随着企业信息化的不断发展,公司信息化资产数量日趋增多,导致网络安全日志从之前的Gb级一下跃升至PB级,给企业安全管理和安全运维带来巨大的困难。国家对网络安全越加重视,并逐年加大投入,同时对企业安全建设水平也提出了更高的要求,给安全从业人员带来巨大压力。
一、当前的安全形势
随着企业信息化的不断发展,公司信息化资产数量日趋增多、系统的关联性和复杂度不断增强,然而当前信息安全形势日益严峻,信息安全防护工作面临前所未有的困难和挑战。为了更好监控和保障信息系统运行,及时识别和防范安全风险,同时满足国家和行业监管要求,保证信息安全管理工作的依法合规,企业亟需建立一个全数据、集中管理的企业安全平台,做到事前预警、事中监控、事后分析以及响应,全面的提升信息安全管理与防护水平。
2014年,公安部下发了《2014年关于加强网络安全信息通报预警工作的指导建议》,其指导思想是国家网络与信息安全信息通报机制、中央企业网络与信息安全信息通报机制各成员单位,要以习近平总书记讲话精神和党的十八大、十八届三中全会精神为指导,按照“积极利用、科学发展、依法管理、确保安全”的方针,加快完善信息通报预警机制,加大网络安全通报预警工作力度,严格落实重大突发网络安全事件事故报告制度,确保国家网络和信息安全。
2016年,习总书记在“4.19讲话”中再一次强调网络安全建设的重要性,并提出:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力,要加快网络立法进程,完善依法监管措施,化解网络风险。
国家层面接二连三的政策密集出台,其旨在督导各级政府,企事业单位,要把网络安全预警建设,安全态势感知建设和重大安全事故汇报以及应急响应处理机制建设纳入未来的工作重点。
二、传统企业安管平台之殇
如今,从业内各个安全厂商提供的平台型解决方案来看,主要是以日志审计为基础,集成部分网络管理能力,在运维流程和工单管理方面做些强化的安全运维解决方案。面对新的安全形势,新一代的安全运营平台建设不仅要满足客户安全管理需求、支撑起客户安全管理工作,还要解决传统平台无法解决的问题和挑战,主要体现在以下几个方面:
如何实现对分散的海量数据进行采集,分析和展示?
客户要面对以上挑战,首先需要一个好的安全管理平台。这个安全管理平台应该能够实现对客户分散的海量安全信息进行全面的收集、整理、强化、并进行准确的分析和告警。一旦遇到安全问题,能够进行审计追溯和取证。同时,该安全平台应该能够对从GB到PB级数据进行分析和处理,以满足对海量数据的管理,分析,筛选,并提取关键意义的安全事件。
日志生命周期管理
- 如何快速洞悉全网的整体安全趋势?
针对缺乏整体安全趋势呈现的问题,可以考虑在安全平台上构建一个安全分析应用模型,该应用模型承载着将企业零散的安全信息转化成可见的“安全态势”的重任。通过大可视化技术手段和对攻防技术的理解,将企业从边界,内网,终端等不同安全维度安全信息的发展趋势直观的呈现在客户面前,用来协助安全分析人员快速感知全网安全趋势并有效预测未来的高风险点,同时也为企业领导进行安全决策提供技术方面的支撑。
网络入侵态势感知
僵木蠕态势感知
网络安全态势感知
系统漏洞态势感知
异常流量态势感知
- 如何避免被动响应,以主动的方式进行安全管理和事前预警?
其实这已不是一个管理平台的难题,而是一个安全管理的难题。当前的安全平台是以安全事件为核心的,更倾向于事后分析,并且以被动的响应和处置为主。安全事件都是对已经或者正在发生的行为的描述,分析结果更多地指导我们进行故障处置和应急响应,这样就大大增加了安全事件的处置时间。
可是对于用户而言,他们更希望安全提供方能够告知他们哪里可能会出问题,潜在风险是什么!而不仅仅是哪里出了问题,如何补救的问题!因此,主动的安全管理更显得至关重要,用户侧急需要引入一套具有前摄性的安全机制和技术支撑手段,威胁情报孕育而生。
通过威胁情报的主动推送,并与本地平台的数据信息进行多维度的关联分析,可以帮助企业在第一时间了解攻击动向,并采取相应的对策,它在一定程度上解决了主动运维的难题。
情报驱动的安全运维
- 如何将风险管理工作落地并有效执行?
