NTAS PCAP集中管理分析方案

摘要

网络流量的分析是网络安全可靠运行的重要保障手段,PCAP作为事后分析的金标准已经被企业内各部门广泛使用,成为鉴定问题和事件的凭证。但是,这些重要的PCAP资源并未被有效的管理,导致效率低下和风险凸显。NTAS提供的PCAP集中管理方案覆盖了PCAP的采集、存储、抽取、应用全生命周期内的管理,支持对大型数据包的高速解码等基础分析能力,从而有效降低企业的pcap应用管理成本和风险,满足行业的法规管理要求。

网络分析的金标准

数据包从不说谎,数据包抓取成为网络安全犯罪调查主要证据的黄金标准很长时间了。它是从监控流量传输过的流量的完整复制。数据包不是一种解析,它就是底层的真相。

global

对于网络故障和性能分析,只有数据包能够提供完整的网络通讯现场,包括当时的网络带宽、对涉及的IP地址和端口的数据报文、数据包的接收和响应等,这些发生在毫秒级的数据传输细节是元数据日志不能提供的。

对于安全事件的分析,只有数据包可以提供时间和事件顺序的内在信息,比如攻击来源、受影响的资源、违规接入甚至泄露的数据、攻击如何在网络中横向移动。真实攻击的流量还能提供一些其他重要的信息,比如该攻击是否是以前就发生却未被检测到的、以及部署的缓解技术是否真的有效。相比于日志数据,数据包的数据会更有可能发现之前不知道的行为,比如隐藏的交流/泄露频道、其他正常流量中潜藏的C2信号等。

PCAP会采集所有东西,但是它并不是被设计用于提供实时——或者任何形式的分析,分析是由一些插件或者其他安全工具解决。PCAP的价值是能够抓取并细节地展示真实发生的事情,除了少数的实时分析之外,对网络数据包的分析通常是在事后,网络故障和安全事件的确认几乎总是要依赖于数据包。

企业内pcap应用的现状

在企业范围内广泛使用pcap来保存网络通讯现场并分析问题,有非常多的工具用于分析和处理pcap数据,比较著名的如tcpdump、wireshark、solarwinds等,一些商业的网络性能分析厂商以及网络安全分析厂商的产品也内置了部分pcap分析功能。

典型的pcap使用方法

  • 从网络截取数据包,下载pcap文件到工程师桌面进行分析
  • 从网络截取数据包,使用产品内置的数据包分析功能
  • 工程师上传pcap文件到分析工具内进行分析
  • 在特定监控点部署全包捕获和存储设备,按需要提取数据包进行分析

PCAP应用的问题

pcap应用在发挥重要作用的同时,也伴随成本上升和信息安全问题。如果不能有效的进行管理,将导致高企的成本和风险,包括:

  • pcap数据难以在多个应用和成员内共享
  • 大型pcap文件的传输占用宝贵的网络带宽
  • pcap数据包含的敏感信息泄露的风险

涉及的法规遵从

  • 网络安全法

网络安全法要求采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。

  • 数据安全法

开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。

  • 个人信息保护法

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失,采取相应的加密、去标识化等安全技术措施。

  • JR/T 0197-2020 金融数据安全 数据安全分级指南

根据金融业机构数据安全性遭受破坏后的影响对象和所造成的影响程度,将数据安全级别从 高到低划分为5 级、4 级、3 级、2 级、1 级

  • JRT0223-2021 金融数据安全 数据生命周期安全规范

数据生命周期安全防护要求是数据生命周期安全框架的核心,针对不同安全级别的数据,明确其在采集、传输、存储、使用、删除以及销毁等数据生命周期各个环节的安全防护要求。PCAP处理时主要涉及数据的使用环节,因数据包内含了敏感的数据,需要按要求进行响应的保护处理。

管理企业的PCAP资源

NTAS PCAP集中管理分析系统(以下简称NTAS Pro)为企业范围内的PCAP资源提供了统一的管理方案,汇聚并存储PCAP资源,保护敏感信息不被泄露,支持PCAP资源的协同共享,覆盖了PCAP资源的全生命周期管理。

pcap资源中心

作为企业内的pcap资源中心,提供了多种方式供用户和应用将pcap资源集中保存:

  • 用户通过NTAS的UI上传
  • 截获用户使用http/https方式下载的pcap文件
  • 定义数据源获取第三方pcap文件
  • 通过ntas提供的api保存

用户和应用可通过多种条件(如时间范围/五元组/关联资源等)查询需要的pcap资源,可调用ntas内置的基本分析功能进行处理,获取分析结果。

敏感信息保护

在PCAP资源的导入、存储和导出环节,NTAS提供了多种方法支持敏感信息的保护:

  • 导入时,可调用NTAS的SDK对pcap数据进行预处理,选择截断数据包、混肴IP等
  • 存储环节,对涉及敏感信息的数据加密存储
  • 导出时,按要求截断数据包、混肴IP、加密敏感信息等。
  • pcap资源的导入/导出都有日志记录
  • 基于角色的资源访问控制

资源协同分享

NTAS支持对pcap的协同分析,通过建立和分享分析工程,多个工程师能够将多个pcap置于一个分析工程内进行分析验证,这种协同工作不需要将pcap文件在工程师之间互传。

res

全生命周期管理

NTAS为PCAP数据的采集、查询、使用、分享、归档的各个环节提供了支持。Pcap资源的拥有者可查看资源的使用情况,管理资源的状态,控制资源的分享,以及删除或归档资源。

数据包分析

NTAS的PCAP分析能力全部在服务器端实现,为工程师提供了高效的PCAP分析工具,支持大文件的高速解码、融合分析和协同分析。

高速解码

decode

全面兼容wireshark解码引擎,数据包仅需一次解码,可线性扩展解码性能,轻松应对G级别大小或包含数千万个数据包的文件。

包解码分析

NTAS使用兼容wireshark的display filter,工程师无需培训可以直接上手包分析功能,支持端点统计、包查询解码、子查询、I/O图表、TCP流形、过滤器颜色分组等功能。

pcap

秒级流表

NTAS针对PCAP重建秒级流表,提供多达百种指标的查询和聚合统计,通过时序图同时对比多个网络会话的指标,可直接打开对应的数据包实施包分析。

flow

应用日志分析

NTAS支持对数据包集的应用日志分析,目前可提取http、tls、DNS的应用日志,并跟踪这些应用日志与网络流及数据包的关联关系,工程师可在时序图上查看应用日志并打开对应的网络包分析。

applog

企业级部署

高可用

NTAS Pro采用集群技术,集群最少配置2个主节点,每个主节点都能提供独立的数据分析服务,两个主节点互为备份节点,当某个主节点失效时,可由其备份主节点接管其服务。当失效节点恢复后,可以重新加入到集群。

线性扩展

当系统规模扩大,当前集群不能满足需求时,可动态增加新的分片,分片可以由单节点提供,也可由多节点提供,多节点同时工作且互为备份,也支持读写分离。当某个分片的存储容量不够时,可以为分片增加存储容量。

结语

PCAP散落在企业内的各个应用角落、工程师的桌面电脑,集中的PCAP管理系统将它们汇集到一起,更加安全地存储和使用,成为网络、应用和安全团队需要的底层数据来源,NTAS基于此还提供高性能的数据包分析能力,为分析决策过程提供一致的数据包分析结果。