網路安全監控(NSM)乃跡象與警告的集結、分析與提升，以便偵測和回應事件
Network security monitoring (NSM) is the collection, analysis, and escalation of indications and warnings to detect and respond to intrusions.
-Richard Bejtlich與 Bamm Visscher《實戰網路安全監控:入侵偵測與因應之道》

網路安全監控(NSM)目的

相信大家都有類似經驗：當自己向主管介紹一項新的技術/設備，主管常問「這個東西會阻止駭客入侵嗎?」 這種想法往往希望買很強大的設備，運用最新的技術(例如現在火紅的AI 人工智慧) ，建造厚實的網路城牆，打造堅固的虛擬堡壘，用Firewall, NGFW, IPS, UTM 等等把入侵者死死的檔在牆外。 但是觀察近幾年來的資安環境不難發現：建造完美防禦幾乎不可能。新的漏洞不斷被發現，入侵手段越來越複雜，花大筆預算建立網路城牆後，往往沒有餘力應付來自內部的威脅，甚至一但被入侵突破便可能全面失守，讓駭客在內網橫向移動感染系統、竊取資料或潛伏靜待日後發作。

NSM主要目的是偵測、找出入侵者，提高能見度。它建立在「我們一定會被攻擊，而且最終防禦一定會被突破」的思惟上。假設意志堅決的駭客最終打穿我們辛苦建立的防禦，但只要能在入侵者進一步破壞、感染系統前偵測、做出回應，讓入侵者無法達到目的，便能阻擋這波攻擊；而且入侵者也很聰明，用複雜的手法入侵系統後，並不一定會馬上造成破壞或偷取資料，可能有一段潛伏期，慢慢橫向移動繼續入侵更重要的系統，甚至一點一滴的竊取資料，運用種種手法防止被偵測，刪除入侵紀錄。若沒有足夠能見度，當系統被入侵了仍渾然不知，又怎麼阻擋、預防呢？

資訊安全為主的監控

一般網路監控運用例如SNMP（Simple Network Management Protocol，簡易網路管理協定）來定期查詢設備取得資訊，或是讀取設備日誌LOG進行分析，或者收集FLOW DATA 如Netflow, sFlow, JFlow 等等，藉由監測端點和流量來發現異常狀態，好比看著電話帳單，研究來電者和接聽者是否正確(source / destination)？是否用對設備接聽(protocol/port)？電話頻率是否在基準範圍左右(baseline)？但是網路安全監控需要蒐集更多更詳細的資料，才能讓偵測工具分析、檢視。這些資料包括：

• 全文 Full content
• 提取內容 Extracted content
• Session 資料 Session data
• 處理資料 Transaction data
• 統計資料 Statistical data
• 元資料Metadata
• 警告資料 Alert data

一般網路監控從metadata下手，不會深入full content或extracted content等等資料；而SIEM﹝Security Information and Event Management，安全資訊和事件管理﹞平台主要處理警告資料。NSM不是等接收IDS/IPS等等資安設備觸發警示後才開始收集，而是平時便預先主動收集資料，提供NSM平台審視、分析，強化可見度，主動找出入侵軌跡。所以NSM可說是一個「透過提高能見度，強化偵測，縮短反應時間」來阻止駭客入侵的方案。

LEGO version of Theramore, built by Mark Erickson.