如何通过多维数据整合,实现网络安全的高效运维
大连医科大学现代教育技术中心郭大志作为学校网络安全负责人,始终将达摩克利斯之剑挂在头上,哪怕是一点粗心也不允许,要时刻警惕学校网络的变化和异常情况。它不是100%安全的,可以使用各种防御和安全系统来最大限度地提高攻击的成本。这些完成后,在日常运维中对各个环节的安全状态进行监控,是安全管理者最大的出发点,但由于安全性广、数据量大、人员精力有限,安全监控管理效率相对较低,很难掌握一切。因此,我们一直在寻找适合学校环境的产品,并显著提高监控管理效率。从2018年开始,我们开始研究和测试来自不同厂商的安全态势感知平台产品,以提高网络安全管理的效率。下半年,我们开始接触锐捷的安全态势感知解决方案。从整体概念上看,它非常符合我校安全管理的理念,整合了所有现有的网络日志进行大数据安全相关分析,识别核心服务器丢失等安全问题,实时监控网络内的整体安全动态。然而,仅仅有概念是不够的,实际效果还必须通过真实的场景效果来检验。这是我们一直在追求的一个原则。
5月11日锐捷态势感知第一版(P3版)是在对现有网络日志进行全面分析的基础上进行测试的,主要包括安全设备日志、网络日志、服务器日志等,这种模式显然可以非常有效地利用现有的安全资源。同时,由于收集的维度较多,分析的全面性也有优势,但在实际测试中发现了该模型存在的问题和局限性。1、日志采集问题:由于目前网络中存在一些陈旧的安全设备,无法支持日志传输给第三方,一些有价值的信息无法汇总到平台上,这也影响了平台对分析材料的支持。日志标准化问题:由于市场上设备种类繁多,在日志分析模式下,如何对收集到的日志进行细致的分析,是测试安全分析平台能力的一个非常重要的因素,也是测试产品是否完美的一个非常重要的参考指标,代表着产品在实际项目迭代中的成熟度。第二点,通过实际测试,锐捷在兼容设备型号、日志分辨率、锐捷提供的日志优化效率等方面做得很好。虽然这个版本整体上展现了界面的美感,但对于这些特定运维人员来说,实用性还不够,首先,在日志的受限部分不足的情况下分析的问题相对较少,3个月的经验时间也发现了一些安全问题。准确性是足够的,但并不全面。 此外,在易用性上也存在很大差距,站在用户的角度,在测试过程中,我们向瑞杰提交了很多优化建议。其中包括如何提高安全分析的全面性和易用性。
全网多维安全态势感知在需求完成后不到两个月就发布了新的流量探测组件,并于11月开始在我校进行测试。这一次,分析能力的全面性有了质的提升,很好地补充了流量数据,新的流量探测,日志+流量集成分析模式发现了近10天的关键安全问题,极大地提高了安全分析效果。与单一日志分析模式相比,安全分析的全面性和准确性有了很大的提高,可以拥有整体安全监控的天线和平台。通过这一轮的实际测试,我们认为“日志+流量”的综合分析模式是一种更适合于构建全校安全分析平台的模式,虽然在现阶段的测试效果有了很大的提高,但以往平台的可用性问题依然存在。
基于“网络杀伤链”的安全分析,这里我们应该赞扬Ryjie产品部门的需求响应和开发团队。在不到一个月的时间里,他们发布了新版本的态势感知主平台(P4版本)在测试期间实施了多项优化建议,全面分析能力和易用性都有了很大的提升,显示出在安全事件维度上的问题远胜于之前单一警报维度。杀死链的攻击阶段显示和攻击链的时间线也使得检查非常方便,问题提示和知识库对于问题的闭环处理也非常有用。该版本通过“日志+流量”的相关分析,采用杀伤链的方式进行整合,在线一周内发现并预警30多个安全问题,分析能力得到质的提升,为我校网络安全管理提供了帮助。