7月4日消息,2012年中國計算機網(wǎng)絡(luò)安全年會在西安舉行,東軟網(wǎng)絡(luò)安全產(chǎn)品營銷中心副總經(jīng)理曹鵬在發(fā)表演講時表示,數(shù)據(jù)大集團中網(wǎng)絡(luò)安全監(jiān)測模式面臨困境挑戰(zhàn)。
東軟網(wǎng)絡(luò)安全產(chǎn)品營銷中心副總經(jīng)理曹鵬
以下為演講實錄:
大家下午好。
數(shù)據(jù)大集團中網(wǎng)絡(luò)大集中發(fā)現(xiàn)背景下的安全監(jiān)測模式面臨的困境挑戰(zhàn)。下面二級三級所有分支的機構(gòu)和單位會發(fā)現(xiàn)他們對信息安全,不管是人力物力還是財力的投入都會越來越少。成百上千個我們采購的設(shè)備,這些年來有一個質(zhì)疑的聲音說它們沒用,我們所能夠采用的數(shù)據(jù)規(guī)模如果越來越大,必然我們分析和看到的趨勢也將越來越多,如果未來大網(wǎng)是它發(fā)展的趨勢我們能夠在這張大網(wǎng)中做哪些改進(jìn)和改變。
大網(wǎng)掘金,一個差不多的金礦是100000:1是金礦石的合格含量,今天它同樣是大網(wǎng)背景下的安全監(jiān)測事件分析命中率。大網(wǎng)的安全檢測模式成為了發(fā)展趨勢,一個小型的A用戶、B用戶、C用戶,大網(wǎng)的第一個特點,你會看到數(shù)十個不同廠家的設(shè)備,在這種模式下面,如果我們安全的監(jiān)測和預(yù)警,整個的機制體制發(fā)揮效應(yīng),你要采集到大量的內(nèi)容。我把我監(jiān)測出來的安全的實踐,如果通過我們的運維提升它的效率,這是我們在思考的一個問題,我們應(yīng)該把我們的安全運營放在一起不斷的開發(fā),效率不斷的提升,所以你會發(fā)現(xiàn)很快就會做到我們個人能力的極限。如何能夠真正的讓我們?nèi)ネ黄七@個底線。
大網(wǎng)環(huán)境下安全設(shè)備的日志信息構(gòu)成“待開發(fā)的信息寶藏”。關(guān)鍵分析策略:首先重點關(guān)注被組織訪問行為,如某IP地址重復(fù)出現(xiàn)大量被阻止訪問告警日志,往往多為蠕蟲惡意代碼自動所為。其次關(guān)注內(nèi)到外的允許行為中短時間出現(xiàn)大量敏感業(yè)務(wù)端口。我們看第一個案例,內(nèi)網(wǎng)PC遭受黑客感染,來自安全域邊界防火墻的告警分析展示:內(nèi)網(wǎng)地址發(fā)現(xiàn)明顯黑客肉雞特征的大量攻擊行為,感染主機先后大范圍進(jìn)行散彈式隨機互聯(lián)網(wǎng)IP地址掃描探測,包含有445 80 3389 3306等敏感服務(wù)端口。在大量的正常訪問日志中建立基線觸發(fā)異常。入侵檢測設(shè)備告警日志分析關(guān)注應(yīng)用事件的上下聚合關(guān)聯(lián)。關(guān)鍵分析策略:根據(jù)事件名稱進(jìn)行事件類別歸類,同時取來源目的IP地址和端口。這個是典型告警事件分析2:夜間對部委網(wǎng)站發(fā)起的漏洞利用攻擊。內(nèi)網(wǎng)PC遭受黑客感染,顯示來自某理工大學(xué)的IP地址針對國家部委網(wǎng)站發(fā)起了一次明顯的應(yīng)用層漏洞攻擊。應(yīng)用層告警的判斷依據(jù)主要是數(shù)量多、業(yè)務(wù)層告警連續(xù)觸發(fā)誤告很低,且告警時間網(wǎng)站內(nèi)容敏感。短時間內(nèi)連續(xù)觸發(fā)大量告警行為其誤告率會下降。這是短時間內(nèi)針對目標(biāo)來自不同部署位置不同類型的安全設(shè)備告警,且告警攻擊類型和數(shù)量都較多,其攻擊行為的命中率也會非常高。建立一套合理的分析機制,將分析數(shù)據(jù)從日志聚合走向事件關(guān)聯(lián)。
防御體系中的運行日志與誤告警。關(guān)鍵詞:是什么導(dǎo)致一套監(jiān)測防御體系建設(shè)后走向平庸。過于敏感的網(wǎng)絡(luò)流量檢測技術(shù)針對正常應(yīng)用訪問極易觸發(fā)各類誤告警,例如Web技術(shù)發(fā)展豐富多樣性,相關(guān)代碼最容易與安全關(guān)鍵檢測字樣本發(fā)生碰撞,誤告警過高使得真實告警事件難以發(fā)現(xiàn)。傳統(tǒng)安全防御體系中設(shè)備大部分還在傳統(tǒng)的就事論事的工作模式,即根據(jù)內(nèi)置樣本或者固化策略分析問題。
