【充分应用ＮＢＡ工具】 NBA中国官方应用下载

　　NBA是另一种安全模型，不仅是为了满足“法规遵从”的要求，还将成为企业深层防御架构中的一部分。 　　Brandon Greenwood是犹他州利哈伊生产营养添加剂的Xango公司的网络操作和安全经理。他认为，NBA是另一种安全模型。对他们来说，采用NBA不仅仅是为了实施法规遵从计划，还为了成为深层防御架构的一部分，一个最佳实践。
　　Xango选择了Sourcefire公司的一款NBA来帮助保护散布在全球各地的750个用户。Greenwood表示，Sourcefire的产品安装简单、价位合理，每个主机起价为30美元，如果量大，还有折扣。
　　Greenwood认为，NBA工具能发现IDS/IPS发现不了的安全漏洞。举例来说，某些人可能在不允许使用FTP服务的服务器上安装了FTP服务。NBA设备看到控制流量后，就会发出警报。“甚至在用户开始传送数据之前，我就打电话给对方，确保这项服务是确实需要的；如果是这样，我们就可以采取相应的变更管理措施，以便启用这项服务。”Greenwood说。
　　
　　全面了解
　　网络运行情况
　　
　　奥兰多AirTran航空公司的数据安全经理Michelle Stewart介绍，他们公司在2007年4月部署了Lancope公司的 NBA工具――StealthWatch。她说：“这让我们可以全面了解人们在网络上的行为，还使我们可要求对方为自己的行为负责。它还显示了广域网流量在http、文件共享和其他应用之间是如何共享的。这种流量的可见性大大简化了非网络工程师看清进出信用卡终端机和订票中心的流量。”
　　据Stewart称，AirTran公司有一个分布式网络，支持在55个机场和几个大学校园的业务运行。最初购买NBA的原因是为了遵从《PCI数据安全标准》，但结果证明，这款工具还是该公司的安全防御机制的有力补充。
　　Stewart举了一个例子：NBA发现了“企图但未遂的”远程访问活动，并发现了对方是谁、在哪台计算机上实施企图，而之前AirTran无法了解这些信息。
　　弗雷斯特研究公司的首席分析师Paul Stamp分析道，全面了解情况让客户可以在问题变得严重之前抢先行动。能证明NBA具有高效率的几个典型案例包括: 它能发现通常很难发现的行为，比如偷偷潜入的蠕虫、操作人员的配置错误和恶意的内部攻击。
　　“部署了防火墙、合适地调整分析及补救流程后，识别安全威胁的工作交给了NBA工具。有了NBA技术，用户就能比较清楚地了解‘正常行为’；如果出现‘异常行为’，它也会通知用户。”Stamp说。
　　虽然NBA工具通常首先是为了安全或者遵从法规而部署的，但人们同时发现，这类产品还能让IT人员更有效地控制应用性能。从某种意义上来说，NBA产品正开始变成高级的网络管理工具。
　　Q1 Labs公司是一家提供NBA产品的公司，其营销副总裁Tom Turner说：“了解应用情况是我们的产品QRadar与众不同的一个特点。QRadar最初是一款专业的NBA产品，使用网络流为网络和安全操作人员提供可见性。但后来我们渐渐认识到，我们用来收集、存储、处理及分析网络流数据的架构同样有助于运用到日志和事件数据的分析中。”
　　Q1 Labs已推出了QRadar的第5个版本，它实际上将安全信息管理（SIM）与NBA融为一体。该产品把来自网络流的上下文信息运用到来自安全设备的事件流，最终生成的结果明确列出了优先次序、准确的数据，而这些数据对安全和网络操作人员来说都很有用。
　　同样，NitroSecurity公司的NitroView产品专门提高了可见性，以便了解信息安全的各个方面。其高级产品营销经理Eric Knapp说：“网络行为是需要可视化的，因为人们常常从拓扑结构方面来考虑网络安全，但其他所有相关的流动数据需要可视化。”
　　NitroView从多个来源收集数据，并加以规范，那样数据可以“融合起来可视化”。所有这些数据可以通过图表、圆形分析图、分布曲线图以及/或者拓扑图来查看。
