7月4日消息,2012年中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)在西安舉行,東軟網(wǎng)絡(luò)安全產(chǎn)品營(yíng)銷(xiāo)中心副總經(jīng)理曹鵬在發(fā)表演講時(shí)表示,數(shù)據(jù)大集團(tuán)中網(wǎng)絡(luò)安全監(jiān)測(cè)模式面臨困境挑戰(zhàn)。
東軟網(wǎng)絡(luò)安全產(chǎn)品營(yíng)銷(xiāo)中心副總經(jīng)理曹鵬
以下為演講實(shí)錄:
大家下午好。
數(shù)據(jù)大集團(tuán)中網(wǎng)絡(luò)大集中發(fā)現(xiàn)背景下的安全監(jiān)測(cè)模式面臨的困境挑戰(zhàn)。下面二級(jí)三級(jí)所有分支的機(jī)構(gòu)和單位會(huì)發(fā)現(xiàn)他們對(duì)信息安全,不管是人力物力還是財(cái)力的投入都會(huì)越來(lái)越少。成百上千個(gè)我們采購(gòu)的設(shè)備,這些年來(lái)有一個(gè)質(zhì)疑的聲音說(shuō)它們沒(méi)用,我們所能夠采用的數(shù)據(jù)規(guī)模如果越來(lái)越大,必然我們分析和看到的趨勢(shì)也將越來(lái)越多,如果未來(lái)大網(wǎng)是它發(fā)展的趨勢(shì)我們能夠在這張大網(wǎng)中做哪些改進(jìn)和改變。
大網(wǎng)掘金,一個(gè)差不多的金礦是100000:1是金礦石的合格含量,今天它同樣是大網(wǎng)背景下的安全監(jiān)測(cè)事件分析命中率。大網(wǎng)的安全檢測(cè)模式成為了發(fā)展趨勢(shì),一個(gè)小型的A用戶(hù)、B用戶(hù)、C用戶(hù),大網(wǎng)的第一個(gè)特點(diǎn),你會(huì)看到數(shù)十個(gè)不同廠(chǎng)家的設(shè)備,在這種模式下面,如果我們安全的監(jiān)測(cè)和預(yù)警,整個(gè)的機(jī)制體制發(fā)揮效應(yīng),你要采集到大量的內(nèi)容。我把我監(jiān)測(cè)出來(lái)的安全的實(shí)踐,如果通過(guò)我們的運(yùn)維提升它的效率,這是我們?cè)谒伎嫉囊粋(gè)問(wèn)題,我們應(yīng)該把我們的安全運(yùn)營(yíng)放在一起不斷的開(kāi)發(fā),效率不斷的提升,所以你會(huì)發(fā)現(xiàn)很快就會(huì)做到我們個(gè)人能力的極限。如何能夠真正的讓我們?nèi)ネ黄七@個(gè)底線(xiàn)。
大網(wǎng)環(huán)境下安全設(shè)備的日志信息構(gòu)成“待開(kāi)發(fā)的信息寶藏”。關(guān)鍵分析策略:首先重點(diǎn)關(guān)注被組織訪(fǎng)問(wèn)行為,如某IP地址重復(fù)出現(xiàn)大量被阻止訪(fǎng)問(wèn)告警日志,往往多為蠕蟲(chóng)惡意代碼自動(dòng)所為。其次關(guān)注內(nèi)到外的允許行為中短時(shí)間出現(xiàn)大量敏感業(yè)務(wù)端口。我們看第一個(gè)案例,內(nèi)網(wǎng)PC遭受黑客感染,來(lái)自安全域邊界防火墻的告警分析展示:內(nèi)網(wǎng)地址發(fā)現(xiàn)明顯黑客肉雞特征的大量攻擊行為,感染主機(jī)先后大范圍進(jìn)行散彈式隨機(jī)互聯(lián)網(wǎng)IP地址掃描探測(cè),包含有445 80 3389 3306等敏感服務(wù)端口。在大量的正常訪(fǎng)問(wèn)日志中建立基線(xiàn)觸發(fā)異常。入侵檢測(cè)設(shè)備告警日志分析關(guān)注應(yīng)用事件的上下聚合關(guān)聯(lián)。