縱觀業(yè)界安全態(tài)勢感知平臺建設(shè)模式,態(tài)勢感知平臺安全要素獲取維度分為兩個(gè)大類:流量分析和日志采集分析,同時(shí)再結(jié)合威脅情報(bào)、智能分析等技術(shù)實(shí)現(xiàn)對整網(wǎng)安全問題的分析、定位以及安全狀態(tài)的可視化度量。而對于流量分析和日志分析兩大維度的差異點(diǎn)以及可替代性分析如下:
一、流量分析
本模式主要通過在網(wǎng)絡(luò)的關(guān)鍵路徑,如服務(wù)器區(qū)、核心區(qū)、出口區(qū)旁路部署探針設(shè)備(一般均為軟硬件一體設(shè)備),對網(wǎng)絡(luò)流量中的異常安全事件進(jìn)行解析,包括攻擊流量特征、威脅文件傳輸?shù)龋缓蟀呀Y(jié)果實(shí)時(shí)同步到上端分析平臺,進(jìn)行深度關(guān)聯(lián)分析及問題定位呈現(xiàn)。
優(yōu)本模式的優(yōu)勢:
不需要現(xiàn)網(wǎng)其他設(shè)備對接配合,可實(shí)現(xiàn)快速部署,可復(fù)制性強(qiáng),且借助原始流量關(guān)鍵信息的還原、存儲,可以提供更多的原始數(shù)據(jù)回溯支持,便于深度分析。
劣本模式的劣勢:
不能整合現(xiàn)網(wǎng)已有網(wǎng)絡(luò)組件的安全信息,包括已經(jīng)部署的大量安全設(shè)備,分析能力受限于一家廠商的研發(fā)水平,不能集各家所長,同時(shí)對于需要日志強(qiáng)相關(guān)的分析模型無法建立,例如本地異常登錄、NAT溯源等等,這些模型必須依靠日志的強(qiáng)支撐。
二、日志分析
本模式主要通過采集現(xiàn)網(wǎng)網(wǎng)絡(luò)組件的日志,包括安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器、中間件、甚至業(yè)務(wù)系統(tǒng)等,進(jìn)行統(tǒng)一日志標(biāo)準(zhǔn)處理后,對安全問題進(jìn)行關(guān)聯(lián)分析。廣義上說,其實(shí)所對接的安全設(shè)備等也屬于平臺的感知探針之一。
優(yōu)本模式的優(yōu)勢:
能充分整合全網(wǎng)安全相關(guān)信息,采集分析維度更全面,依據(jù)各安全設(shè)備的分析日志結(jié)果,可以集各家所長,不受限于一家廠商的分析能力。同時(shí)對日志的采集,也天然滿足了網(wǎng)絡(luò)安全法、等保日志審計(jì)的合規(guī)要求,這個(gè)是流量分析所不具備的。
劣本模式的劣勢:
由于每個(gè)用戶現(xiàn)場設(shè)備廠商、類型差異非常大,所以可采集到的信息不可控,分析模型的復(fù)制性受限,對接優(yōu)化周期較長,同時(shí)對安全問題回溯,由于沒有原始流量數(shù)據(jù)支撐,深度排查可能受限。
最合適的態(tài)勢感知建設(shè)模式建議:
只有將“日志維度+流量維度”有效融合,同時(shí)結(jié)合威脅情報(bào)、智能分析的建設(shè)模式才是后續(xù)安全態(tài)勢感知系統(tǒng)發(fā)展的方向。此模式可以很好地發(fā)揮日志分析全面性、異構(gòu)性、合規(guī)性優(yōu)勢,同時(shí)配合流量分析維度,解決威脅深度分析、回溯支持、快速部署等問題。基于以上理念,銳捷網(wǎng)絡(luò)在2016年推出了安全態(tài)勢感知系統(tǒng)RG-BDS大數(shù)據(jù)安全平臺。
以某實(shí)際用戶案例為例,用戶部署了基于流量分析的態(tài)勢感知方案,通過探針流量分析確實(shí)發(fā)現(xiàn)下聯(lián)單位存在勒索病毒異常主機(jī),但下聯(lián)單位都是通過NAT地址轉(zhuǎn)換后接入,由于沒有NAT日志的結(jié)合,異常主機(jī)無法溯源,問題無法得到有效閉環(huán)。
