日志分析與安全防護(hù)
2019-09-10
信息時(shí)代越來(lái)越發(fā)達(dá),黑客或者惡意員工攻擊系統(tǒng)����、盜取數(shù)據(jù)獲得的利益也越來(lái)越大���。然而單點(diǎn)單面的防護(hù)已經(jīng)無(wú)法有效的保護(hù)系統(tǒng)安全�、降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)了�����。
最近兩年��,網(wǎng)絡(luò)信息安全形勢(shì)愈加嚴(yán)峻���,安全事件頻發(fā)且非常嚴(yán)重�����。國(guó)外��,委內(nèi)瑞拉全國(guó)停電���,俄羅斯50多家大型企業(yè)遭到未知攻擊者勒索,萬(wàn)豪酒店5億客戶數(shù)據(jù)泄露��;國(guó)內(nèi)�,某快遞公司被暴出上億條客戶信息被黑客盜取,某酒店集團(tuán)的1.3億條用戶以及2.4億條開(kāi)房記錄泄露���。
對(duì)此����,如何構(gòu)建科學(xué)防范、預(yù)警處置機(jī)制�����,才能有效�、主動(dòng)防控信息安全風(fēng)險(xiǎn),顯得至關(guān)重要�。日志服務(wù)無(wú)論是在事前安全風(fēng)險(xiǎn)的監(jiān)控與定位,還是事后的集中管理和審計(jì)�,都扮演著重要的角色。普惠工程師結(jié)合多個(gè)日志產(chǎn)品的自身實(shí)踐與使用心得���,與各位分享安全防護(hù)中日志服務(wù)的幾個(gè)關(guān)注點(diǎn)���。
全量數(shù)據(jù)采集
數(shù)據(jù)驅(qū)動(dòng)安全,現(xiàn)在的安全事件已經(jīng)不再是單一的安全設(shè)備所能監(jiān)測(cè)和防御的�����,往往需要結(jié)合多個(gè)設(shè)備和業(yè)務(wù)系統(tǒng)的數(shù)據(jù)�,進(jìn)行分析對(duì)比才能定位。因此�,日志服務(wù)首先要確保全量數(shù)據(jù)的采集,包含網(wǎng)絡(luò)設(shè)備���、操作系統(tǒng)����、安全設(shè)備�����、數(shù)據(jù)庫(kù)���、中間件以及各業(yè)務(wù)系統(tǒng)等�����。
海量數(shù)據(jù)處理
根據(jù)FileEye M-Trends 2018報(bào)告��,企業(yè)組織的攻擊從發(fā)生到被發(fā)現(xiàn)�����,一般經(jīng)過(guò)了多達(dá)101天���,其中亞太地區(qū)問(wèn)題更為嚴(yán)重���,一般網(wǎng)絡(luò)攻擊被發(fā)現(xiàn)是在近498天(超過(guò)16個(gè)月)之后。另一方面�����,根據(jù)報(bào)告���,企業(yè)組織需要花費(fèi)長(zhǎng)達(dá)57.5天才能去驗(yàn)證這些攻擊行為��。例如上述快遞公司的數(shù)據(jù)泄露時(shí)間中�,從內(nèi)部發(fā)現(xiàn)數(shù)據(jù)泄露到勘測(cè)發(fā)現(xiàn)首批犯案人員��,花費(fèi)了3個(gè)月左右���,一直到追蹤抓獲主要犯案人員����,時(shí)間跨度長(zhǎng)達(dá)1年之久����。因此,全量數(shù)據(jù)采集和分析的難點(diǎn),不僅僅在于數(shù)據(jù)散亂�����、類型多樣����,還要保障海量(幾百G甚至更多)數(shù)據(jù)處理的實(shí)時(shí)性����,這就要求日志服務(wù)至少每秒能夠處理上萬(wàn)條數(shù)據(jù)。
復(fù)雜告警邏輯
可疑安全事件的發(fā)現(xiàn)和定位����,不再是依靠簡(jiǎn)單的閾值進(jìn)行告警,而是需要多個(gè)設(shè)備��、系統(tǒng)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析或者復(fù)雜計(jì)算�。
例如:
1 安全設(shè)備聯(lián)動(dòng)告警:
針對(duì)有可疑攻擊的安全事件,可指定時(shí)間�����,指定多臺(tái)安全設(shè)備顯示同一攻擊源IP的安全事件�,對(duì)于相關(guān)源IP進(jìn)行告警,能有效排除誤報(bào),確認(rèn)為真實(shí)攻擊��。此番操作要求為同一區(qū)域內(nèi)的相關(guān)設(shè)備�,另外還要排除客戶給出的可信地址,然后對(duì)各設(shè)備的可疑源地址進(jìn)行匹配�。
2 防火墻session時(shí)間過(guò)長(zhǎng)告警:
部分sockets代理或者http代理要保持很長(zhǎng)時(shí)間的會(huì)話,有進(jìn)行內(nèi)網(wǎng)掃描的嫌疑����,因此超過(guò)一段時(shí)間的session會(huì)話可進(jìn)行告警。此處需要合并session開(kāi)始和結(jié)束的兩條防火墻日志�����,并對(duì)時(shí)間進(jìn)行處理得到session時(shí)長(zhǎng)���,根據(jù)此值篩選出過(guò)長(zhǎng)的相應(yīng)日志�����。
當(dāng)然除了上述幾點(diǎn)外��,豐富的日志服務(wù)部署實(shí)施經(jīng)驗(yàn)和安全防護(hù)場(chǎng)景積累也必不可少���。普惠擁有多家金融機(jī)構(gòu)和車聯(lián)網(wǎng)日志服務(wù)部署經(jīng)驗(yàn)�����,并且積累了上百種安全防護(hù)場(chǎng)景��,想要了解更詳細(xì)的信息���,可以在文章下方給小編留言哦。
