如今，安全团队意识到数据包监控对网络安全的价值。随着他们发现数据包监控的更多用途，他们打破了后者本身不足的不实说法。

如果您的回答是“真实”，您可能会惊讶地发现，不少企业已使用基于数据包的监控来更好地检测、调查和应对分布在越来越分散的网络基础设施中的安全威胁。与安全信息和事件管理（SIEM）以及端点检测和响应（EDR）工具等其它解决方案相辅相成，基于分析数据包的网络检测和响应解决方案（NDR）越来越多地为安全团队提供详细的网络上下文和调查能力，这些能力已成为满足现代网络安全需求必不可少的。

尽管数据包监控传统上用于分析网络、管理流量和识别性能问题，但大型企业发现，将唯一基于数据包的数据源用于网络和安全用途具有额外的优势。

本文将特别探讨将数据包监控用于企业安全的几个用例，包括威胁检测和调查、发现异常、以及为新环境建立基线，这些用例彻底打破了数据包监控在当今安全团队中不值得进行的错误思维。

威胁检测、发现异常和回溯性调查

近年来，企业托管环境变得越来越复杂。随着SaaS环境中运行的自带设备（BYOD）和物联网（IoT）应用程序的快速增长，监控这些互相连接的设备即使不是不可能，也是令人生畏的。例如，物联网设备不支持EDR代理。恶意软件还可以在端点设备上掩盖其踪迹，使入侵检测更难。但是，经过智能元数据增强的网络数据包分析，为企业安全团队提供了一种替代方案，可以通过基于实时网络流量产生的见解来填补这些安全可见性缺口，对其它解决方案可能会错过或忽视的事件提供一定程度的审查。

事实上，根据Omdia最近对企业中智能使用数据包的情况进行的一项调查（assessing-the-role-of-packet-intelligence-in-securing-the-modern-enterprise-network-environment.pdf (informa.com)），发现不少安全团队正在使用网络数据来支持其它安全解决方案，实时威胁检测被是过去12个月内数据包监控的主要安全用例。通过将威胁情报源与跨网络环境的全面安全可见性相结合，可以在潜在威胁对网络基础设施造成损害或敏感信息被泄露之前尽早被发现。公司还可以利用之前捕获的数据包所派生的网络元数据进行回溯，因此在发生数据泄露或恶意软件出现的情况下，他们可以追溯到问题的源头。除了威胁调查和检测以外，数据包监控还有助于验证其它安全设备是否运行正确。例如，基于网络检测和响应解决方案（NDR）可以确认网络细分（network micro-segmentation）是否按设计执行。

图 1  过去12个月内数据包监控的主要安全用例

给新环境制定基线

自疫情以来，企业越来越多地转向使用云和边缘进行远程访问。数据包智能可以帮助为这些新环境制定基准安全级别，因为它在大多数企业全网还是使用物理数据中心的时代就采用了。在Omdia的调查中，大多数企业要么已经在云中捕获数据包数据，要么计划这样做。只有15%的受访企业没有计划将数据包监控用于云安全。

图 2  大多数企业已经或计划在云中捕获数据包数据应用于云网络安全

数据包监控应用于安全的障碍

Omdia的调查还提到了数据包监控应用于网络安全的主观性障碍。其中包括不擅长数据包分析的工作人员、无法扩展到高网络速率（例如，40Gbps）、较差的分析性能（例如，查询结果需要太长时间）、操作成本（例如，需要太多的存储空间和检测加密流量的能力）。

图 3  数据包监控应用于网络安全的主观性障碍

NETSCOUT的安全产品和技术

三十多年来，NETSCOUT一直是NPM解决方案供应商的翘首。如前所述，NPM的一个关键组件是深度包检测（DPI）。DPI提供数据包的连续可见性，当有了这种可见性后，可以为威胁检测和取证调查添加上下文数据。在安全方面，NETSCOUT提供了Omnis Cyber Intelligence，这是一种基于可扩展的DPI的NDR解决方案，由Omnis CyberStream传感器提供动力。Omnis Cyber Intelligence背后的分析方法被称为自适应服务智能（ASI）。ASI 是一项NETSCOUT的专利技术，可以实时将原始数据包转换为一组强劲的2-7层元数据，用于网络/应用性能分析和网络安全场景。重要的是，在2015年7月，NETSCOUT收购了业界著名的DDoS防护方案提供商Arbor Networks，后者通过其在全球部署的DDoS防护产品和服务，帮助提供精心挑选的威胁情报（称为ATLAS intelligence）。ATLAS 威胁情报与第三方情报（通过支持STIX/TAXII）持续地利用数百万的IoC去武装Omnis Cyber Intelligence。

Omnis CyberStream网络传感器最重要的能力之一是，它可以以高达100Gbps的速度连续捕获完整的数据包。 这是CyberStream与其他厂商的网络传感器的重大区别，后者在检测到威胁后才开始捕获数据包并使用数据包切片，或使用其它完整性较差的数据（如NetFlow）。CyberStream结合使用NETSCOUT ASI技术及索引和压缩技术来创建一个强劲的2-7层元数据集，NETSCOUT称之为“智能数据”。智能数据存储在本地的CyberStream 传感器上（存储容量达数百TB）。