　　
　　防止虚假的安全感
　　
　　据Proctor声称，NBA系统存在的缺点是误报率很高，除非你能有效地建立正确的模型。影响网络行为建模的几个因素是：网络行为的数量、事件类型的数量、环境及网络活动的强度和一致性、坏行为的可靠度以及用户的技能和体验等。
　　美国芝加哥TransUnion公司的安全架构主管Jason L. Stradley是Sourcefire的客户，他说：“与这种类型的所有解决方案一样，NBA也会出现误报。成功地解决误报问题取决于几个方面。首先是要有一个能够独立学习攻击行为的平台，并且能接受操作人员的指示。其他方面并不涉及技术，而是涉及方法。”
　　Stradley认为，为了充分利用任何一种安全监控解决方案，企业一定要制订流程来分析所有事件，包括误报。然后，他们要有相应的方法来处理系统以便进行调整。事件导致系统引发报警后，这个事件极有可能是异常情况，应当尽快加以分析。要是企业没有这种方法，部署任何产品都无济于事。
　　扬基集团的分析师Phil Hochmuth说，NBA产品的关键在于，它们本身并不处理威胁，而是处理网络流量中偏离标准行为模式的异常情况。“一个明显的例子就是: 如果一台个人电脑受到蠕虫的感染，潮水般的‘端口扫描’流量突然来自这台机器，那么不管出现在这台电脑上的是哪一种蠕虫，NBA都能够识别这种情况，然后通知IT人员。一个不大明显的例子是: 如果某台服务器的IP地址联系企业外面的某个未知IP地址，NBA也能发现，因为它已为这台服务器的正常网络行为建立了基准。”
　　Proctor说：“网络行为分析工具填补了像防火墙、入侵检测系统、入侵预防系统和安全信息及事件管理这些基于策略和特征的单点解决方案留下的空缺；如果没有专门进行配置以便发现威胁，那些单点方案是无法发现这些威胁的。NBA技术是一种决策支持系统，它为网络知识丰富的操作人员提供了可视化的流量分析，那样他就能解释及分析网络上的各种可疑活动，并采取合适的响应措施。”
　　目前，提供NBA产品的厂商包括：Arbor Networks、思科、GraniteEdge Networks、Lancope、Mazu Networks、NitroSecurity、Q1 Labs、网捷网络和Sourcefire等。
　　
　　说明
　　NBA的工作原理
　　
　　扬基集团企业研究部门的高级分析师Phil Hochmuth这样分析NBA的工作原理：“NBA产品使用的是收集器，这可能是独立的服务器，也可能是专门的设备；然后将网络流（Netflow）、IP流信息（IPFIX）导出，或者将sFlow等数据发送到该收集器。”
　　将Netflow数据发送到收集器后，由网络节点处理的所有数据包的报头信息基本上会被收集并被发送出去，这好比是这个网络设备的航运日志。NBA产品收集来自支持网络流数据的所有网络设备的数据后，就会了解全面的情况，了解网络上的活动，比如哪些IP地址彼此联系、网络上在运行哪些应用等等。
　　除了基本的网络流数据收集外，NBA工具还提供了其他功能：它能发现及测绘IP网络上的所有设备（从客户机、服务器、交换机到路由器等等）。由于所有网络设备都作了说明，而且拥有从路由器和交换机收集的所有“航运日志”，NBA工具还能够进行复杂的网络流量分析。用户可以为网络行为建立基准性能模型、确认哪些方面存在网络拥塞或者利用率不足等问题；而且对安全人士来说最重要的是:它还能发现流量的异常情况。
　　Gartner公司的分析师Paul Proctor则从另一个角度解释NBA：NBA系统可以利用从思科公司的NetFlow或Juniper公司的cFlow等来源、或者从支持sFlow标准的来源收集的数据，进行网络流量的分析，还可以直接联系来自数据包分析的数据。这种系统可以结合使用确定性（特征）检测和非确定性（异常）检测，通知网络和安全操作人员出现的可疑活动，并且提供有关网络活动的情况，以便分析及响应。从根本上来说，NBA是让人们了解网络行为的一扇窗口，需要网络知识丰富的操作人员解读分析结果。