關(guān)鍵分析策略:根據(jù)事件名稱(chēng)進(jìn)行事件類(lèi)別歸類(lèi),同時(shí)取來(lái)源目的IP地址和端口。這個(gè)是典型告警事件分析2:夜間對(duì)部委網(wǎng)站發(fā)起的漏洞利用攻擊。內(nèi)網(wǎng)PC遭受黑客感染,顯示來(lái)自某理工大學(xué)的IP地址針對(duì)國(guó)家部委網(wǎng)站發(fā)起了一次明顯的應(yīng)用層漏洞攻擊。應(yīng)用層告警的判斷依據(jù)主要是數(shù)量多、業(yè)務(wù)層告警連續(xù)觸發(fā)誤告很低,且告警時(shí)間網(wǎng)站內(nèi)容敏感。短時(shí)間內(nèi)連續(xù)觸發(fā)大量告警行為其誤告率會(huì)下降。這是短時(shí)間內(nèi)針對(duì)目標(biāo)來(lái)自不同部署位置不同類(lèi)型的安全設(shè)備告警,且告警攻擊類(lèi)型和數(shù)量都較多,其攻擊行為的命中率也會(huì)非常高。建立一套合理的分析機(jī)制,將分析數(shù)據(jù)從日志聚合走向事件關(guān)聯(lián)。
防御體系中的運(yùn)行日志與誤告警。關(guān)鍵詞:是什么導(dǎo)致一套監(jiān)測(cè)防御體系建設(shè)后走向平庸。過(guò)于敏感的網(wǎng)絡(luò)流量檢測(cè)技術(shù)針對(duì)正常應(yīng)用訪(fǎng)問(wèn)極易觸發(fā)各類(lèi)誤告警,例如Web技術(shù)發(fā)展豐富多樣性,相關(guān)代碼最容易與安全關(guān)鍵檢測(cè)字樣本發(fā)生碰撞,誤告警過(guò)高使得真實(shí)告警事件難以發(fā)現(xiàn)。傳統(tǒng)安全防御體系中設(shè)備大部分還在傳統(tǒng)的就事論事的工作模式,即根據(jù)內(nèi)置樣本或者固化策略分析問(wèn)題。
我們能不能真正去改變這樣的現(xiàn)狀。結(jié)合大網(wǎng)發(fā)展是未來(lái)非常好的趨勢(shì),這個(gè)趨勢(shì)是勢(shì)不可當(dāng)?shù)摹T诖缶W(wǎng)環(huán)境下可以看到眾多廠(chǎng)家品牌的不同類(lèi)型安全防御設(shè)備,其部署位置多樣其監(jiān)測(cè)分析的基礎(chǔ)能力可以說(shuō)是蘊(yùn)含豐富。如果能夠?qū)⑦@些監(jiān)測(cè)資源能力進(jìn)行整合。大網(wǎng)促生未來(lái)安全監(jiān)測(cè)防御的生態(tài)華體系發(fā)展。安全監(jiān)測(cè)預(yù)警防御體系不應(yīng)是單純的設(shè)備重疊或者只是強(qiáng)調(diào)日志統(tǒng)一管理平臺(tái)的建設(shè)規(guī)模。我們能不能不再讓平臺(tái)是一個(gè)工具,如果說(shuō)它是一個(gè)平臺(tái),讓大家都能按照自己的需要,大家一起去到里面參與,改變安全監(jiān)測(cè)工具的模式,把工具變成平臺(tái),我們能夠讓更多的人參與到里面的工作,也許會(huì)有很大的不同。為了能夠讓我們的想法,或者說(shuō)讓我們的設(shè)想真正能夠開(kāi)始落地,我們也一直尋找,我們?cè)?011年的時(shí)候?qū)ふ伊诉@么一個(gè)建設(shè)機(jī)會(huì),2011年在北京市電子政務(wù)外網(wǎng)取得技術(shù)突破獲得好評(píng)。自建67個(gè)節(jié)點(diǎn)17款不同類(lèi)型設(shè)備入網(wǎng)進(jìn)行異構(gòu)部署。為了能夠讓我們的監(jiān)控更加有效,實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)攻擊、蠕蟲(chóng)木馬傳播、惡意病毒等等。然后配備了一個(gè)專(zhuān)門(mén)的監(jiān)控團(tuán)隊(duì),組建安全運(yùn)營(yíng)中心,專(zhuān)業(yè)運(yùn)維團(tuán)隊(duì)實(shí)時(shí)監(jiān)控值守。
