企業安全的本質就是發現,分析,進而解決安全問題。這里最重要的一步就在于發現安全事件,而安全事件來自于對現有數據的分析。企業可以分析的安全數據,很大程度上來自各類的日志文件。監控工具通過這些日志文件生成安全事件(傳入數據庫,轉換為結構化的數據),安全軟件和安全分析師根據異常事件的告警,進行處理和進一步的響應。
企業來說安全數據處理的應用主要有這幾個方向:
安全監控(Security Monitoring)
安全威脅情報(Threat Intelligence)
WAF調試(WAF Tuning)
安全監控(Security Monitoring)
安全監控分為個人主機監控和服務器監控。個人主機監控無非就是針對Mac或PC。這兩個系統生成的系統日志內容也相對容易處理。廠商的日志Agent讀取單機的系統日志,通過網絡連接發送至指定的數據倉庫(有部署在用戶內網/DMZ的,有部署在云端的),然后通過預先設定的規則進行分析和處理,決定是否忽略或者告警。最近廠商還在DNS上下文章,比如OpenDNS只是對單機DNS查詢時候加以控制,并記錄用戶的訪問行為。個人主機的信息相對敏感,關乎員工本身的個人隱私和公司的商業機密,而且數據量相對穩定,一般會在企業內部進行處理,管理員有點類似網吧里網管這個意思。
單機Agent監控的廠商比較常見的有:
Confer:一個相對輕量化的單機日志agent,資源消耗很少,管理端的規則比較豐富,管理端的數據中心可以選擇放在云端。
AMPFire:這個公司先被SourceFire吃掉,之后SourceFire又被Cisco吃掉,特點是整合了沙箱功能,方便安全分析人員了解惡意程序的行為。
Bit9/CarbonBlack:老牌的單機日志agent,不評價。
服務器監控的內容就復雜的多,不同的服務端軟件或框架會生成各種不同的日志文件,而且高負載的服務器會產生巨量的日志文件。對企業來說,如何從海量的數據中挑出和攻擊相關的那幾行日志,是個很大的挑戰。常見的做法是通過正則表達式來過濾日志,把可疑的日志內容縮減到一個可以人工分析的范圍之內,然后交給安全運營中心(SOC)決定如何響應。很多企業不具備部署和操作SOC的能力,而且迫于法律,合規方面的壓力,不得不選擇其他企業來管理自己的安全事件。這種代理其他企業安全管理的公司稱作管理安全提供商(MSSP)。MSSP的強項在于可以關聯其客戶所面對的威脅,比如公司A在某時刻面對某種特定的攻擊,分析師根據威脅數據創建了新的防火墻規則,同樣的防火墻規則可以推送給被此MSSP管理的其他B,C,D …公司,從而起到提前防護的作用。
MSSP通常會在客戶端部署數據倉庫,整合從用戶數據中心收集來的安全事件,通過VPN批量傳回控制端供分析師查看。如果發現了安全問題,分析師通過直接操作防火墻規則的方式來阻斷攻擊。MSSP也會定期推送威脅特征庫的更新至防火墻。
MSSP常見的廠商有
Dell SecureWorks
IBM ISS
Verizon
Solutionary
…
(細節請見 Gartner Magic Quadrant MSSP)
未來的趨勢
隨著企業的架構向云端移動,企業的SOC也有向云端移動的趨勢,SOC的部署成本大大降低,安全事件的整合速度也大大加快。傳統的MSSP廠商開始從用戶的云平臺收集安全事件,新的MSSP也開始專注云平臺的安全監控,安全管理,比如Elastica(RSA上每年都抽獎杜卡迪摩托的那一家)。
傳統的CDN廠商(比如最大那家),從提供WAF開始,逐漸加入監控,合規,咨詢等模塊,一步一步向MSSP的方向轉化,為客戶提供一站式的應用安全解決方案。
京公網安備 11010502049343號