2016年《网络安全法》颁布,出台网络安全演练相关规定:关键信息基础设施的运营者应“制定网络安全事件应急预案,并定期进行演练”。网络安全实战化攻防演作为国家层面促进各个行业重要信息系统、关键基信息基础设施的网络安全防护、应急响应水平的重要工作,以实战、对抗、迭代等方式促进网络安全保障能力提升,具有非常重要的意义。
随着大规模攻防演练行动的开展,如何有效地应对演练,提升威胁检测和响应能力,成为大量企业用户的关注重点。
在攻防演练行动中,基于网络流量分析的技术在安全检测与分析过程中起到越来越重要的作用,网络流量分析面对更底层的网络数据包,其中包含更多信息元素,提供真实且充分的数据依据,结合深度报文解析、数据双向验证、网络数据的建模分析与可视化等技术,有效提升威胁检测精度和效率,减少误报。
在攻防演练行动响应及总结阶段,通过对异常流量进行追溯定位,还原整个攻击过程,便于事件分析与事后总结。
但由于安全要求,流量加密已经成为企业主流状态,这也导致网络流量安全设备难以真正发挥作用,给攻防演练中的防守方带来严峻挑战。
据统计,当今世界超过60%的企业网络流量通过加密通信传输,加密技术原本是为了保障数据传输的机密性、完整性的安全机制,但也成为了攻击者为了躲避检测的工具。许多企业认为加密能保护网络流量免受网络威胁,但在攻防演练行动中,加密流量也阻止了安全及监测工具探知网络中传递的数据包的内部情况——攻击方往往会利用加密来隐藏