昨天解釋網路安全監控(NSM)目的，相較於一般網路監控，NSM是以資訊安全為主的監控，今天來分析NSM的優點。

網路安全監控(NSM)優勢

1. 傳統架構著重於邊界(edge)防禦，以資安設備管制進出，但是對於內部流量反而不一定清楚。以下面範例公司網路架構圖為例，A部門、B部門乃至Server對外(outbound)流量，都會經過防火牆區F，很多資安設備例如IPS、URL Filtering、UTM、乃至次世代防火牆NGFW等等都是在這一區像海關一樣嚴格把守，內部三個網段可以在router上以VLAN和ACL控制存取，但是從A部門到Server區網路流量具體情況，在防火牆/資安設備區F是看不見的，因為流量是從A區經過Router R1到Server區不會傳到F，這時候如果有來自內部威脅，或者是駭客入侵到A部門的其中一台電腦，橫向移動到A部門其他電腦或B部門電腦，甚至從A部門發動攻擊感染Server，怎麼辦？這也是為什麼當一台電腦中了勒索軟體，會在內部一直散播沒被發現的原因，像WannaCry勒索軟體是利用通常大家都會使用的SMB協定橫向移動，Router R1並不會阻擋SMB這樣的正常存取，否則A部門的電腦都無法存取Server區裡File Server的檔案了。
   依照NSM的不同布署方式，可以收集到重要的資料，從(看似)正常網路流量中分析偵測，找出異常行為加以警示，無論是inbound、outbound或橫向流量都是NSM監控的方向。

範例公司網路架構圖

2. Flow Data 如Netflow、sFLow等是定期抽樣網路流量，資料收集不夠完整，也無法分析加密的網路流量；日誌Log有可能因故障或被入侵者竄改消除；NSM資料收集齊全，包含全文 Full content、提取內容 Extracted content、Session 資料 Session data、處理資料 Transaction data、統計資料 Statistical data、元資料Metadata、警告資料 Alert data等等，豐富的資料提供平台分析、判斷，彌補一般監控的不足。即使日誌Log被更改，NSM平台仍然能從監控中發現蛛絲馬跡。

3. 一般資安事件應變處理有四大步驟(見以下截圖)，NSM平台平時便收集大量資料，提高能見度，在第二階段偵測與分析是非常重要的工具，偵測異常狀況，整合收集情報，減少誤判提升準確度，盡快回應，在第三階段才可能採取正確阻擋措施，而在第四階段進行數位鑑識時亦可以協助重建入侵軌跡，有助縮短整體資安事件應變處理時間。

來自網路截圖

4. 最近Threat Hunting也是個很熱門的話題， 但是要怎麼開始呢？通常Threat Hunting會從邊界(Edge)、端點(Endpoint)、或網路(Network) 著手：傳統架構在邊界上已經有相當資安設備的話，開始進行Threat Hunting不是問題，像很多次世代防火牆廠商會說它們產品功能很強可以進行Threat Hunting，不過在複雜的網路架構中因為NAT的關係，邊界設備往往見不到原始IP；端點也是個很好的入手點，但是端點Threat Hunting通常需要安裝終端防護產品，很多EDR產品的功能確實很強，大幅提升可見性，但是並非每個設備都能安裝終端防護軟體，一些網路設備、IoT、網路多功能列印機等等怎麼辦?

佈署NSM可以從網路Threat Hunting方面開始踏出第一步，對規模不大、不太複雜的網路環境來說比較容易佈署，雖然加密流量仍然是挑戰，但是可以進行封包分析，靈活彈性的佈署方式也是其優點。

介紹完NSM的優點，是否迫不及待準備捲起袖子動手玩呢?先等明天介紹完NSM的缺點再決定吧~