我們?yōu)榱诉@個(gè)項(xiàng)目的支撐,完成我們第一個(gè)挑戰(zhàn),編寫(xiě)形成安全監(jiān)控交互式數(shù)據(jù)接口標(biāo)準(zhǔn)化草案。國(guó)內(nèi)首個(gè)行業(yè)內(nèi)信息安全監(jiān)控?cái)?shù)據(jù)交互接口規(guī)范。涵蓋數(shù)據(jù)上報(bào)、知識(shí)共享、查詢(xún)交互、認(rèn)證等多方面。兼容國(guó)內(nèi)主流安全產(chǎn)品。實(shí)現(xiàn)海量告警數(shù)據(jù)整合與多源告警分析。全網(wǎng)多層分布式共部署安全監(jiān)測(cè)設(shè)備200余臺(tái),每天產(chǎn)生近億條待分析安全告警日志。這些日志信息除了合理存儲(chǔ)外,更需要建立層次化的實(shí)時(shí)關(guān)聯(lián)分析以及模擬攻擊場(chǎng)景的復(fù)雜策略分析。平臺(tái)創(chuàng)新設(shè)計(jì)了多層次分布式軟硬件支撐結(jié)構(gòu)和模糊場(chǎng)景關(guān)聯(lián)分析算法,有效的解決了海量告警數(shù)據(jù)的存儲(chǔ)和分析名中,系統(tǒng)目前已經(jīng)具備每日分析處置數(shù)億條原始日志的計(jì)算能力。監(jiān)控預(yù)警平臺(tái)應(yīng)用及推廣情況。目前,監(jiān)控預(yù)警平臺(tái)運(yùn)維穩(wěn)定,已有15家委辦局使用平臺(tái)提供的定制化監(jiān)測(cè)預(yù)警服務(wù)。截止到2012年7月3日18點(diǎn),監(jiān)測(cè)網(wǎng)絡(luò)共上報(bào)原始報(bào)警日志479億條,平臺(tái)發(fā)現(xiàn)處置信息安全事件86450起,經(jīng)過(guò)運(yùn)維人員發(fā)現(xiàn)高危級(jí)事件367次,共涉及140余家相關(guān)單位,所有事件均得到了及時(shí)處置。首個(gè)應(yīng)用SaaS模式的監(jiān)控預(yù)警平臺(tái)構(gòu)成的初級(jí)防御生態(tài)體系。
把握住大網(wǎng)建設(shè)的發(fā)展機(jī)遇,產(chǎn)業(yè)內(nèi)充分合作構(gòu)建防御生態(tài),才能真正開(kāi)始信息安全的雙贏掘金之旅。我的介紹就到這里,謝謝大家。
推薦閱讀
我國(guó)網(wǎng)絡(luò)防護(hù)能力提高 智能終端成安全重點(diǎn)
記者從4日召開(kāi)的2012中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)上獲悉,2011年我國(guó)企業(yè)網(wǎng)絡(luò)安全防護(hù)措施總體達(dá)標(biāo)率98.78%,較2010年的92.25%穩(wěn)步提升。但今年我國(guó)的網(wǎng)絡(luò)安全形勢(shì)更加復(fù)雜,智能終端將成為網(wǎng)絡(luò)安全防護(hù)的重點(diǎn)目標(biāo)。 國(guó)家>>>詳細(xì)閱讀
本文標(biāo)題:曹鵬:網(wǎng)絡(luò)安全監(jiān)測(cè)模式面臨挑戰(zhàn)
地址:http://www.xglongwei.com/a/11/20120705/73488.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示