当前,网络安全环境日趋复杂,各类安全事件层出不穷。随着信息技术及硬件系统的持续演进,黑客攻击逐渐产业化、服务化和普及化,防御机制也在向体系化、智能化不断迈进,威胁情报、态势感知、行为分析、追溯取证等网络安全问题分析手段也得到了改进与完善,各企业都会根据自身的安全需求和考量去寻求合适的安全产品,确保自己的网络安全。
安全问题
最近,时常听到身边的兄弟企业们抱怨公司碰到了一些网络安全问题,有说目前的设备对威胁识别不精准的,有说对未知的网络威胁毫无办法的,有说网络质量差却不明原因的,还有说碰到安全事件爆发运维压力大的,甚至有个别的说是碰到了勒索事件。
面对这种种头疼的问题,今天我们特地选了一款全流量分析产品来测试体验一下,看看能不能帮我们查出并解决这些网络问题。
这是一款来自南京聚铭网络的流量分析审计系统产品,我们首先将这款流量产品部署在网络环境内。该网络环境本身就存在一些安全问题,会碰到网络莫名其妙连接不上或网页卡顿延迟严重等情况。
现在,我们就按照操作流程进行登录检测。
产品体验
登录系统后,首先我们在界面首页比较全面直观的看到了当前网络的安全整体状况,包括当前流量接入情况、设备失陷情况、网络质量情况、文件安全情况、重点关注安全事件以及上网行为等,多维度的在界面首页进行着整体展现,点击各条安全事件也都能下钻查询到具体的安全事件详情。
• 检测能力
经过产品的安全检测,我们从流量中发现大量安全隐患,挖掘出系统中存在的木马、蠕虫、勒索、挖矿、弱口令及各种漏洞利用攻击、SQL注入攻击、缓冲区溢出攻击的情况,并且能精准定位到设备的IP、MAC等,相关数据也能直接在线看原始数据包。
在进行文件检测后,我们直接看到了各种内部网络中存在的病毒文件、有害程序、敏感文件等等。一方面感觉触目惊心,一方面也庆幸这款产品能挖掘出这么多的问题。
在流量网络会话维度,我们也看到了各种应用协议的会话解析,包括了http、telnet、数据库、dns等等。
最后,我们再从威胁情报维度进行操作,可以看到,系统针对内部设备对外的回连黑IP、黑域名等都能实现了精准发现,另外还可以通过云查对隐患进行云查分析,这些体验下来,感觉还是挺满意的。
当然,这也只是我们操作看到的部分功能情况,这款产品其它的还有诸如威胁阻断、大屏展现、网络质量检测等等其它的功能,就不在这里一一赘述了,篇幅也有限,可以留到以后再讲。
• 体验分析
经过这一系列的操作体验,我们看到这款来自南京聚铭网络的流量分析审计产品正如同它的介绍所言,能结合失陷分析、网络攻击检测、威胁情报分析、异常流量行为挖掘、文件检测、网络质量检测等众多技术,很好的帮咱们对全网流量进行了威胁感知和可疑流量分析,功能很是全面。
跟我们之前接触的市场上众多的流量产品相比,我们也发现,这款流量产品在产品易用性、网络威胁发现能力以及针对勒索、挖矿等安全警告的发现上准确度非常高;在威胁情报的能力上相对于市场上其它产品感觉时效性和准确率也更有价值;
另外,我们知道通常黑客会通过后门程序、信息炸弹、拒绝服务、网络监听和密码破解等手段进行网络攻击,常用的有Nmap、Metasploit、THC Hydra等工具。而通过聚铭网络的这款流量分析产品的攻击检测,都能够被检测到。
再反观刚开始我们说的有的企业在面对安全威胁识别不精准,每天疲于处理虚假警报的问题,我们看到这款流量产品也能给到很好的解决。从侧面了解到,这款产品拥有腾讯情报与自身情报库相结合的双情报库,再加上云查溯源功能,可以给情报命中的警报提供溯源证明,可信度高。
另外,值得夸赞的一点在于,这款产品提供的安全态势可视化呈现,很大程度上让我们能直观的看到威胁所在,增加了人性化交互的体验感。
总结
总体上来讲,本次我们上手体验的这款流量分析产品,在与市场上大多数同类产品相比之下,它的独特性和优势也比较明显。
一方面,威胁检测能力、文件检测能力和未知威胁检测能力上效果相对突出;另一方面,产品的界面和报告也比较丰富全面,相信这也是他们能够在行业内发展壮大的原因。
此外,这一番体验下来,我们也发现这款流量产品存在一些不足的地方,在操作层面感觉步骤有点深,需要对产品熟悉一段时间后才能够很熟练的使用起来。所以,还是期待这个厂家在后续的开发中能够不断改进完善吧。
因为时间有限,本次的评测也就先到这里,更多关于产品信息我们下期再见~