网络分析：什么是网络分析？

网络分析是保护网络、IT 资产、应用程序和团队成员免受日常网络威胁和攻击的必要组成部分。

小型企业、企业组织和政府机构都面临风险，应优先考虑网络安全问题。

大型企业传统上使用复杂的技术（如安全信息和事件管理系统）来收集和汇总网络信息和事件，同时与专注于身份管理、端点保护、病毒和恶意软件保护以及网络安全的特定技术进行整合。

网络分析是了解组织网络日常模式和健康状况的核心，我们将在本文中对此进行详细介绍。

什么是网络分析？

‍

网络分析是对网络流量以及与网络交互的网络用户、设备和应用程序进行持续监控的过程，以了解网络模式和健康状况。 

要理解正常的网络行为并深入了解网络的日、周、月和年模式，这一持续的过程至关重要。 

网络分析提供全面的上下文，包括识别连接到网络的用户、他们与设备的交互、他们的网络访问位置、他们共享的数据类型等。

所有这些信息对于了解特定网络的正常流量模式至关重要。如果要识别网络异常或网络上正在运行的潜在威胁，就需要了解正常流量模式。 

说起来容易做起来难，尤其是在过去几年里，网络边界的规模和形状都发生了变化。

COVID-19 促使许多组织允许远程和混合工作方式。这种工作选择的变化导致：

• 更大的网络结构
• 更大的表面积或数字足迹
• 网络接入点更多。

这些大型网络增加了攻击面，使组织比 COVID 前更容易受到网络攻击。

网络分析为何重要？

网络分析对于了解现有网络的核心态势至关重要。  

由于网络配置、各种应用程序以及员工、承包商和访客混合工作地点的复杂性，跟踪和了解正常网络行为的任务极其复杂。 

无论企业规模大小，网络分析都是一个全天候的流程，是 IT 或网络运营团队的核心职能。  

由于监控和保护网络关系重大，企业通常依赖人力和先进软件相结合的方式进行监控。

‍训练有素的专业人员短缺

寻找愿意轮班监控网络的熟练专业人员具有挑战性。  

‍

此外，在监控网络的同时，如果没有已知的主动风险，员工也要参与其他网络活动。  

由于所需的技能、不同的轮班时间和复杂的工作要求，吸引和留住有技能的资源在网络运行团队中工作具有挑战性。

因此，大多数组织都使用网络分析软件来监控网络流量，并提供警报和报告供人工审查和集中处理。 

这类软件的缺点是：如果调整不当，也会产生大量误报。

这些错误警报迫使团队迅速从先前的任务中切换出来，对警报进行评估。 当警报被错误触发时，就会占用本已繁忙的网络团队的宝贵时间。

‍ 警报疲劳

说到警报，网络专业人员面临的另一个问题是 "警报疲劳"。

网络运行中心在很大程度上依赖于能产生大量报告、日志和警报的技术，而所有这些都需要团队进行审查。

即使是规模最大的团队，也会被这些报告、日志和警报所困扰。因此，许多警报被静音，网络分析师从未查看过。

虽然其中一些警报看似平淡无奇，但并非所有威胁都能被网络监控技术正确标记。警报静音可能导致网络威胁和漏洞数周或数月未被发现。  

在 2020 年SolarWinds 黑客攻击事件中，攻击者在超过 14 个月的时间内访问了包括联邦政府在内的数千名 SolarWinds 客户的网络、系统和数据。 

作为 SolarWinds 攻击分析的一部分，攻击者能够通过模仿合法网络流量和规避训练有素的网络团队使用的威胁检测程序来避免检测。

网络分析有何帮助？

网络分析可以通过两种主要方式为企业提供支持：

企业网络的演变

随着企业不断发展混合或远程工作政策，他们需要改进保护网络、设备和员工的方法。

将网络从一栋大楼推进到多个办公地点、员工家中、咖啡店、联合办公空间以及其他任何有 Wi-Fi 信号的地方，都会对网络造成重大威胁。

此外，公司员工、承包商和合作伙伴还可以将自己的设备带入网络，访问企业应用程序。 

随着所有这些变化，监控网络所需的技术和流程很快就会过时。 

许多组织已经从使用虚拟专用网络（VPN）让外部员工和合作伙伴连接到企业资产，发展到使用软件定义边界（SDP）。  

软件定义边界允许企业完全控制用户及其设备可以访问网络的设备类型、位置和时间。  

SDP 运行的关键是安装在访问网络的设备上的客户端。客户端使企业能够维护安全环境，并开始向零信任访问模式发展。 

通过在终端上使用软件客户端，企业可以创建用户配置文件，并强制执行特定的硬件、地理位置和日期/时间要求，用户设备和用户在获得访问授权前必须遵守这些要求。  

如果用户或设备不符合 SDP 制定和执行的任何策略要求，就会被阻止访问网络。

交通模式

使用较新网络安全技术的另一大好处是可以提供丰富的数据，例如 

• 将网络容量更改为新位置
• 地理位置的频繁变化
• 用户或地点的异常流量
• 通过不寻常的端口或协议实现大流量 

这些额外的数据使企业能够监控主动访问网络的设备和用户，进一步详细了解网络流量模式，这对了解网络的健康状况至关重要。   

通过这样的网络分析功能，可以更轻松地确定特定用户和设备的流量，以及确切的用户、设备和地理位置。所有这些新的数据属性都可纳入新的网络分析功能，以持续监控网络的异常情况。

网络分析的成本

许多组织正在开发扩展网络分析功能的能力，以应对不断变化的网络威胁。

企业和政府机构必须继续采用新技术和新工艺，在现有网络上提供高级分析。  

获取、部署和运行网络分析功能需要成本，这对许多组织来说都是一个大问题。 

有些企业已经为现有技术、流程和人员投入了数百万美元，但在许多情况下却难以增加新的创新技术。造成这些困难的主要原因是现有的网络预算以及能够提供人工智能/移动式网络能力的高技能资源有限。

更好的前进之路

由于网络解决方案成本高昂，企业需要更快、更简便的方法来监控网络。

能够自动修复简单威胁和漏洞并及时提供相关警报的解决方案是未来的发展趋势，而这需要人与人之间的互动。

网络安全和网络分析需要继续从规则、模式和简单分析中发展，并进一步采用不断监控和学习授权网络流量的 AI/ML 解决方案。 

‍

开源技术提供的框架可加速人工智能/ML 深度学习模型和大型语言模型的开发和运行，随着这些技术的不断进步，企业可以利用新的功能来监控和学习网络模式，从而快速、安全地学习网络模式和用户。 

随着大型语言模型（LLM）技术的不断进步，可以训练模型来学习和回答有关网络的问题。 

将这些功能结合起来，可以提供先进的能力，支持现有的网络团队和工具，持续保护组织的网络、应用程序和用户。  

还有一个额外的好处：这些新兴技术可以让资源较少的团队有能力审查和处理网络威胁和潜在漏洞！

升级网络分析

欲了解有关 Ulap 以及如何发展网络分析的更多信息，请通过contact@ulap.co与 Ulap 联系。