多年來，安全專家一直在爭論究竟是外部人員還是內部人員帶來更大的風險。如今，這種辯論已經沒有實際意義：因為網絡界限已經模糊化，威脅正無處不在。

例如，內部人員可能在家里辦公或遠程辦公;員工可能需要利用BYOD;業務合作伙伴和銷售人員經常需要訪問云中關鍵任務服務。現在企業比以往任何時候都更難了解在給定的時間內誰在網絡上，以及有多少設備在訪問服務、系統和數據。企業正在逐漸失去對網絡的控制，而攻擊者則在研究這些新技術，并利用它們來繞過傳統防御。

為了克服這些安全隱患，并獲得更好的可視性來確定誰在使用網絡，安全專家紛紛轉向網絡流量分析來提高網絡安全的可視性。

網絡安全可視性超越傳統防御的范圍

上面提到的情況強調了企業應該超越傳統安全技術的范圍，實時研究更大環境的安全性。企業不應該在攻擊發生后才阻止攻擊，而是在攻擊發生時檢測攻擊，觀察網絡流量能夠為企業提供更好的網絡可視性和對惡意事件更快的檢測。網絡流量是分析IP、TCP、UDP以及與信息源、目標端口和IP地址相關的其他header信息。這種網絡流量分析工作需要網絡安全管理人員進行戰略性的轉變，構建對整個網絡基礎設施的全面視角。

然而，這種轉變受到人員和技術的制約。在人員方面，大多數企業已經被迫轉變為少花錢多辦事。設計安全系統架構、抵御高級攻擊以及識別和緩解入侵等工作要求熟練的安全工作人員，而很多企業找不到或者負擔不起這種人才。與此同時，安全企業通常嚴重依賴于數據泄露防護(DLP)和企業權限管理(ERM)等產品來檢測安全違規情況。雖然這些技術能夠發揮一定作用，但它們并不是萬能的，企業需要采取一種新的方法。

網絡流量分析：三管齊下

強調網絡流量分析的新計劃：檢測、精煉和分析數據流三管齊下。它利用多個內部和外部信息來源，并實時處理數據來檢測威脅。這里關鍵是使用已經部署的可用的現有網絡基礎設施。

流量分析對網絡中流量的移動情況提供了一個不同的視角。它能夠分析在給定的度量內一個事件的發生頻率。例如，在周末的凌晨至凌晨2點，包含加密.zip文件的流量離開網絡并發往亞洲的頻率?通過流量分析工具，安全專家可以近乎實時查看這種類型的用戶活動。

對流經現代網絡的大量數據進行精煉需要能夠聚合和關聯數據的工具。思科公司是在市場上推出這種技術的首批供應商之一。很多其他供應商也相繼加入了這個領域，包括Vitria、Riverbed和Arbor Networks。對于預算緊張的企業，則可以考慮Softflowd和FlowScan等開源工具。你可以在networkuptime網站找到這些工具。

通過使用標準，能讓這些對實時數據的分析變得更簡單，例如NetFlow標準--由思科開發而后成為了行業標準。有了標準，企業可以采用通用格式，從而挑選適合的分析工具。流量聚合和數據輸出的標準是由IETF來處理的，而企業可以選擇的日志分析工具包括LogRhythm、Nagios和 Splunk。企業有太多數據需要管理，這成了一個問題，但云計算可以幫忙。云計算允許用戶根據需求的增加來擴展，這樣使他們幾乎可以瞬時創建虛擬服務器來滿足需求。

網絡流量分析：不是一朝一夕的解決方案

很顯然，防病毒技術等傳統抵御方法已經無法抵御零日攻擊和高級持續威脅。現在，網絡流量分析為我們提供了一個令人信服的選擇，但整個行業遷移到這一模式還將需要時間。

網絡流量分析需要企業付出一些努力以及安排培訓，特別是第一次部署的時候;安全專業人員可能不知道他們需要尋找什么，因此自然需要一個學習曲線來培養他們尋找異常的能力。另外，還需要專門的網絡分析工具，而這需要投入資金來部署。此外，模式轉變并不容易，它們不是受思維方式的驅動，而是受變革的推動。

轉移到網絡流量分析需要先奠定一定的基礎。首先應該與高級管理人員協商，向他們解釋部署NetFlow如何實現“雙贏”的局面—它支持廣泛的企業用途。如果你是代表安全部門，可以聯合網絡團隊，因為他們對路由器和交換機有直接控制權，讓他們加入你的陣營非常重要。你還將需要確認現有設備支持網絡流量，以及未來采購滿足你的預計需求。

從戰略上來看，大多數企業已經落后于高級攻擊的能力，而網絡流量分析是恢復這一平衡的重要一步。