｛版權宣告｝本文由美國Garland Technology授權翰特科技翻譯使用

原文：原文出處

作者：ROSS GREEN

譯者：翰特科技

Network TAP 與 SOC 可視性金三角(SOC Visibility Triad)

坦白地說，IT人員和安全團隊的處境從未像今天這樣困難。由於業務上的需求，不停地採用各種設備，這大大擴大了企業網路的規模，也擴大了網路參與者可以利用的攻擊面，同時帶來了隨之而來的IT可視性的挑戰。

端點檢測和回應 （EDR, Endpoint detection and response） 通常是監視終端設備活動和阻止終端攻擊的首選解決方案。但是，它通常只考慮特定設備，例如電腦或筆記型電腦。其他網路元件，如印表機、網路路由器，甚至一些行動電話，仍然存在著漏洞，提供了更多滲透網路的絕佳標的。

更糟糕的是，缺乏可用資源造成了更多的障礙。缺乏合格的網路安全和網路工程師來填補關鍵職位，導致目前擔任這些職位的員工負荷超出能力並經歷嚴重的倦怠。與此同時，安全領導者也在如同高空走鋼絲般的緊張預算下，小心翼翼地試圖駕馭市場上的所有產品，其中許多產品只專注於事件預防。最後，請瞭解網路入侵幾乎是不可避免的，尤其是對於當今複雜的攻擊媒介。因此，組織必須採用強大的安全策略，除了嘗試防止攻擊外，還側重於識別漏洞並減輕其影響。安全和網路團隊還必須在網路的所有區域部署這些控制件，而不僅僅是在端點上。

三位一體的安全運營中心可視性金三角(SOC Visibility Triad)

SOC 可視性金三角由 Gartner 於 2015 年提出，為整個企業的網路可觀測性提供了框架。它的運行假設是，只要有足夠的時間，攻擊者最終會突破網路邊界。於是重點將放在威脅識別和事件解決上，以便在攻擊者竊取敏感數據、關閉系統或實現其他目標之前阻止攻擊者。

在 Gartner 提出可視性金三角之前，安全運營中心 （SOC） 主要依靠通過安全資訊和事件管理 （SIEM） 工具以及防病毒軟體進行活動日誌記錄來發現異常和潛在事件。當然，這留下了大量的盲點和流程差距，僅考慮使用者和端點，並且沒有自動化的 24/7 威脅解決方案來解決被識別的攻擊。

這促使基本的端點檢測工具（如防病毒軟體）過渡到 EDR，並產生了對其他網路元件（如印表機和路由器）進行擴展威脅檢測的需求。從此，可視性金三角正式建立 - 添加網路檢測和回應（NDR）作為與SIEM和EDR解決方案一起運作的第三部分。

必須關注的網路可視性架構

許多專家認為，金三角應該演變成一個可視性四邊形，納入對應用程式檢測和回應解決方案的單獨需求，主要是因為雲端軟體的採用率大幅增長。然而現在，是NDR 元件應對這些要求。

而為了正確發揮其功能，SOC 團隊需要部署一個全面考慮企業網路的策略，同時找到獲得對網路封包的不間斷存取的方法。默認情況下，他們需要有關網路管理和監控技術的相關知識 - 不幸的是，這些知識經常被排除在當今的安全培訓之外。

使用Network TAP 獲得全面的可視性

從 NDR 工具獲取網路封包副本有兩種主要途徑。一種是在交換機上設定，將數據鏡像(mirror)到一個備用埠（這被稱作SPAN, switch port analyzer）。但另一種更有效的方法則是在需要監控的區域安裝網路測試存取點（Network TAP）。為什麼？

TAP 是可靠的， 100% 保證將封包副本傳送到監控埠。與SPAN相比，它們也是一種更安全、更經濟的選擇。此外，由於它是獨立於交換機和路由器的代理，因此任何TAP的故障都不會影響網路的其他部分。

相對地，SPAN 通常會因大量封包而迅速造成網路設備系統負載過大，以至於數據意外丟棄。SPAN 還有會更改網路封包的時間戳記的問題，並且無法接受任何封包錯誤，如果這些錯誤的封包是代表著違規操作，那這就會出現問題。

Network Packet Broker的優勢和效果

無論是實體的還是虛擬的，Network TAP 都是保持網路可靠和健康可視性的核心元件。但是，複雜網路的 NDR 工具需要的多個流量監看來源，這就需要額外的連結--這就是Network Packet Broker，幫助獲取 TAP、SPAN 和虛擬通道(virtual tunnel)的流量監看來源，並將數據聚合到一起。

除了收集和集中資訊外，Packet Broker還可提供其他功能，例如數據過濾(filtering)、標記(tagging)、時間標記(timestamping)、切片(slice)和遮罩(masking)。它們還可以將數據傳輸到遠端位置，並根據需要跨多個介面將流量負載平衡到各種 NDR 工具中。

這種網路可視性架構的好處不僅僅是在於網路安全的應用，還可以使用高質量的Packet Broker達成 NDR 解決方案中的資源密集型功能，例如重複數據刪除(deduplication)，同時維持穩定的網路速度。TAP的靈活性甚至使IT人員能夠更有效地適應網路基礎設施的變化。

最後，Network TAP 降低了運營成本，因為不需要花費大量人力成本在設定調整，並且比起一般網路設備，Network TAP的平均故障間隔時間 （MTBF） 要長得多，這有助於減輕人力短缺的負面影響。使用Network Packet Broker實現網路可視性的帶來的好處是，用於網路威脅檢測、系統維護和 NDR 配置的系統將會更加有效率。