力亟待补充。

一是真正意义的全流量能力。 目前很多安全产品都打着全流量的口号在宣传，但并不能实现真正的全流量能力，原因如下：

性能不足 ：真正的全流量对性能的要求非常高，存储空间要很大，存储后要能分析和溯源，现在的“全流量”安全产品往往口号喊得响，但实现的时候都会打折扣。
必要性不够 ：很多安全厂商认为没有必要做到真正意义的全流量分析，往往觉得只需要对检测到的安全事件进行存储和溯源就可以了，但在实际安全演练中有威胁的攻击，往往是无法检测到的。

二是提供全流量的实时分析能力。 该能力强调全流量和实时性，目前市场上的安全探针中，甚少有安全系统提供全流量实时分析能力，其原因有两点：