一 安全威脅現狀與安全技術現狀
互聯網已經成為企業經營運作中不可或缺的部分,隨著互聯網的日益普遍和功能的日益豐富, 對于連網的企業組織來說風險與威脅也無法終止�。由于網絡本身的共享性�、開放性���、復雜性��,網絡信息系統自身的脆弱性�����,安全事件不斷發生��。根據Symantec2003上半年的《互聯網威脅報告》和CNNIC最新互聯網報告����,在過去兩年內�,安全事件的增長達到了156%�;發現的漏洞數增加了170%���;同一時期��,選擇非公共服務為攻擊目標成為趨勢��,安全事件造成的損失和影響范圍不斷擴大��。
與此同時, 威脅技術的迅速發展讓人矚目��,其特點為:混合型威脅(Cyber-attack)成為主流���;智能化����,黑客把發展具有穿透攻擊的自動化工具�����,如混合型蠕蟲作為主要方向�����;威脅利用漏洞的速度越來越快��,留給用戶修補漏洞的時間越來越短����;傳播速度越來越快�����,影響日趨廣泛和邪惡:針對多平臺���、多漏洞���、多渠道����,帶有惡意載體的入侵很快出現�。
而目前安全技術的現狀又是如何呢?的確, 已經有了越來越多的單點解決方案�����,它們覆蓋了防御��、檢測(跟蹤)�����、響應環節的不同方面,如防火墻,防病毒軟件,內容過濾,入侵檢測技術,加解密技術,弱點審計技術等; 業界也在討論和推出All-in-One的集成產品��,但仍無法達到立體防御的要求,同時縱深防御并不只是層次和點的布局問題.簡單集成的多產品體系帶給用戶的無非是多種形式的報告和告警,漏洞評估報告,入侵檢測告警,防火墻日志,應用程序日志等等.如此眾多的海量數據單憑人工管理根本無法做到全面的查看和分析,因此這些數據報告帶來的結果只能是:管理員困惑于到底哪里出了問題?內部還是外部?下一步該怎么做?實時檢測和響應無從下手!
由此可見,企業的信息安全是一個動態發展的過程�����,不僅僅是純粹的技術�����,僅僅依賴于安全產品的堆積來應對迅速發展變化的各種攻擊手段是不能持續有效的��。
二 企業信息安全威脅管理的挑戰
大多數安全問題都是由于各種安全技術之間互不聯系造成的��。它們之間往往是相互分離的����,典型的例子是:一個防火墻發送了一條違反規則的警報�����,一個IDS檢測到一個簽名與一個攻擊工具(一個后門特洛伊木馬程序)相匹配�����,一個病毒程序也檢測到了這個特洛伊木馬程序�。每個程序或者發出警報����,或者在工作日志上記錄下這些情況�,但是卻沒有分析以上3種事件的關聯性��,因而也就沒有發現�����,也許正有人試圖控制服務器�����,而且已經在其中放入了特洛伊木馬程序�����。
針對安全產品的企業用戶來說,面對錯綜復雜的局面他們想知道的是最終會發生什么該怎么做,操作的步驟是什么,達到阻止威脅的目標沒有.因此,企業安全信息管理面臨的挑戰是需要處理大量的日志和管理視圖, ;及從各個廠商的多產品架構中推出集成管理,獲得企業級的威脅評估和行動指導信息;減少誤報漏報,提高信息管理的速度和效率,及時對應各種威脅���。
這里就存在這樣的幾個問題:
第一���,多產品架構的安全技術和設施進行有效整合,縮短對威脅的檢測和響應時間���;第二���,整合中需要進一步的數據挖掘和關聯分析技術��,來獲得更準確的威脅判斷�;第三,針對企業自身特點制定威脅評估��,提供最有效率的威脅應對策略和行動計劃��;第四�����,最終提供單一的威脅和風險管理視圖���,且提供自動實現的管理架構,簡化企業部署過程,否則無法進行操作�。
三 企業威脅管理的實現
3.1企業威脅管理的實現模式
