多年来，安然专家一向在争辩事实是外部人员仍是内部人员带来更大年夜的风险。此刻，这类辩论已没有实际意义：因为收集边界已恍惚化，威胁正无处不在。

　　例如，内部人员可能在家里办公或长途办公;员工可能需要操纵BYOD;营业合作火伴和发卖人员常常需要拜候云中关头任务办事。此刻企业比以往任甚么时辰候都更难体味在给定的时候内谁在收集上，和有多少设备在拜候办事、系统和数据。企业正在逐步掉往对收集的节制，而报复打击者则在研究这些新手艺，并操纵它们来绕过传统防御。

　　为了降服这些安然隐患，并获得更好的可视性来肯定谁在利用收集，安然专家纷繁转向收集流量阐发来进步收集安然的可视性。

　　收集安然可视性超出传统防御的范围

　　上面提到的环境夸大年夜了企业应当超出传统安然手艺的范围，及时研究更大年夜环境的安然性。企业不该该在报复打击产生后才禁止报复打击，而是在报复打击产生时检测报复打击，不雅察收集流量可以或许为企业供给更好的收集可视性和对歹意事务更快的检测。收集流量是阐发IP、TCP、UDP和与信息源、方针端口和IP地址相干的其他header信息。这类收集流量阐发工作需要收集安然治理人员进行计谋性的改变，构建对全部收集根本举措措施的周全视角。

　　但是，这类改变遭到人员和手艺的制约。在人员方面，大年夜大都企业已***改变成少花钱多处事。设计安然系统架构、抵抗高级报复打击和辨认缓和解进侵等工作要求谙练的安然工作人员，而良多企业找不到或承担不起这类人才。与此同时，安然企业凡是严重依托于数据泄漏防护(DLP)和企业权限治理(ERM)等产品来检测安然背规环境。当然这些手艺可以或许阐扬必然感化，但它们其实不是全能的，企业需要采纳一种新的编制。

　　收集流量阐发：三管齐下

　　夸大年夜收集流量阐发的新打算：检测、精辟和阐发数据流三管齐下。它操纵多个内部和外部信息来历，并及时措置数据来检测威胁。这里关头是利用已摆设的可用的现有收集根本举措措施。

　　流量阐发对收集中流量的移动环境供给了一个不合的视角。它可以或许阐发在给定的怀抱内一个事务的产生频率。例如，在周末的凌晨至凌晨2点，包含加密.zip文件的流量分开收集并发往亚洲的频率?经由过程流量阐发东西，安然专家可以近乎及时查看这类类型的用户勾当。

　　对流经现代收集的大年夜量数据进行精辟需要可以或许聚合和联系关系数据的东西。思科公司是在市场上推出这类手艺的首批供给商之一。良多其他供给商也接踵加进了这个范畴，包含Vitria、Riverbed和Arbor Networks。对预算严重的企业，则可以考虑Softflowd和FlowScan等开源东西。你可以在networkuptime网站找到这些东西。

　　经由过程利用尺度，能让这些对及时数据的阐发变得更简单，例如NetFlow尺度--由思科开辟而后成了行业尺度。有了尺度，企业可以采取通用格局，从而遴选合适的阐发东西。流量聚合和数据输出的尺度是由IETF来措置的，而企业可以选择的日记阐发东西包含LogRhythm、Nagios和 Splunk。企业有太大都据需要治理，这成了一个标题问题，但云计较可以辅佐。云计较承诺用户按照需求的增加来扩大，如许使他们几近可以瞬时成立虚拟办事器来知足需求。

　　收集流量阐发：不是一朝一夕的解决方案

　　很明显，防病毒手艺等传统抵抗编制已没法抵抗零日报复打击和高级延续威胁。此刻，收集流量阐发为我们供给了一个令人佩服的选择，但全部行业迁徙到这一模式还将需要时候。

　　收集流量阐发需要企业支出一些尽力和放置培训，出格是第一次摆设的时辰;安然专业人员可能不知道他们需要寻觅甚么，是以天然需要一个进修曲线来培养他们寻觅异常的能力。别的，还需要专门的收集阐发东西，而这需要投进资金来摆设。别的，模式改变其实不等闲，它们不是受思惟编制的驱动，而是受改变的鞭策。

　　转移到收集流量阐发需要先奠定必然的根本。起首应当与高级治理人员协商，向他们诠释摆设NetFlow若何实现“共赢”的场合排场—它撑持遍及的企业用处。假定你是代表安然部门，可以结合收集团队，因为他们对路由器和互换机有直接节制权，让他们加进你的阵营很是首要。你还将需要确认现有设备撑持收集流量，和将来采购知足你的估计需求。

　　从计谋上来看，大年夜大都企业已掉队于高级报复打击的能力，而收集流量阐发是恢复这一均衡的首要一步。