转发以前微信公众号发的文章,Sec-UN独家。
今天说一下热门的Anti-APT产品中一个容易被忽视的分支,网络取证工具(Network Forensics Tools,即NFT)。
NFT产品主要从网络行为中进行取证分析,用以支撑信息安全相关的事件响应、犯罪行为取证和威胁检测。NFT的形式一般是对指定网络的网络流量的捕获、存储、索引、处理、搜索和分析。
其典型的功能包括:
-
支持全网络流量捕获和存储,或者生成全网络流量的metadata并对指定内容进行全包捕获
-
提供网络流量metadata的生成、保存、分析和搜索功能,以支持对相关系统、IP、网络流、应用或所属网络等网络流量主数据元素中用户、主机和应用行为的检查和可视化
-
支持对HTTP协议内容的输出、存储、还原和展现
-
支持对常见传输协议(如FTP、HTTP、SMTP、POP3、IMAP等)中传输文件的还原和存储
目前主要NFT产品包括AccessData ResolutionOne(就是做FTK那个)、Blue Coat Security Analytics、RSA Security Analytic、IBM QRadar等。
至于未来NFT产品的技术发展方向,第一个就是昨天说的热门的Security Intelligence的支持,再一个就是支持SaaS、虚拟化部署(安全设备虚拟化也是个大买卖,以后都是云平台了,专用安全产品唯一能继续存在的方式就是把设备虚拟化,这个后面看看考虑也搞个专题专门讲一下),再就是和DPI技术的结合、和基于语义的深度内容挖掘的结合、和终端取证的结合。
这个市场其实部分功能边界和网络行为分析、网络入侵监测、数据防泄密等有一些重合,但是通常不把这些产品当做NFT。
目前由于用户对犯罪取证、防APT/ATA攻击等的需求极大的促进了NFT产品的市场,但是NFT也面临一些问题,如就一般客户而言,并没有任何合规性要求需要部署NFT(前面一篇文章提过我对中国市场的认识,是一个合规性市场)。此外由于NFT产品可能会捕获到一些用户隐私,而欧盟、我国等对于用户隐私保护的法律陆续出台,会对NFT产品的应用产生一些问题。
最后补充一些趋势,前面讲过下一代安全事件分析的发展趋势,其会扩展全日志、半结构化、结构化数据等的处理分析能力,这实际上已经开始具备了NFT的很多功能。我曾经构想过的NGSIEM,实际上已经包括了NFT的全部功能,所以我估计在中国,这个市场可能会逐渐被NGSIEM覆盖。