一個全面的�、積極的��、自適應的安全威脅管理方法��,它應該包括三方面要素:隔離(Isolate)——識別出正在進行的攻擊和威脅,準確隔離已存在的攻擊����,分析事件相關性����,確定安全保護優先級和恰當的報警�����;遏制(Contain)——防止安全威脅范圍擴大,由于威脅的某些清晰可辨的個性特征�����,在網絡的進入點遏制攻擊將更有效�;消滅(Extinguish)——恰當的做法是���,用合適的補丁程序��、殺毒工具等清理干凈所有受到攻擊影響的部分�����,以保持系統的完整性����,同時消除這個威脅或類似威脅再次發生的可能性�。
將以上三個要素全面集成����,使用相關智能技術預見性地防御潛在的安全威脅����,通過積極的和自適應的威脅管理方法來實現����,而且這種管理是以協調一致和智能化方式來隔離���、遏制和消滅安全威脅����。
威脅管理從本質上說是安全產品管理體系�����,面向威脅的整合分析而不是產品的配置和監控���,還可進行進行問題定位�,性能分析���;另一方面,智能化安全保護規則將根據企業的業務價值和業務優先級來設定和加強有關安全保護的政策和優先級���,識別真正致命的威脅��,而且是一套實時要求很高的系統����。它的實現方式如圖一所示:
實現的基本模塊為:
配置威脅管理的規則:具體的內容包括安全規則的制定����、安全規則的分發�,安全規則的一致性維護���。
安全事件與事故過濾與整合:對網絡中發生的安全相關事件的收集����、聚合��、關聯����、分析���、響應與記錄�。對它們進行有效的實時的過濾和分析�,在成千上萬的事件中鎖定威脅�����,然后送往控制中心,與原有的數據庫資源進行驗證,得到事件攻擊映射��,和研究反饋,最終生成統一視圖�。
風險與策略管理:事前對安全網絡中存在的風險進行發現和評估�,識別致命威脅��。同時具備自我恢復和自我學習的抗攻擊能力�,分發策略�����,以實時反應安全網絡環境變化的趨勢����。
3.2企業威脅管理關鍵技術及其難點
企業威脅管理關鍵技術及其難點有一下幾個方面:
n 收集(Collection):對網絡中發生的安全相關事件的監視與記錄狀況的收集�����。解決上述問題�,有兩個方面:發現(Discovery)和查找(Lookup)�。相對于靜態的狀況主動查找��,監控所屬安全應用空間中的“服務”���,相對于動態的狀況安全威脅管理體系注重發現�����,及時發現新的變化和事件�。涉及數據源覆蓋的完備性���,收集過程的傳輸安全�,時間同步���,端節點數據的過濾����。
n 聚合(Aggregation):各感知和預警單元所產生的安全事件和事故被集中存儲在數據服務器上�����,進行數據預處理����,主要對前一階段產生的數據進行再加工���,檢查數據的完整性及數據的一致性�����,對其中的噪音數據進行處理�,對丟失的數據進行填補�����。
n 關聯(Association):運用關聯規則�,通過聚合后的數據發現安全事件的相關性����,在成千上萬的事件中鎖定威脅并協調架構中其他部分�����。
n 智能分析:通過以上幫助進行威脅分析���、取證分析��、策略一致性分析����。對比分析中最重要的參照信息-資產信息和漏洞信息����。
企業安全威脅管理是以數據挖掘技術為核心���,提供統一服務的容器及引擎���,綜合各種安全實體的管理平臺��������;谶@樣的企業安全威脅管理對威脅的響應達到立體護防�����,牽一而發�����,且通過廣泛的事件收集��、關聯與智能分析等關鍵性技術準確識別和跟蹤重點威脅��,縮短對威脅的檢測和響應時間���,啟動安全事務處理流程�����,實現部署安全策略�,消滅威脅的目的���。
<
