這幾年來,許多資安廠商訴求在端點電腦上,偵測出威脅並予以回應,現在也有業者從網路的角度出發,推出相關的產品,並且稱為網路偵測與回應系統(Network Detection and Response,NDR),今年5月由逸盈科技代理的ExtraHop Reveal(x),就是這種型態的解決方案,它採用線路資料(Wire Data)做為分析的來源,宣稱能透視東西向網路流量,即時分析其中的內容來找出威脅。

這套系統取得流量的做法,是藉由鏡像複製的方式,因此不會影響企業網路的運作,其中針對流量的解析,範圍能夠涵蓋到網路的第2層到第7層,解析超過70種常見的網路傳輸協定,以及拆解4,800種以上的功能,再經由機器學習精確判斷,將流量封包的資訊彙整出攻擊事件。

Reveal(x)能自動探測企業的網路環境裡,可能帶有不良意圖,且未受管控的新裝置,若是發現異常,管理者便能很快獲得通知。這套系統運用了ExtraHop獨有的機器學習演算法,無需管理者手動設定組態,就能解析出完整的情境,並且歸納出企業重要的資產,像是重要伺服器與高階主管的電腦等。

有別於許多同類型的產品,原廠強調,Reveal(x)能將個別網路流量封包所潛藏的資訊,識別為同樣來源所發動的攻擊事件。例如,出現少數用戶端不尋常存取SQL Server資料庫的流量,這套系統能揭露並串連更多細節,像是大量的嘗試登入事件,攻擊者後來還是成功登入資料庫,並下達Select指令,待資料庫傳輸完資料後,便再執行Drop指令刪除內容,在此同時,這個出現異常連線的端點電腦,已經把資料傳到外部等。

除了能更為全面彙整流量的攻擊行為之外,Reveal(x)可運用在大型網路環境,單一收集流量設備最高能支援100Gbps吞吐量。此外,這套系統的部建方式可說是相當多元,不只提供硬體設備,也能支援常見的虛擬化平臺,並且能透過AWS或是Azure快速部署。

產品資訊

ExtraHop Reveal(x)

●代理商:逸盈科技(02)6636-8889
●建議售價:廠商未提供
●系統組成元件:流量探索伺服器、分析伺服器、封包儲存伺服器、主控臺
●部署型式:虛擬設備、實體設備
●虛擬化平臺支援:VMWare ESXi、Hyper-V、KVM
●雲端平臺支援:AWS、Azure

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】


Advertisement

更多 iThome相關內容