通過多維數(shù)據(jù)整合實(shí)現(xiàn)高效運(yùn)維
- 來源:中國(guó)信息化周報(bào) smarty:if $article.tag?>
- 關(guān)鍵字:網(wǎng)絡(luò)安全,平臺(tái),指標(biāo) smarty:/if?>
- 發(fā)布時(shí)間:2019-06-28 06:44
作為學(xué)校的網(wǎng)絡(luò)安全負(fù)責(zé)人,頭上一直懸著一把達(dá)摩克利斯之劍,容不得絲毫的大意,需要隨時(shí)警惕學(xué)校網(wǎng)絡(luò)的變化和異常。 所謂沒有100%的安全,我們能做到的就是采用各種防御手段和安全制度盡量增加被攻擊的成本。這些做好后,在日常運(yùn)維中針對(duì)安全狀態(tài)的各維度監(jiān)控是安全管理者最大的一個(gè)抓手,但因?yàn)榘踩婕懊鎻V、數(shù)據(jù)量大、人員精力有限等原因,導(dǎo)致安全監(jiān)控管理的效率一直比較低,難以做到面面俱到和心中有數(shù)。為此我們也在不斷地去尋找適合學(xué)校環(huán)境且能大幅提升監(jiān)控管理效率的產(chǎn)品。
大連醫(yī)科大學(xué)
安全態(tài)勢(shì)感知平臺(tái)
從2018年開始,我們就開始考察并測(cè)試各廠商的安全態(tài)勢(shì)感知平臺(tái)產(chǎn)品來幫助提升網(wǎng)絡(luò)安全管理工作的效率,從2018年下半年開始接觸銳捷的安全態(tài)勢(shì)感知解決方案, 從整體理念上來講,該方案非常貼合我校安全管理的理念。它 綜合所有現(xiàn)網(wǎng)日志進(jìn)行大數(shù)據(jù)安全關(guān)聯(lián)分析,定位核心的服務(wù)器失陷等安全問題,并實(shí)時(shí)監(jiān)控網(wǎng)內(nèi)的整體安全動(dòng)態(tài)。但只有理念不夠,真實(shí)效果必須經(jīng)過實(shí)際場(chǎng)景效果的檢驗(yàn),這也是我們選擇產(chǎn)品方案一直奉行的原則。
5月11日銳捷態(tài)勢(shì)感知的第一個(gè)版本(P3版本)上線測(cè)試,主要基于現(xiàn)網(wǎng)的日志進(jìn)行綜合分析,包括安全設(shè)備日志、網(wǎng)絡(luò)日志、服務(wù)器日志等等,這種模式顯然可以非常有效地利用現(xiàn)有的安全資源。同時(shí)由于采集的維度眾多,在分析全面性上具備優(yōu)勢(shì),但在實(shí)際測(cè)試中就發(fā)現(xiàn)這種模式存在的難題和局限性:
1.日志采集難題:在我們現(xiàn)網(wǎng)中存在幾臺(tái)較老的安全設(shè)備,無法支持向第三方發(fā)送日志,導(dǎo)致部分有價(jià)值信息無法匯總到平臺(tái),也影響到了對(duì)平臺(tái)的分析素材的支撐。
2.日志標(biāo)準(zhǔn)化難題:由于市場(chǎng)上設(shè)備型號(hào)眾多,在日志分析模式中,如何對(duì)采集到的日志進(jìn)行精細(xì)化的解析,是考驗(yàn)安全分析平臺(tái)能力非常重要的因素,也是考驗(yàn)產(chǎn)品是否完善非常重要的參考指標(biāo),同時(shí)代表這產(chǎn)品在實(shí)際項(xiàng)目迭代的成熟度。
通過實(shí)際的測(cè)試,銳捷做得非常不錯(cuò),包括兼容的設(shè)備型號(hào)、日志解析精細(xì)度以及銳捷提供的日志優(yōu)化效率。這個(gè)版本整體看展示界面美觀度是有的,但對(duì)我們這些具體運(yùn)維人員來說,實(shí)用型還是不夠。首先是在部分日志不足的情況下,分析到的問題比較少,3個(gè)月體驗(yàn)時(shí)間也才發(fā)現(xiàn)了幾個(gè)安全問題,準(zhǔn)確度夠,但一定是不全面的。 另外, 易用性上還存在較大差距,站在使用者的角度,測(cè)試期間我們也向銳捷提出了很多優(yōu)化建議,包括如何提升安全分析的全面性和易用性等。
整網(wǎng)多維度安全態(tài)勢(shì)感知
在需求提完后不到2個(gè)月他們就發(fā)布了新的流量探針組件,并于11月在我校上線測(cè)試。這次在分析能力的全面性上有質(zhì)的提升,用新的流量探針很好地補(bǔ)充了流量方面的數(shù)據(jù),日志+流量綜合的分析模式非常大地提升了安全分析效果,上線十天發(fā)現(xiàn)近十個(gè)關(guān)鍵安全問題。相比于單日志分析模式,安全分析全面性和準(zhǔn)確性有了非常大的提升,也讓我們有了整體安全監(jiān)控的觸角和平臺(tái)。通過此輪的實(shí)際測(cè)試,我們認(rèn)為“日志+流量”的綜合分析模式,才是適合高校進(jìn)行整體安全分析平臺(tái)建設(shè)的模式,雖然此階段測(cè)試效果有顯著提升,但之前平臺(tái)部分易用性問題仍然存在。
基于“網(wǎng)絡(luò)殺傷鏈”的
安全分析
這里確實(shí)要點(diǎn)贊銳捷的產(chǎn)品部需求響應(yīng)和開發(fā)團(tuán)隊(duì),不到1個(gè)月,他們又發(fā)布了態(tài)勢(shì)感知主平臺(tái)的新版本(P4版本)。之前在測(cè)試期間非常多的優(yōu)化建議得到了落實(shí),在綜合分析能力和易用性上得到了非常大的提升。 以安全事件的維度去展示問題比之前的單告警維度要好用得多,殺傷鏈的攻擊階段展示和攻擊鏈條時(shí)間軸也讓查驗(yàn)變得很方便,問題小貼士和知識(shí)庫(kù)也給問題閉環(huán)處理帶來非常好的幫助。這個(gè)版本通過“日志+流量”的關(guān)聯(lián)分析和殺傷鏈方式進(jìn)行整合,上線一周發(fā)現(xiàn)和預(yù)警了30+個(gè)安全問題,分析能力得到了質(zhì)的提升,真正幫助我校完成網(wǎng)絡(luò)安全管理工作。
經(jīng)過半年多的部署使用,我們見證了銳捷安全態(tài)勢(shì)感知方案不斷的演進(jìn), 從最早的分析能力和易用性受限,到現(xiàn)在的全面提升,非常有幸能夠參與到這個(gè)產(chǎn)品蝶變的過程,不得不說,只有經(jīng)過實(shí)際使用環(huán)境打磨的產(chǎn)品才是好產(chǎn)品。
郭大智
