PCAP能成为流量分析的黄金标准吗？.docxVIP

PCAP能成为流量分析的黄金标准吗？ PCAP会捕捉整个网络流量中每个数据包（包括元数据和内容）。如果网络上发生什么问题，PCAP就会得知：无论是恶意软件流转数据，还是员工私设了主机，都会被捕获分析。 PCAP能提供CISO们需要却很少达成的事：网络的完整可视化能力。 这类流量监测的安全潜能是显而易见的，这也解释不少美国联邦机构在寻求这一技术解决方案的原因。到2020年底为止，由于SolarWinds事件，美国国土安全局、州政府、阿伯丁武器试验场、美国海军、以及美国导弹防御局都要求有RFP和RFI的PCAP解决方案。 美国国土安全局的企业安全运营中心表示，他们认为“全数据包抓包是网络安全可视化堆栈的一个里程碑，可以让分析师在满足DHS安全要求的情况下进行调查分析”。 不过，这一突然形成的PCAP潮流也引发了一些显而易见的问题：如果PCAP如此强大，为什么还没有被各个机构采用？在联邦机构中的这一趋势是否也会延伸到一半商业领域？ ? “全知”的价值 数据包从来不会说谎。 数据包抓取已经成为网络安全犯罪调查主要证据的黄金标准很长时间了。它是从监控流量传输过的流量一点一点的完整复制。数据包不是一种解析，也不是一种总结描述——它就是最底层的真相。 PCAP会采集所有东西，但是它并不是被设计用于提供实时——或者任何形式的分析，分析是由一些插件或者其他安全工具解决。PCAP的价值是能够抓取并细节