當前企業IT環境的資安防禦皆由異質供應商的軟硬體所組成,就算建置SIEM平台蒐集日誌,其關聯分析仍著重於南北向網路傳輸行為,缺乏內網環境東西向活動的可視性,一旦企業網路遭受入侵,便難以察覺內網異常行為。為此,NEITHNET自主研發的「NEITHViewer網路惡意威脅鑑識軟體」可同步監控橫向擴散與縱向流量,一旦發現威脅入侵,NEITHViewer即可協助IT人員檢視端點環境惡意程式滲透入侵的漏洞、橫向擴散手法,釐清第一台被滲透的端點、攻擊程式、行為模式,精準追蹤可疑足跡,提高內網環境橫向流動的可視性與辨識度。
從近幾年企業爆發的重大資安事故可發現,攻擊者滲透成功取得灘頭堡後,下一步即是橫向移動,伺機竊取機敏資料並回傳到中繼站,等待時機進行勒索。因此,企業必須有能力及早偵查發現並從中阻斷攻擊,才能免於重大風險與損失。NEITHViewer整合Netflow與網路封包行為內容,並搭配精準即時的在地化情資,協助企業監控與判讀攻擊活動,一旦發現可疑數據或橫向移動行為,立即發出告警通知IT人員;並能透過回顧歷史資料,看到攻擊破口,及內部有那些對象受到影響,大幅降低釀成資安事故的風險。此外,NEITHViewer提供整合資訊可視化報表,讓IT人員一目了然,輕鬆掌握內網即時情況。
NEITHViewer同時採用Netflow與Traffic Mirroring,有效補足了其它資安設備欠缺的內網環境監控能力。相較Mirroring,部署NEITHViewer採用Netflow方式較為單純,把網路設備設置日誌拋送的位址指向NEITHViewer即可彙整所有資料。之後再與NEITHNET豐富、即時且精確的威脅情資(NEITHInsight)作分析比對,針對高風險指數再做進一步分析,逐步拆解找出那些外部惡意IP位址在攻擊企業內部,釐清感染範圍。此外,NEITHViewer具有機器學習演算模型實作分析引擎,可依據主機或網路流量行為,學習行為模式,有助於判讀Netflow資料,掌握網路連線細節,釐清擴散感染的行為。
NEITHViewer有效提供企業以更簡潔、快速、精確的方式,提早預警、搶先發現主機異常行為與流量,甚至在網路內進行的弱點攻擊、掃描等行為,確保重要主機資料安全與網路安全,協助企業大幅減輕資安管理上的負擔與壓力,讓企業IT人員心無旁騖衝刺重要業務,創造更大的IT價值。