图：网络安全面临的挑战

当今许多网络安全工具的一个主要问题是，提供给它们的典型数据集是被动式的，不够精准。目前的安全技术主要集中在使用诸如NGFW、IDS、NDR、SIEM、EDR等工具缓解威胁，这些技术通常聚焦于复杂的检测算法，而这些算法是建立在糟糕且有噪声的数据集之上的，而且无法发现潜在攻击的早期迹象。这使得在网络攻击生命周期的早期识别威胁变得困难。因此，安全专业人员不具备防止感染传播、识别受损资产或阻止未来攻击所需的足够的信息。

图：传统的安全工具聚焦于红海区域

为了解决这个问题，我们需要一种关注风险的方法（而不是关注威胁的方法），这种方法可以将平均恢复时间从几天或几周缩短到几分钟。

随着NETSCOUT的Omnis Cyber Intelligence（简称OCI）的最新发布，拥有业界最智能、最具扩展性的网络安全解决方案，安全专业人士终于可以在对抗网络攻击的战斗中占据上风。

OCI建立在业界最著名的网络监控、数据包记录和网络分析技术的基础上。它独特地实时检测和调查可疑活动，在威胁传播之前识别威胁，同时也支持回溯式分析。

在使用市场领先的可视性技术的基础之上，OCI增加了威胁智能的深度和广度，并使安全团队可以实时访问。该解决方案包括一个集中管理服务器软件和一个名为Omnis CyberStream的网络安全探针。

NETSCOUT产品管理副总裁SanjayMunshi说：“企业在网络安全解决方案上投入了大量资金，但这些解决方案在很大程度上是低效的，因为在攻击产生严重影响之前，它们缺乏必要的可操作的可见性来发现攻击。随着攻击面扩大，OCI解决方案扩展到整个基础设施，集成到现有的安全生态系统，并成为日益增长的XDR（扩展检测和响应）运动的一部分，它使用高精度和高保真的元数据或智能数据，以及强大的网络分析能力，快速找到网络安全问题的根本原因，并缓解风险。”

图：OCI填补现有安全堆栈的不足

侦察早期预警：OCI持续检测侦察扫描活动，及早发现潜在的威胁，最大限度地减少暴露，防范威胁。许多组织依赖于定期扫描漏洞，这意味着攻击者有足够的机会在用户发现新漏洞之前利用它们；类似地，基于签名的安全系统受到新威胁出现和相应签名被创建和分发之间的延迟的限制。OCI提供持续、实时的网络流量分析，包括网络侦察检测，以阻止攻击者的轨迹。

动态攻击面发现：OCI提供了业界最快的攻击面可观察性，用于评估基础设施暴露的攻击面，以优化部署的防御效能。保护自己的基础之一是减少攻击面，但基础设施是不断变化的。传统安全工具主要部署在网络边缘，无法从网络边界和网络内部提供一致的实时信息。设备不断地与网络连接和分离，因此防火墙、端点保护系统、操作系统和应用程序补丁和蜜罐只能提供部分保护。漏洞不仅存在于网络的外围，而且存在于网络的内部。在大多数情况下，OCI可以识别客户没有意识到的漏洞，帮助安全团队优化防御的有效性，最大限度地减少攻击者的机会。

“接触者”追踪：当攻击发生时，高效的调查手段帮助安全团队快速评估渗透和受影响资产的程度，调查威胁的横向活动，以防止恶意软件进一步传播。若未能及时找出受损资产，攻击者便会在受攻击的网络中建立一个稳固的据点。安全团队花费了大量精力来消除误报，并识别真正的入侵。即使怀疑或发现了漏洞，安全工具也无法帮助安全团队识别出所有可能受到漏洞影响的系统，从而浪费有限的资源和时间。OCI能够展示攻击者所采用的完整路径，就象新冠病毒溯源一样，追踪并可视化所有的“接触者”，让攻击无所盾形。

回溯分析和调查：OCI保留最高保真度的原始数据包，从而可以调查威胁在整个驻留期间的行为，通过访问历史证据，以了解攻击如何开始和横向活动，以防止未来类似的入侵。基于日志的安全工具，以及它们无法将数据和数据包级别的证据存储数月或数年的能力，使它们无法迅速调查安全漏洞，以识别在发现安全漏洞之前很长一段时间内发生的初始访问、横向活动和资产外泄，从而不清楚攻击者是如何进入网络的，他们去了哪里，做了什么。利用NETSCOUT三十年多年来在数据包分析探针上积累的宝贵经验，OCI能够提供有效事故响应所需的历史数据。

可视性无边界：OCI的安全探针可部署在传统数据中心、虚拟化数据中心、协同数据中心、分支机构及公有云，所有跨网络边缘部署的组件都可以统一管理和提供一致的工作流。

与安全生态系统完全集成：通过使用API和与业界领先的供应商（如Splunk、Palo Alto Networks和AWS）合作，整合安全生态系统，并融入用户已有的安全工作流。

图：OCI与现有安全生态系统集成