昨天介紹很多NSM ﹝Network Security Monitoring, 網路安全監控﹞的優點，但是世上沒有完美的技術，NSM也有其本身的限制與問題，今天就來談談NSM的問題和應對方案。

網路安全監控(NSM)面對的挑戰

1. 這樣監控合法嗎？

這應該是最多人第一個提的問題，而答案根據各國法律、各行業規範及各公司政策等等都會不同。就算在技術層面上NSM工具能收集各種不同資料，也需要這麼多豐富的資料來進行分析、偵測，但是若因為法令、法遵法規或政策等因素無法收集非常全面的資料，例如只能收集元資料metadata而不能收集全文full content，NSM平台提供的可見度便會下降，變成與ㄧ般的flow analysis無異。

應對方法是改變sensor感應器的佈署，專一在最重要的Server區(或重要區域)進行網路安全監視收集完整資料；而其餘重要性較低的區域便只收集、分析metadata，不收集PCAP。

範例公司網路示意圖

2. 沒人懂，怎麼辦？

NSM不是萬靈丹，更不是買了/安裝好設備，建立baseline基線後，就可以擺在那裏讓他定期更新特徵碼運作，NSM只是提供所需的資料和平台工具，仍然需要由有經驗的人持續監控，主動分析、偵測。以下圖一般常見的資料處理週期為例：資料收集只是第一步驟，接下來偵測和分析都需要有經驗的分析師處理資料，否則資料收集來沒有處理分析只是佔硬碟空間。

來自網路截圖

最近看到一些廠商推出的類似方案結合AI人工智慧和Machine Learning機器學習，企圖自動化偵測與分析的步驟，在缺乏分析師的情況下，或許可以算是一種應對方案吧？

3. 資源需求

NSM平台本身需要分配足夠的運算資源如CPU、RAM、儲存空間等等，硬碟的存取速度也會影響效能(SSD的I/O當然比較快)，而當監控的網路流量上升，需要處理的資料量增加，NSM平台必須要有足夠的資源應付，否則可能會被過大流量的封包淹沒；再者佈署每個Sensor感應器都要安排資源，需要管理、更新、維持運作。

應對方法是可以和SIEM﹝Security Information and Event Management，安全資訊和事件管理﹞平台料配合，以分析為主在NSM平台上處理即時的、當前最新的資訊；需要保存超過幾天或一個星期以上的資料轉到SIEM上保留紀錄。

4. 加密流量的挑戰

網路流量一旦加密，能見度便會降低，如果是類似VPN網路流量，即使NSM截取封包，獲得的資料也有限。這是任何網路監控都會遭遇的挑戰。

5. 複雜網路環境

在複雜的網路環境中，重複使用NAT(Network Address Translation，網路位址轉換)，會使NSM無法看到真正的來源與目的地IP，進行分析時可能會遇到挑戰；雲端第一、行動至上的情況下，如果拿著筆電四處移動，有可能使用到NSM並沒有監控的網段，便看不到流量封包。

類似這兩種情況，Sensor感應器的佈署配置點就很重要，明天會繼續介紹喔