facebook专用免费加速器
VPN 隧道就像海运集装箱一样,被广泛使用(特别是随着大流行病的出现,越来越多的劳动力转向远程工作),既可用于合法目的,也可用于恶意目的。 在公司办公室、远程员工或合作伙伴之间建立隧道来传输数据是 VPN 的合法和常见用途。 但是,攻击者可以利用 VPN 隧道建立后门进入你的网络,甚至允许恶意内部人员通过不受保护的渠道外泄数据。 鉴于 VPN 的普遍性和加密性,它对网络防御者来说是一个挑战。
与大多数网络监控一样,一切都始于可视性。 你目前是如何了解网络上的 VPN 流量的? 也许是从你自己的 VPN 服务(集中器、NGFW、无线控制器、身份验证提供商)中获取日志,这很好,但这些只能告诉你合法使用的情况。 也许您能从 EDR 平台获得一些数据,看到受管端点上安装或使用了哪些设备,但仍有相当大的差距。 那么非托管设备、物联网、影子 IT 和 BYOD 呢?
在你的网络上的任何人都可以连接到外部 VPN 服务,并在你完全不知情的情况下创建一条进出你的网络的隧道。 VPN 使用许多独特的(而且大多是加密的)协议,这些协议的工作方式各不相同,解析起来相当复杂。 即使您能够分析其中的一些协议,但要将特定提供商归属于网络上的通用流量类型也是一项挑战。
科睿光刚刚发布了我们最新的软件版本(v24),其中包括为我们的加密流量收集: VPN 洞察。 通过一套新的协议分析,Corelight的新VPN Insights软件包为您的网络VPN流量提供了无与伦比的可见性,能够分析和识别超过350个独特的VPN提供商,并将这些VPN连接的信息写入一个新的日志。 该日志允许我们的客户识别进出企业网络的所有 VPN 连接,标注正在使用的 VPN 提供商,并提供有关连接的详细元数据,包括持续时间、流量和地理位置信息。 日志还包括一系列推论,以帮助识别行为模式(VPN 是否可能是远程访问,是否使用了可逃避过滤的端口,是否是商业 VPN,是否使用了非标准端口)。
Corelight OpenNDR 方法的部分优势在于,我们的 Zeek 引擎可以快速调整,以发现和分析新的网络协议。 我们的 Zeek 引擎可以快速调整,以发现和分析新的网络协议。辣味框架这允许快速开发可直接在 Zeek 中运行的新分析器。 作为该 VPN 内容研究的一部分、芯光实验室开发并发布了一系列VPN 协议分析仪开源社区。 这些新的分析器是 VPN Insights 软件包的基础,该软件包将 VPN 连接信息提炼成简洁的日志,其中包括提供商名称和元数据。 虽然分析器是开源的,任何 Zeek 用户都可以使用,但 VPN Insights 软件包仅适用于 Corelight 客户。
现在,您可以从对 VPN 流量的有限或部分可视性转变为对网络上正在使用的 VPN 的完整记录。 这些数据对于应对特定事件非常有用,但对于威胁猎捕和合规性也非常宝贵。 您可以回答以下问题
- 有多少端点在使用非企业 VPN 提供商/协议?
- none
- VPN 隧道在一天或一周中的什么时间连接到我们的网络?
我们的一位客户报告说,新的 VPN 日志是他们的 "新宠日志",我们理解其中的原因。 VPN Insights 软件包可以帮助网络维护人员更好地了解在信息高速公路上纵横交错的所有集装箱(或者应该说是 VPN 连接)内发生了什么。
但这还不是最新版软件的全部内容。 Corelight v24 还包括
- 内置检测log4shell 漏洞
- Corelight 车队管理器的备份和恢复功能
- 在我们最大的 AP 5000 硬件传感器上提供更多分流选项。
新版本还包含错误修复和其他增强功能,请访问Corelight 支持门户网站获取更多信息,包括发行说明和用户文档。
我们希望 VPN Insights 软件包对您有所帮助,我们也乐于听取您对我们产品的反馈意见。 请给我们发送电子邮件,与您的支持联系人联系,并关注我们的博客,了解 Corelight 的最新更新。
作者:Corelight 产品管理高级总监 Vince Stoffer
