如何通过多维数据整合,实现网络安全的高效运维
——见证一款产品的蝶变之路
文/大连医科大学 现代教育技术中心 郭大智
作为学校的网络安全负责人,头上一直悬着一把达摩克利斯之剑,容不得丝毫的大意,需要随时警惕学校网络的变化和异常。 所谓没有100%的安全,我们能做到的就是采用各种防御手段和安全制度尽量增加被攻击的成本。这些做好后,在日常运维中针对安全状态的各维度监控是安全管理者最大的一个抓手,但因为安全涉及面广、数据量大、人员精力有限等原因,导致安全监控管理的效率一直比较低,难以做到面面俱到和心中有数。为此我们也在不断的去寻找适合学校环境且能大幅提升监控管理效率的产品。
从2018年开始,我们就开始考察并测试各厂商的安全态势感知平台产品来帮助提升网络安全管理工作的效率,下半年开始接触锐捷的安全态势感知解决方案, 从整体理念上来讲非常贴合我校安全管理的理念, 综合所有现网日志进行大数据安全关联分析,定位核心的服务器失陷等安全问题,并实时监控网内的整体安全动态。但只有理念不够,真实效果必须经过实际场景效果的检验,这也是我们选择产品方案一直奉行的原则。
大连医科大学安全态势感知平台
5月11日锐捷态势感知的第一个版本(P3版本)上线测试,主要基于现网的日志进行综合分析,包括安全设备日志、网络日志、服务器日志等等,这种模式显然可以非常有效地利用现有的安全资源。同时由于采集的维度众多,在分析全面性上具备优势,但在实际测试中就发现这种模式存在的难题和局限性:
1、 日志采集难题:在我们现网中存在几台较老的安全设备,无法支持向第三方发送日志,导致部分有价值信息无法汇总到平台,也影响到了平台的分析素材的支撑。
2、 日志标准化难题:由于市场上设备种类型号众多,在日志分析模式中,如何对采集到的日志进行精细化的解析,是考验安全分析平台能力非常重要的因素,也是考验一个产品是否完善非常重要的参考指标,同时代表这产品在实际项目迭代的成熟度。
在第二点方面,通过实际的测试,锐捷还是做得非常不错的,包括兼容的设备型号、日志解析精细度以及锐捷提供的日志优化效率。
这个版本整体看下来展示界面美观度是有的,但对我们这些具体运维人员来实用性还是不够,首先是受限部分日志不足的情况下分析到的问题比较少,3个月体验时间也才发现了几个安全问题, 准确度够但一定是不全面的。 另外, 易用性上还存在较大差距,站在我们使用者的角度,测试期间也向锐捷提出了很多优化建议,包括如何提升安全分析全面性和易用性等。
整网多维度安全态势感知
还好在需求提完后不到2个月他们就发布了新的流量探针组件,并在11月在我校上线测试。这次在分析能力的全面性上有质的提升,用新的流量探针很好的补充了流量方面的数据,日志+流量综合的分析模式非常大提升了安全分析效果,上线十天发现近十个关键安全问题。相比于单日志分析模式,在安全分析全面性和准确性有了非常大的提升,也让我们有了整体安全监控的触角和平台。通过此轮的实际测试,我们认为“日志+流量”的综合分析模式,才是适合高校进行整体安全分析平台建设的更适合的模式,虽然此阶段测试效果上有显著提升,但之前平台部分易用性问题仍然存在。
基于”网络杀伤链“的安全分析
这里确实要点赞下锐捷的产品部需求响应和开发团队,不到1个月他们又发布了态势感知主平台的新版本(P4版本),之前在测试期间非常多的优化建议得到了落实,在综合分析能力和易用性上得到了非常大的提升, 以安全事件的维度去展示问题比之前的单告警维度要好用很多,杀伤链的攻击阶段展示和攻击链条时间轴也让查验变的很方便,问题小贴士和知识库也给问题闭环处理非常好的帮助。这个版本通过“日志+流量”的关联分析通过杀伤链方式进行整合,上线一周发现和预警了30+安全问题,分析能力得到了质的提升,真正能帮助到我校的网络安全管理工作。