其他
网络流量分析工具的六大必备能力
44%的人认为NTA工具必须有内置的分析能力帮助分析师改善并加速威胁检测。这些分析能力可以是基于机器学习算法、启发法、脚本等等。这些分析的目的是让分析师通过NTA工具获取关键数据并收到高可信的告警——而非是噪音预警。 44%的人认为NTA工具必须提供威胁情报服务或者有集成威胁情报的能力,从而将可疑或者恶意的网络行为与已知的威胁进行对比。由于MITRE ATT&CK架构得到越来越多的注意,威胁情报集成已经成为几乎所有安全工具的必备能力;因此,NTA工具必须从一开始就被赋予威胁情报的能力。 38%的人认为NTA工具必须有能力监控物联网流量、协议、设备等。鉴于物联网的出现时间不长,我认为对物联网的支持会在未来12到18个月里成为企业对各类NTA工具的硬性需求。 37%的人认为NTA工具必须有能力监控所有已连接的网络节点,并且当有新网络节点连接时进行告警。换而言之,安全从业者依然希望NTA工具有传统的NAC能力,并且当未许可设备接入时进行告警。 37%的人认为NTA工具必须有测试和记录过与其他安全技术集成的能力,在我的经验中,NTA工具应该和恶意软件沙箱、EDR、SIEM以及上述提到的威胁情报能力紧密结合。 37%的人认为NTA工具必须有能力监控云流量,并且报告威胁以及异常。在亚马逊之前的re:Inforce会议上,亚马逊宣布一种新的VPC流量监控功能,可以为云网络提供可视化能力——这恰恰是用户正在寻求的持续性云网络监控能力。NTA工具必须能够有监控诸如AWS、微软Azure、谷歌云平台(GCP)等云服务器网络的能力,从而提供端到端的网络安全可视化。