目前業(yè)界將日志和流量維度有效融合的方案還十分欠缺,大部分為日志和流量取其一,或者雖包含有兩個(gè)維度,但仍然割裂狀態(tài),分屬不同模塊。銳捷安全態(tài)勢感知方案早在上市時(shí)就已經(jīng)完成了日志維度的全面分析,并于2018年將流量分析納入安全態(tài)勢感知產(chǎn)品體系,并開發(fā)上線了專業(yè)流量探針,真正將“日志+流量”兩大維度有效融合,整合全網(wǎng)安全監(jiān)測防護(hù)資源,進(jìn)行更全面、更準(zhǔn)確的安全分析。
三、流量分析是否可以替代日志分析
有用戶和廠商持有疑慮或觀點(diǎn):由于網(wǎng)絡(luò)日志也是一種流量,因此流量探針也可以抓取到網(wǎng)絡(luò)中的日志,從而可以替代日志分析。但如果真正落地的用戶場景去深入分析,流量分析和日志分析是無法相互替代的,原因如下:
雖然從協(xié)議層面,日志發(fā)送大部分采用SYSLOG非加密方式,通過流量探針,理論上是可以解析出來所傳輸日志內(nèi)容,但實(shí)際項(xiàng)目部署角度,所有的網(wǎng)絡(luò)組件默認(rèn)都是不往外發(fā)送日志的,只有配置日志外發(fā)功能后,才有日志的流量產(chǎn)生。因此直接配置將日志外發(fā)到分析平臺最直接、最準(zhǔn)確的方式,而通過配置日志外發(fā)后再用流量探針從流量中抓取出來,本身就是不合理的方式,同時(shí)還會(huì)帶來原始日志還原度問題。
即使通過流量探針抓取日志,由于日志產(chǎn)生源眾多且高度分散,全網(wǎng)部署探針,為了抓取日志,無論從建設(shè)成本和網(wǎng)絡(luò)運(yùn)維都不現(xiàn)實(shí)。
網(wǎng)絡(luò)中不是所有的日志,都是主動(dòng)發(fā)送模式,例如很多業(yè)務(wù)日志、文件日志,是需要分析平臺主動(dòng)讀取日志,所以通過流量探針無法讀取到其日志數(shù)據(jù)。
另外需要強(qiáng)調(diào)的是,日志抓取并不是分析平臺的核心技術(shù),考驗(yàn)一個(gè)平臺對日志的分析能力,最關(guān)鍵的是平臺對各類型日志的解析能力以及綜合關(guān)聯(lián)分析能力。
綜上所述,安全態(tài)勢感知平臺建設(shè)應(yīng)有效融合“日志+流量”兩大維度,相互發(fā)揮各自優(yōu)勢。實(shí)際應(yīng)用中也可考慮采用分階段建設(shè)模式,如先將日志維度納入,在建設(shè)態(tài)勢感知平臺的同時(shí)滿足等保、安全法合規(guī)需求,再分階段納入流量分析維度進(jìn)行安全分析能力的進(jìn)一步完善。
河南億恩科技股份有限公司(www.23lll.com)始創(chuàng)于2000年,專注服務(wù)器托管租用,是國家工信部認(rèn)定的綜合電信服務(wù)運(yùn)營商。億恩為近五十萬的用戶提供服務(wù)器托管、服務(wù)器租用、機(jī)柜租用、云服務(wù)器、網(wǎng)站建設(shè)、網(wǎng)站托管等網(wǎng)絡(luò)基礎(chǔ)服務(wù),另有網(wǎng)總管、名片俠網(wǎng)絡(luò)推廣服務(wù),使得客戶不斷的獲得更大的收益。
服務(wù)器/云主機(jī) 24小時(shí)售后服務(wù)電話:
0371-60135900
虛擬主機(jī)/智能建站 24小時(shí)售后服務(wù)電話:
0371-55621053
網(wǎng)絡(luò)版權(quán)侵權(quán)舉報(bào)電話:
0371-60135995
服務(wù)熱線:
0371-60135900
