7月4日消息,2012年中国计算机网络安全年会在西安举行,东软网络安全产品营销中心副总经理曹鹏在发表演讲时表示,数据大集团中网络安全监测模式面临困境挑战。
东软网络安全产品营销中心副总经理曹鹏
以下为演讲实录:
大家下午好。
数据大集团中网络大集中发现背景下的安全监测模式面临的困境挑战。下面二级三级所有分支的机构和单位会发现他们对信息安全,不管是人力物力还是财力的投入都会越来越少。成百上千个我们采购的设备,这些年来有一个质疑的声音说它们没用,我们所能够采用的数据规模如果越来越大,必然我们分析和看到的趋势也将越来越多,如果未来大网是它发展的趋势我们能够在这张大网中做哪些改进和改变。
大网掘金,一个差不多的金矿是100000:1是金矿石的合格含量,今天它同样是大网背景下的安全监测事件分析命中率。大网的安全检测模式成为了发展趋势,一个小型的A用户、B用户、C用户,大网的第一个特点,你会看到数十个不同厂家的设备,在这种模式下面,如果我们安全的监测和预警,整个的机制体制发挥效应,你要采集到大量的内容。我把我监测出来的安全的实践,如果通过我们的运维提升它的效率,这是我们在思考的一个问题,我们应该把我们的安全运营放在一起不断的开发,效率不断的提升,所以你会发现很快就会做到我们个人能力的极限。如何能够真正的让我们去突破这个底线。
大网环境下安全设备的日志信息构成“待开发的信息宝藏”。关键分析策略:首先重点关注被组织访问行为,如某IP地址重复出现大量被阻止访问告警日志,往往多为蠕虫恶意代码自动所为。其次关注内到外的允许行为中短时间出现大量敏感业务端口。我们看第一个案例,内网PC遭受黑客感染,来自安全域边界防火墙的告警分析展示:内网地址发现明显黑客肉鸡特征的大量攻击行为,感染主机先后大范围进行散弹式随机互联网IP地址扫描探测,包含有445 80 3389 3306等敏感服务端口。在大量的正常访问日志中建立基线触发异常。入侵检测设备告警日志分析关注应用事件的上下聚合关联。关键分析策略:根据事件名称进行事件类别归类,同时取来源目的IP地址和端口。这个是典型告警事件分析2:夜间对部委网站发起的漏洞利用攻击。内网PC遭受黑客感染,显示来自某理工大学的IP地址针对国家部委网站发起了一次明显的应用层漏洞攻击。应用层告警的判断依据主要是数量多、业务层告警连续触发误告很低,且告警时间网站内容敏感。短时间内连续触发大量告警行为其误告率会下降。这是短时间内针对目标来自不同部署位置不同类型的安全设备告警,且告警攻击类型和数量都较多,其攻击行为的命中率也会非常高。建立一套合理的分析机制,将分析数据从日志聚合走向事件关联。
防御体系中的运行日志与误告警。关键词:是什么导致一套监测防御体系建设后走向平庸。过于敏感的网络流量检测技术针对正常应用访问极易触发各类误告警,例如Web技术发展丰富多样性,相关代码最容易与安全关键检测字样本发生碰撞,误告警过高使得真实告警事件难以发现。传统安全防御体系中设备大部分还在传统的就事论事的工作模式,即根据内置样本或者固化策略分析问题。
我们能不能真正去改变这样的现状。结合大网发展是未来非常好的趋势,这个趋势是势不可当的。在大网环境下可以看到众多厂家品牌的不同类型安全防御设备,其部署位置多样其监测分析的基础能力可以说是蕴含丰富。如果能够将这些监测资源能力进行整合。大网促生未来安全监测防御的生态华体系发展。安全监测预警防御体系不应是单纯的设备重叠或者只是强调日志统一管理平台的建设规模。我们能不能不再让平台是一个工具,如果说它是一个平台,让大家都能按照自己的需要,大家一起去到里面参与,改变安全监测工具的模式,把工具变成平台,我们能够让更多的人参与到里面的工作,也许会有很大的不同。为了能够让我们的想法,或者说让我们的设想真正能够开始落地,我们也一直寻找,我们在2011年的时候寻找了这么一个建设机会,2011年在北京市电子政务外网取得技术突破获得好评。自建67个节点17款不同类型设备入网进行异构部署。为了能够让我们的监控更加有效,实时监测网络攻击、蠕虫木马传播、恶意病毒等等。然后配备了一个专门的监控团队,组建安全运营中心,专业运维团队实时监控值守。
我们为了这个项目的支撑,完成我们第一个挑战,编写形成安全监控交互式数据接口标准化草案。国内首个行业内信息安全监控数据交互接口规范。涵盖数据上报、知识共享、查询交互、认证等多方面。兼容国内主流安全产品。实现海量告警数据整合与多源告警分析。全网多层分布式共部署安全监测设备200余台,每天产生近亿条待分析安全告警日志。这些日志信息除了合理存储外,更需要建立层次化的实时关联分析以及模拟攻击场景的复杂策略分析。平台创新设计了多层次分布式软硬件支撑结构和模糊场景关联分析算法,有效的解决了海量告警数据的存储和分析名中,系统目前已经具备每日分析处置数亿条原始日志的计算能力。监控预警平台应用及推广情况。目前,监控预警平台运维稳定,已有15家委办局使用平台提供的定制化监测预警服务。截止到2012年7月3日18点,监测网络共上报原始报警日志479亿条,平台发现处置信息安全事件86450起,经过运维人员发现高危级事件367次,共涉及140余家相关单位,所有事件均得到了及时处置。首个应用SaaS模式的监控预警平台构成的初级防御生态体系。
把握住大网建设的发展机遇,产业内充分合作构建防御生态,才能真正开始信息安全的双赢掘金之旅。我的介绍就到这里,谢谢大家。