如前所述，SOC的强大程度与它必须保护的攻击面的可见程度大致相关。这听起来不错，但一个简单的人为问题出现了——互联网的保护通常是由适合不同情境的不同工具实现的。对于每个新加的工具，必须开发API来链接其它工具，通常syslog与批处理数据、设备数据和流数据不同。使用Omnis Cyber Intelligence的优势在于，通过提供对底层流量的实时颗粒度分析，使用者可以无缝高效地为云流量提供与On-premises的流量相同的流量管理、安全性和监控策略，即在云环境中也具有与传统数据中心相同的功能。

对于网络和安全操作，NETSCOUT的技术可以将大容量的网络流量实时转换为高度结构化、多维的元数据， 即“智能数据”（见图4）。vSTREAM传感器为云和虚拟化环境提供了CyberStream设备的全部功能。 vSTREAM传感器可以作为云环境中的实例部署，也可以作为hypervisor中的虚拟机部署。此外，传感器可以作为公有云的实例实现，包括AWS、Azure、GCP和Oracle云基础设施。

图 4  面向企业网络中所有表面可见性的Omnis Cyber Intelligence架构

在网络环境中，用户体验和应用安全可能会发生冲突。如果没有适当的经验，日志数据和应用洞察分析之间的差距很大。随着DPI提供的强大可见性，网络安全设备可以更多地了解在网络上运行的实际应用、传递的信息以及这些信息是否适合于所使用的协议和预期的目的地。这让信任区域中流量的重新路由，比早期实施的隐式“拒绝所有入站”和“允许所有出站”的访问控制，更有效地实现一个精细的零信任策略网络。通过在电信和各个垂直行业（医疗保健提供商、金融科技等）长期积累的经验，NETSCOUT可以快速识别正在运行的应用以及每个会话中的预期标准体验值（延迟、路由等）。

NETSCOUT的ASI利用对网络事件的洞察来揭示网络异常和IoC。图5解释了ASI技术提供了什么类型的可见性来理解正常和异常行为。

图 5  自适应服务智能（Adaptive Service Intelligence，简称ASI）事件、主机、会话与报文

Omnis Cyber Intelligence 和ASI技术的技术组件强调了NETSCOUT为客户提供的目标。如前所述，使用DPI作为支撑和统一的Omnis Cyber Intelligence平台，NETSCOUT提供了一种它称之为“可视性无边界”的能力。DPI 触发了“智能检测”，对应用中出现的变化进行线速分析及提供可见性，增强的数据帮助SOC确定要调查哪些应用。在一个应用中，例如域名系统（DNS）会话，服务器可能需要更长的时间来响应，或者 DNS包的大小已经增长，这都意味着可能的DNS隧道。基于DPI的Omnis Cyber Intelligence可以检测到正在发生的 事情。

NETSCOUT网络性能监控所产生的协同效应带来了一系列的效益，这不仅仅包括威胁检测和应用保证。重要的能力包括：

» NETSCOUT提供的安全能力是“风起于青萍之末，浪成于微澜之间”。在活动变成事件之前，SOC建立 正常的操作监控，对可疑活动发出警报，然后确认事件已被检测，告警机制包括早期预警和持续的攻击 面监控。如果确实发生了攻击或疑似攻击，SOC可以启动接触者追踪，并对2-7层元数据或数据包进行 回溯调查。

» NETSCOUT促进安全和ITOps团队的整合，并放大他们的协作效益。安全和ITOps的联手以几种不同的方式表现。网络本身在满负荷前运行得最好。如果应用很慢或者用户体验很差，通常需要某种类型的负载平衡。如果安全设备的容量达到最大，它们要么丢包，要么允许不受监控的活动进入。可观察性和持续性监控不是同一件事，但肯定是亲兄弟。实施关键性能指标（KPI）对网络和安全性都有好处。

» NETSCOUT可以启动智能缓解。Omnis Cyber Intelligence评估安全态势，通过与领先的SIEM、SOAR和 NGFW平台的集成有助于安全团队的衔接，并阻止对手的下一步行动。Omnis Cyber Intelligence还可以通 过Omnis Arbor Edge Defense（AED）防御解决方案在网络边缘支配缓解措施，以阻止入站和出站威胁。Omnis Cyber Intelligence旨在这些安全栈中发挥作用，包括将NETSCOUT智能数据导出到第三方数据湖的能力，让安全分析师能结合其他安全数据集来丰富信息，进行自定义分析。

» NETSCOUT 帮助未来的网络验证。不断变化的、崭新的环境在我们眼前诞生——拥有专有操作系统的IoT/OT场景、5G网络和元宇宙。在这些环境中，网络的原基础变得更加重要。NETSCOUT平台随着网络的发展一起发展。

粉碎不实说法

总而言之，数据包监控是详细、准确并且与设备不相关，因此对于寻求网络安全解决方案，可以跨设备并可在内部和外部环境中使用的IT团队，非常适合。

网络完全在物理数据中心运作的日子已经一去不复返了。随着远程/混合工作模式和云应用程序的持续发展，安全团队需要一个基于数据包的NDR解决方案，可以无缝地跨环境运行，并提供网络安全维护所需的具体信息。在过去，数据包监控的确主要应用于故障排除目的，但今天的安全团队已意识到了使用数据包监控进行网络防御的价值，减轻攻击即将带来伤害的严重性。随着企业在疫情后继续探索新的网络环境，并为数据包监控找到更多的安全用途，他们将继续打破数据包监控无法独立提供安全的不实说法。