随着恶意软件变得越来越狡猾，甚至能够躲避基于特征的反病毒软件和入侵防护系统的检查，一些企业开始利用网络捕获和分析工具检测异常网络行为，并在发生安全威胁时做出响应。网络监控和安全威胁分析解决方案供应商NetWitness就是一家提供此类产品的公司，正与网络监控设备提供商Solera Networks、网络安全软件厂商Check Point Software Technologies和高速数据包捕获解决方案供应商Endace在网络取证市场展开角逐。NetWitness的产品可以捕获和存储网络数据包，并对其进行实时分析和检测。最近，NetWitness的首席安全官Eddie Schwartz接受了我们的采访。Schwartz认为，由于政府机构、大型金融企业和电信公司的安全团队开始越来越多地使用网络分析工具，以防范能够突破传统安全系统的威胁，网络取证这一行业发展势头良好。Schwartz指出，基于特征的安全系统固然重要，但网络收集和取证工具可以帮助大型企业应对未知攻击方法的威胁。以下为采访实录：

　　请简要介绍一下NetWitness公司的产品，贵公司的产品真的只是将取证工具部署在入侵防御系统周围吗？

　　Eddie Schwartz：权威市场研究机构Gartner将网络数据包捕获和分析称为网络取证。关于网络取证有很多问题值得讨论，但大多数问题确实和高级威胁情报有关。对于那些真正在考虑如何应对这些高级威胁的企业确来说，这些攻击属于复杂的威胁，可以躲过反病毒软件和入侵检测系统的检查。有一种应对这些威胁的解决方案是基于全面的数据包捕获和实时的态势感知，我们的产品正是属于这一类解决方案。尽管许多产品都属于这类解决方案，但其中只有少数产品能够处理实时事件响应或实时入侵检测和管理，而我们的产品就具有实时事件响应能力。

　　您刚才提到了响应，贵公司的产品在安全威胁发生时究竟是响应还是报警？一旦谈到响应，贵公司的产品不就变成了入侵防御系统吗？

　　Schwartz：我不太赞成使用“防御（Prevention）”一词，因为这个词现在的意义过于复杂。我认为，有些简单的措施确实可以归类于防御，能够阻止某些攻击或采取某种行动。特征或定义文件就属于这类防御性措施，它们描述了某人已受到的攻击或者事先已对其有一定了解的攻击。问题是，在许多情况下，如果你遇到一些此类恶意软件的实例，你将会发现，35家防御性平台供应商中没有一家会真正承认这些恶意软件，而你也只有8个小时的时间来处理这些恶意软件造成的后果并做出响应。防御并不是最好的办法。当对某些恶意软件有了一定的认识和了解时，你可以将其实例输入到一些防御性的平台。因此，当我们谈到响应时，更多的是指主动检测然后采取必要的响应动作。有些情况下，响应可能是下列动作的组合：修改防火墙规则、书写Snort特征、只是更加密切地监视某些软件，或者将一些额外的威胁源输入到你的防御性平台，以查看此前没有考虑到的一些新的潜在威胁方法。

　　您前面提到了全面的数据包捕获，那么有没有功能足够强大的产品，可以收集所有数据包不丢弃任何数据包？

　　Schwartz：有许多方法可以实现全面的数据包捕获。例如，我们有一个客户，可以说是全球最大的私有IP网络运营商之一，其总数据吞吐量为60GB/s，内部需要实时存储到实时态势感知网格中的数据高达1.5 PB/s（1PB=1024TB）。我们的产品完全可用于这种超大型应用环境，关键问题就是将其扩展到这种应用环境。要实现全面的数据包捕获，既可以利用基于商品型设备的存储方法，也可以利用传统的存储方法，例如存储区域网络或其他方法。使用哪种存储方法仅仅取决于你在数据保留和用例方面的目的。有些企业的用例只限于对安全问题的事件响应，因此其存储数据的使用寿命将短于那些用例更多的是为了典型取证或调查的企业，他们可以回溯并查看更长周期的网络流量历史，这些周期可能是60天、90天甚至在某些情况下更长。

　　有一个术语叫“高级持续性威胁（Advanced Persistent Threat，APT）”，我曾就该术语请教过一位专家，他认为安全产品供应商的营销部门正在淡化APT的使用。您如何定义APT？

　　Schwartz：我认为，判断一种攻击是不是属于APT，可以按照以下三个标准：第一，必须有证据表明攻击者是特定的，而且攻击者有一定的组织性、动机和与此相关的资金支持。第二，攻击的目标有针对性。第三，攻击者能够采取各种不同类型的攻击手段，从社会工程、恶意软件开发到基于网络的攻击等等。例如，我们已经看到，一些政府客户遭受了一系列的鱼叉式网络钓鱼攻击（Spear Phishing Attack）。这些鱼叉式网络钓鱼攻击的范围从非常明确的社会工程攻击到安装恶意软件，而这些恶意软件是攻击者自己开发的，此前从未在其他地方出现过。很显然，恶意软件具有关于企业特定资产的先验信息——一些网络映射工作在此之前已经完成。这些鱼叉式网络钓鱼攻击就符合我对APT的定义。

　　有没有办法将这种基于网络设备的数据包收集和分析方法简化为一种面向中小型企业的轻量级版本？

　　Schwartz：这项工作已经被纳入我们的计划之中。目前，我们的客户主要是大型和超大型的政府机构和商业企业。我们已经在计划开发针对特定类型用例的产品，也就是你所说的交付即用型解决方案。但是，我认为应对高级威胁没有捷径可走。现在，安全机构（如SANS）应该提醒用户，不要再考虑如何通过反病毒软件解决特定的威胁，而应该开始考虑如何获得对其网络的可见性。一个新兴的威胁情报市场将会出现并不断发展，人们可以在这里提供自动化的威胁情报，这些威胁情报的复杂性将前所未有。