漫談企業(yè)安全中的數(shù)據(jù)處理之安全監(jiān)控
企業(yè)安全的本質(zhì)就是發(fā)現(xiàn),分析,進而解決安全問題。這里最重要的一步就在于發(fā)現(xiàn)安全事件,而安全事件來自于對現(xiàn)有數(shù)據(jù)的分析。企業(yè)可以分析的安全數(shù)據(jù),很大程度上來自各類的日志文件。監(jiān)控工具通過這些日志文件生成安全事件(傳入數(shù)據(jù)庫,轉(zhuǎn)換為結(jié)構(gòu)化的數(shù)據(jù)),安全軟件和安全分析師根據(jù)異常事件的告警,進行處理和進一步的響應(yīng)。
企業(yè)來說安全數(shù)據(jù)處理的應(yīng)用主要有這幾個方向:
安全監(jiān)控(Security Monitoring) 安全威脅情報(Threat Intelligence) WAF調(diào)試(WAF Tuning)
安全監(jiān)控(Security Monitoring)
安全監(jiān)控分為個人主機監(jiān)控和服務(wù)器監(jiān)控。個人主機監(jiān)控無非就是針對Mac或PC。這兩個系統(tǒng)生成的系統(tǒng)日志內(nèi)容也相對容易處理。廠商的日志Agent讀取單機的系統(tǒng)日志,通過網(wǎng)絡(luò)連接發(fā)送至指定的數(shù)據(jù)倉庫(有部署在用戶內(nèi)網(wǎng)/DMZ的,有部署在云端的),然后通過預(yù)先設(shè)定的規(guī)則進行分析和處理,決定是否忽略或者告警。最近廠商還在DNS上下文章,比如OpenDNS只是對單機DNS查詢時候加以控制,并記錄用戶的訪問行為。個人主機的信息相對敏感,關(guān)乎員工本身的個人隱私和公司的商業(yè)機密,而且數(shù)據(jù)量相對穩(wěn)定,一般會在企業(yè)內(nèi)部進行處理,管理員有點類似網(wǎng)吧里網(wǎng)管這個意思。
單機Agent監(jiān)控的廠商比較常見的有:
Confer:一個相對輕量化的單機日志agent,資源消耗很少,管理端的規(guī)則比較豐富,管理端的數(shù)據(jù)中心可以選擇放在云端。
AMPFire:這個公司先被SourceFire吃掉,之后SourceFire又被Cisco吃掉,特點是整合了沙箱功能,方便安全分析人員了解惡意程序的行為。
Bit9/CarbonBlack:老牌的單機日志agent,不評價。
服務(wù)器監(jiān)控的內(nèi)容就復(fù)雜的多,不同的服務(wù)端軟件或框架會生成各種不同的日志文件,而且高負載的服務(wù)器會產(chǎn)生巨量的日志文件。對企業(yè)來說,如何從海量的數(shù)據(jù)中挑出和攻擊相關(guān)的那幾行日志,是個很大的挑戰(zhàn)。常見的做法是通過正則表達式來過濾日志,把可疑的日志內(nèi)容縮減到一個可以人工分析的范圍之內(nèi),然后交給安全運營中心(SOC)決定如何響應(yīng)。很多企業(yè)不具備部署和操作SOC的能力,而且迫于法律,合規(guī)方面的壓力,不得不選擇其他企業(yè)來管理自己的安全事件。這種代理其他企業(yè)安全管理的公司稱作管理安全提供商(MSSP)。MSSP的強項在于可以關(guān)聯(lián)其客戶所面對的威脅,比如公司A在某時刻面對某種特定的攻擊,分析師根據(jù)威脅數(shù)據(jù)創(chuàng)建了新的防火墻規(guī)則,同樣的防火墻規(guī)則可以推送給被此MSSP管理的其他B,C,D …公司,從而起到提前防護的作用。
MSSP通常會在客戶端部署數(shù)據(jù)倉庫,整合從用戶數(shù)據(jù)中心收集來的安全事件,通過VPN批量傳回控制端供分析師查看。如果發(fā)現(xiàn)了安全問題,分析師通過直接操作防火墻規(guī)則的方式來阻斷攻擊。MSSP也會定期推送威脅特征庫的更新至防火墻。
MSSP常見的廠商有
Dell SecureWorks IBM ISS Verizon Solutionary … (細節(jié)請見 Gartner Magic Quadrant MSSP)
未來的趨勢
隨著企業(yè)的架構(gòu)向云端移動,企業(yè)的SOC也有向云端移動的趨勢,SOC的部署成本大大降低,安全事件的整合速度也大大加快。傳統(tǒng)的MSSP廠商開始從用戶的云平臺收集安全事件,新的MSSP也開始專注云平臺的安全監(jiān)控,安全管理,比如Elastica(RSA上每年都抽獎杜卡迪摩托的那一家)。
傳統(tǒng)的CDN廠商(比如最大那家),從提供WAF開始,逐漸加入監(jiān)控,合規(guī),咨詢等模塊,一步一步向MSSP的方向轉(zhuǎn)化,為客戶提供一站式的應(yīng)用安全解決方案。