我們能不能真正去改變這樣的現(xiàn)狀。結(jié)合大網(wǎng)發(fā)展是未來非常好的趨勢,這個趨勢是勢不可當(dāng)?shù)摹T诖缶W(wǎng)環(huán)境下可以看到眾多廠家品牌的不同類型安全防御設(shè)備,其部署位置多樣其監(jiān)測分析的基礎(chǔ)能力可以說是蘊含豐富。如果能夠?qū)⑦@些監(jiān)測資源能力進(jìn)行整合。大網(wǎng)促生未來安全監(jiān)測防御的生態(tài)華體系發(fā)展。安全監(jiān)測預(yù)警防御體系不應(yīng)是單純的設(shè)備重疊或者只是強調(diào)日志統(tǒng)一管理平臺的建設(shè)規(guī)模。我們能不能不再讓平臺是一個工具,如果說它是一個平臺,讓大家都能按照自己的需要,大家一起去到里面參與,改變安全監(jiān)測工具的模式,把工具變成平臺,我們能夠讓更多的人參與到里面的工作,也許會有很大的不同。為了能夠讓我們的想法,或者說讓我們的設(shè)想真正能夠開始落地,我們也一直尋找,我們在2011年的時候?qū)ふ伊诉@么一個建設(shè)機會,2011年在北京市電子政務(wù)外網(wǎng)取得技術(shù)突破獲得好評。自建67個節(jié)點17款不同類型設(shè)備入網(wǎng)進(jìn)行異構(gòu)部署。為了能夠讓我們的監(jiān)控更加有效,實時監(jiān)測網(wǎng)絡(luò)攻擊、蠕蟲木馬傳播、惡意病毒等等。然后配備了一個專門的監(jiān)控團隊,組建安全運營中心,專業(yè)運維團隊實時監(jiān)控值守。
我們?yōu)榱诉@個項目的支撐,完成我們第一個挑戰(zhàn),編寫形成安全監(jiān)控交互式數(shù)據(jù)接口標(biāo)準(zhǔn)化草案。國內(nèi)首個行業(yè)內(nèi)信息安全監(jiān)控數(shù)據(jù)交互接口規(guī)范。涵蓋數(shù)據(jù)上報、知識共享、查詢交互、認(rèn)證等多方面。兼容國內(nèi)主流安全產(chǎn)品。實現(xiàn)海量告警數(shù)據(jù)整合與多源告警分析。全網(wǎng)多層分布式共部署安全監(jiān)測設(shè)備200余臺,每天產(chǎn)生近億條待分析安全告警日志。這些日志信息除了合理存儲外,更需要建立層次化的實時關(guān)聯(lián)分析以及模擬攻擊場景的復(fù)雜策略分析。平臺創(chuàng)新設(shè)計了多層次分布式軟硬件支撐結(jié)構(gòu)和模糊場景關(guān)聯(lián)分析算法,有效的解決了海量告警數(shù)據(jù)的存儲和分析名中,系統(tǒng)目前已經(jīng)具備每日分析處置數(shù)億條原始日志的計算能力。監(jiān)控預(yù)警平臺應(yīng)用及推廣情況。目前,監(jiān)控預(yù)警平臺運維穩(wěn)定,已有15家委辦局使用平臺提供的定制化監(jiān)測預(yù)警服務(wù)。截止到2012年7月3日18點,監(jiān)測網(wǎng)絡(luò)共上報原始報警日志479億條,平臺發(fā)現(xiàn)處置信息安全事件86450起,經(jīng)過運維人員發(fā)現(xiàn)高危級事件367次,共涉及140余家相關(guān)單位,所有事件均得到了及時處置。首個應(yīng)用SaaS模式的監(jiān)控預(yù)警平臺構(gòu)成的初級防御生態(tài)體系。
把握住大網(wǎng)建設(shè)的發(fā)展機遇,產(chǎn)業(yè)內(nèi)充分合作構(gòu)建防御生態(tài),才能真正開始信息安全的雙贏掘金之旅。我的介紹就到這里,謝謝大家。
推薦閱讀
我國網(wǎng)絡(luò)防護(hù)能力提高 智能終端成安全重點
記者從4日召開的2012中國計算機網(wǎng)絡(luò)安全年會上獲悉,2011年我國企業(yè)網(wǎng)絡(luò)安全防護(hù)措施總體達(dá)標(biāo)率98.78%,較2010年的92.25%穩(wěn)步提升。但今年我國的網(wǎng)絡(luò)安全形勢更加復(fù)雜,智能終端將成為網(wǎng)絡(luò)安全防護(hù)的重點目標(biāo)。 國家>>>詳細(xì)閱讀
本文標(biāo)題:曹鵬:網(wǎng)絡(luò)安全監(jiān)測模式面臨挑戰(zhàn)
地址:http://www.brh9h.cn/a/11/20120705/73488.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示