通過多維數據整合實現高效運維

2019-06-18 05:38:55 中國信息化周報2019年15期

郭大智

作為學校的網絡安全負責人,頭上一直懸著一把達摩克利斯之劍,容不得絲毫的大意,需要隨時警惕學校網絡的變化和異常。 所謂沒有100%的安全,我們能做到的就是采用各種防御手段和安全制度盡量增加被攻擊的成本。這些做好后,在日常運維中針對安全狀態的各維度監控是安全管理者最大的一個抓手,但因為安全涉及面廣、數據量大、人員精力有限等原因,導致安全監控管理的效率一直比較低,難以做到面面俱到和心中有數。為此我們也在不斷地去尋找適合學校環境且能大幅提升監控管理效率的產品。

大連醫科大學

安全態勢感知平臺

從2018年開始,我們就開始考察并測試各廠商的安全態勢感知平臺產品來幫助提升網絡安全管理工作的效率,從2018年下半年開始接觸銳捷的安全態勢感知解決方案, 從整體理念上來講,該方案非常貼合我校安全管理的理念。它 綜合所有現網日志進行大數據安全關聯分析,定位核心的服務器失陷等安全問題,并實時監控網內的整體安全動態。但只有理念不夠,真實效果必須經過實際場景效果的檢驗,這也是我們選擇產品方案一直奉行的原則。

5月11日銳捷態勢感知的第一個版本(P3版本)上線測試,主要基于現網的日志進行綜合分析,包括安全設備日志、網絡日志、服務器日志等等,這種模式顯然可以非常有效地利用現有的安全資源。同時由于采集的維度眾多,在分析全面性上具備優勢,但在實際測試中就發現這種模式存在的難題和局限性:

1.日志采集難題:在我們現網中存在幾臺較老的安全設備,無法支持向第三方發送日志,導致部分有價值信息無法匯總到平臺,也影響到了對平臺的分析素材的支撐。

2.日志標準化難題:由于市場上設備型號眾多,在日志分析模式中,如何對采集到的日志進行精細化的解析,是考驗安全分析平臺能力非常重要的因素,也是考驗產品是否完善非常重要的參考指標,同時代表這產品在實際項目迭代的成熟度。

通過實際的測試,銳捷做得非常不錯,包括兼容的設備型號、日志解析精細度以及銳捷提供的日志優化效率。這個版本整體看展示界面美觀度是有的,但對我們這些具體運維人員來說,實用型還是不夠。首先是在部分日志不足的情況下,分析到的問題比較少,3個月體驗時間也才發現了幾個安全問題,準確度夠,但一定是不全面的。 另外, 易用性上還存在較大差距,站在使用者的角度,測試期間我們也向銳捷提出了很多優化建議,包括如何提升安全分析的全面性和易用性等。

整網多維度安全態勢感知

在需求提完后不到2個月他們就發布了新的流量探針組件,并于11月在我校上線測試。這次在分析能力的全面性上有質的提升,用新的流量探針很好地補充了流量方面的數據,日志+流量綜合的分析模式非常大地提升了安全分析效果,上線十天發現近十個關鍵安全問題。相比于單日志分析模式,安全分析全面性和準確性有了非常大的提升,也讓我們有了整體安全監控的觸角和平臺。通過此輪的實際測試,我們認為“日志+流量”的綜合分析模式,才是適合高校進行整體安全分析平臺建設的模式,雖然此階段測試效果有顯著提升,但之前平臺部分易用性問題仍然存在。

基于“網絡殺傷鏈”的

安全分析

這里確實要點贊銳捷的產品部需求響應和開發團隊,不到1個月,他們又發布了態勢感知主平臺的新版本(P4版本)。之前在測試期間非常多的優化建議得到了落實,在綜合分析能力和易用性上得到了非常大的提升。 以安全事件的維度去展示問題比之前的單告警維度要好用得多,殺傷鏈的攻擊階段展示和攻擊鏈條時間軸也讓查驗變得很方便,問題小貼士和知識庫也給問題閉環處理帶來非常好的幫助。這個版本通過“日志+流量”的關聯分析和殺傷鏈方式進行整合,上線一周發現和預警了30+個安全問題,分析能力得到了質的提升,真正幫助我校完成網絡安全管理工作。

經過半年多的部署使用,我們見證了銳捷安全態勢感知方案不斷的演進, 從最早的分析能力和易用性受限,到現在的全面提升,非常有幸能夠參與到這個產品蝶變的過程,不得不說,只有經過實際使用環境打磨的產品才是好產品。

?
绝密公式规律统计