对于企业风险治理问题,最好的办法是找到问题的核心和根源。经典的风险管理模型是从资产,威胁,脆弱性三个层面进行评估和计算的。面面俱到,往往又欲速而不达,传统平台厂商伤透了脑筋。
我们思路是,建立以漏洞为核心,资产为辅助,威胁为参考的三位一体风险管理体系,将问题聚焦,着重解决核心难题。由于企业的风险是以资产的视角进行呈现的,而漏洞又恰恰是资产的风险系数的决定因素,漏洞也决定着威胁攻击是否成功可达,最终左右着资产风险的波动。
因此,要想管理好企业风险,首当其冲是先管理好企业资产的漏洞,并围绕漏洞管理流程进行整体监控。因此,要求安全平台能够将漏洞发现,漏洞评估,漏洞验证和漏洞修复所有环节能够系统,清晰的展示,并能够对漏洞生命周期管理流程的每个环节进行精准控制。
以漏洞管理为核心的风险管理
- 如何与其他系统和平台进行协同管理?
最后,针对安全协同和管理。安全协同是相对于安全孤岛而言的,建设安全平台,不仅要打破安全防御的孤岛,将分散的安全设备和 IT 系统中的安全机制有效地联合到一起,还要能够与针对不同管理目标的管理系统有机地整合到一起,实现与各种管理系统的协同工作。这就要求平台具备一套自适应的体系架构,能够对每一次的安全事件进行全方位的防御,监控,分析,调查追溯以及预测,尤其是对重大安全事件和漏洞,能够做到早发现,早预警和早处置,最终实现企业安全治理的终极目标。
自适应体系的安全管理平台
三、如何实现平台转型
有了以上的对策和思路,我们还需要采用什么样的技术手段才能完成平台转型呢?我们从2个层面进行逐步演进。
- 技术方面的转变
- 传统的结构化数据库已经不能满足海量日志采集,存储,分析的需要,新的安全平台需要采用Hadoop、Spark、Hive、HDFS等技术架构以及插件化设计。平台需要具有很高的性能、可靠性、适应性,包括开放性、可伸缩性和可扩展性。
- 传统的关联分析基本都属于基于规则的关联分析,只能识别规则所能描述的已知的问题,无法识别未知的攻击,或者是尚未被描述成规则的攻击和行为。而规则的撰写又需要专业的安全领域知识,因此实用性受到极大制约。新的安全平台需要采用机器学习技术,对用户的行为特性进行自学习和轮廓画像,通过正常行为特性的持续学习和训练,将企业网络异常行为进行识别和告警。
- 安全平台通过跟绿盟情报中心进行联动,通过情报关联引擎自动收集情报和智能分析成果,对企业发布早期预警信息,评估企业内部可能受影响的设备或资产,避免核心业务系统遭受的攻击和预防潜在的安全隐患,提高安全管理的有效性。
- 运维观念的转变
- 新的安全运维人员或团队需要积极转变观念,从被动响应服务转变为主动运维服务,利用手中的工具,采用攻防的思想,要把企业安全看成“已被攻击”的状态,而不是“已安全”的状态,从攻击者的角度去进行防御,去检测攻击,并找到IOC/IOA,并且执行相应处置动作。
四、绿盟企业安全平台的实践和探索
绿盟科技作为国内安全行业的领军者,早已在安全运营方面进行的了整体布局。在云端,建立了以有效情报为核心的绿盟威胁情报中心。在用户侧,打造了以大数据架构为基础的安全运营平台。通过客户侧的大数据平台,利用云端威胁情报,有效的结合多种攻防场景模型及可视化手段,协助安全专家快速发现和分析安全问题,并能通过实际的运维手段实现安全闭环管理。
同时,针对不同用户的实际需求,我们也提供了不同的解决方案:
- 大数据治理解决方案
- 态势感知解决方案
- 企业资产稽查解决方案
- 脆弱性管理解决方案
- 统一安全管理解决方案
五、结束语
在安全威胁和IT环境不断发展变化的今天,安全管理已经成为大部分企业的刚性需求。我们应该对安全管理平台有着清晰的认识,如同狙击手对抗一样,拥有先进的狙击枪和伪装是取得胜利的必要条件,同时拥有全面的对抗技能和知识则是左右战局的关键。
一款适合我们的安全管理系统首先应该能够尽量覆盖我们安全运维的所有场景,能够帮我们监视安全威胁,能够帮我们预测安全风险,能帮我们对安全运维的结果进行追溯。其次,安全管理平台系统应该具有良好的灵活性和可扩展性,能可持续地、连贯地使用,不会影响新产品或新版本的安全设备可用性,不会使我们安全管理模式受到牵制和羁绊,不会因安全管理的覆盖面难以扩展导致业务安全性面临挑战或更大的风险。这样才能逐步的接近企业安全的理想目标。
如果您需要了解更多内容,可以
加入QQ群:570982169
直接询问:010-68438880