1 项目背景
1.1 整体安全观
网络安全管理平台作为企业安全的大脑,也就是整个企业的安全运营中心,其数据接入的多少、好坏直接影响到安全运营的效果,如果以汽车来比喻的话,数据就是汽车的油箱或者电瓶,是保障汽车启动的动力。
1.2 安全现状
(一)数据接入不全面,告警结果不准确
企业IT资产的日志包括系统日志、中间件日志、数据库日志,安全设备日志、网络设备日志,其涉及的日志类型多、规模庞大,企业大部分未完成全部接入,存在监控死角;
(二)数据量呈现过多,重要信息难发现
以10Gbps流量的举例,大概每天会产生50000条左右的日志,但是真正有效的日志只有100条以内,想要在几万条的数据中发现几十条有用的数据,无异于是大海捞针;
(三)数据存在孤岛,数据无法串联
由于企业建设的阶段不同、要求不同,安全设备存在不同的安全厂商、安全设备之间能力未打通,因此无法进行关联分析,根据洛克希德马丁的杀伤链模型,攻击并不是凭空出现,安全设备的日志与系统的日志之间都是有关联的;
(四)能力建设缺失,未有统一规划
安全作为业务的附属,大多数企业在投资还是管理上都存在严重不足的情况,脑海中对安全的要求是不出事就可以,但是安全不同于业务,安全平常是不可见的,只有在被攻击的时候才会体现效果;
1.3 建设依据
1.3.1 网络安全法(日志)
第二十一条(三)项:采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
1.3.2 IPDDR(能力)
是美国国家标准与技术研究所(National Institute of Standards and Technology)的网络安全框架包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,从以防护为核心的模型,转向以检测和业务连续性管理的模型,变被动为主动,最终达成自适应的安全能力。
1.3.3 Agent(资产)
采集:物理设备的信息、软件平台和应用的信息等信息,实现内部资产全视图;
2 能力说明(数据接入)
日志采集应该具备多种采集协议包括
2.1 日志数据接入(采用标准化接口和自适应接口)
2.1.1 标准化接口:
制定接收安全设备日志的标准化接口,包括设备运行日志、设备风险日志等,因为其他比如操作系统、数据库等不太可能为你修改,建议不需要考虑,特别考虑网络设备的日志,有助于后续的整体IT资产的呈现。
2.1.2 自适应接口:
采取常规的数据日志对接,通常需要3~5天的研发、测试周期,对于现阶段的数字时代,这效率明显无法满足要求,通过自适应的日志接口,只需要简单的配置即可实现数据对接。
2.1.2.1 正则表达式拼接
2.1.2.2 自适应接口
根据自然语言学习,实现对字段内容的识别
2.2 能力接入(定制化或者标准化接口)
攻防对抗的本质就是发现时间+处置时间大于黑客盗取数据或者造成破坏的时间,我们越快进行处置,就越可能降低我们的损失。
2.2.1 定制化接口:
对接防火墙、XDR、EDR、WAF等具有阻断类型的安全设备,这样在可信的告警发现之后我们可以自动进行风险处置:
【单点风险管理】比如防火墙可以添加访问策略,组织黑客访问路径,比如XDR我们可以直接调用杀毒能力,将病毒消除,比如我们可以调用4A,直接将风险资产关机,比如我们可以调用交换机,直接切断网络;
【多点风险管理】当发现同一网络群中有一台资产发生告警,可以通过能力调用检查整个网络群中是否有同样的情况发生。
2.2.2 标准化接口:
制定安全能力调用的标准接口:应该包括唯一标识码、操作人、操作时间、操作系统、操作模块、操作动作、开始时间、结束时间等,此块主要针对的是业务系统能力调用,比如可以实现业务系统访问的精细化的控制,但风险升级时候,我们可以拒绝访问或者降低访问权限;
2.3 资产接入
人工接入:采用人工更新的方式对管理的资产数据进行更新,效率低并且不准确,只能作为辅助手段,小数据量进行使用;
自动接入:采用Agent代理自动采集资产属性,并且自动更新,现在业界此功能基本都已经很成熟,此块只要考虑如果兼容预留其他能力对接,比如我们有资产属性采集能力,我还需要对接防病毒能力、入侵检测能力,一个是在语言环境的兼容、一个是接口的兼容。
2.4 其他接入
威胁情报:外部开源威胁情报或者收费威胁情报能够进一步发现风险,威胁情报就是赌我不是第一个被攻击的,通过第一时间购买第一受害人的攻击详细信息,比如攻击源、攻击工具,攻击行为等数据,在黑客发起攻击的第一时间进行阻断;
风险情报:包括弱口令、基线、主机漏洞、WEB漏洞、数据库漏洞等信息,可通过扫描器或者外部公开的漏洞预警数据。
3 技术架构
实时处理;实时告警数据、高危告警数据
离线处理:统计数据、低危告警数据
4 关键点
日志数量大:采用日志压缩技术,在需要使用时候才进行解压,在效率和成本之间考虑;
日志类型多:将人力彻底又重复且价值低的工作中解放出来,采用自动化工具实现对接;
感兴趣的小伙伴,或者遇到任何安全问题的小伙伴都可以加我们官方客服进群互动,德斯克信息安全专家服务,为你解决信息安全问题!!!
本文作者:清年如水, 来自FreeBuf.COM
原文始发于微信公众号(德斯克安全小课堂):实战经验 | 企业安全运营如何做好数据接入?
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论