“你带着老婆,出了城,吃着火锅还唱着歌,突然就被麻匪给劫了!”这段《让子弹飞》的台词或许你有些陌生,但作为资深IT运维人员,对这样的场景却并不陌生“你带着老婆,去旅游,提着行李还唱着歌,突然一通电话把你叫回去了!”好不容易请来的假,却因为网络安全事件又被叫回去了。你有些无奈,黑客却不放假,他随时随地都可能入侵我们的网络,而系统中不可预知的漏洞随时都会被利用。我们为某大企业做安全咨询,CIO在描述网络安全的时候,曾很激动的对我们说:“我根本不知道网络安全状态是什么样的,我现在就像坐在火山口,不知道火山什么时候就会喷发!”感知不到网络的安全现状,安全事件基本靠业务部门投诉,这种被动的响应方式让IT人员无奈的同时,更多有些不安。
如何才能保证网络的安全,让网络健康运行呢?
网络安全事件就像网络生病,既然是病,那怎么治才最有效呢。我们不防来看看名医扁鹊是如何评价他们三兄弟的医术, 扁鹊说:“长兄最好,中兄次之,我最差。我长兄治病,是治病于病情发作之前。我中兄治病,是治病于病情初起之时。而我扁鹊治病,是治病于病情严重之时。” 身为网络的医生,我们怎么才能实时感知网络的健康状态,在病情发作之前先做预防;我们怎么才能在安全事件发生最初就进行快速有效处理,防止事件进一步恶化,影响整个网络和企业业务呢?
如何才能成为优秀的网络医生?
我们在企业网络边界部署了安全设备,可是无线技术和移动办公的发展,这种边界防护作用越来越小;我们在网络里部署了FW、IPS、防病毒网关多种安全设备进行防护,可是黑客的技术越来越强,还是无法及时发现并阻断来自园区内的攻击。把网络比喻人体,可是人的身体每个部分都有灵敏的感觉器官,还有一个聪明的大脑:当感冒病毒开始流行时,可以根据身体状况加强锻炼进行预防;当感染感冒病毒时,可以根据喉咙痛等身体症状来预先感知;当确定是感冒时,我们也可以快速找到相应的药;在感冒未严重时进行治疗。而园区网络却没有。虽然每天有无数来自网络设备、安全设备事件日志,可是我们人力有限,根本没办法也没时间去分析哪些信息是有效的,哪些信息有关联性?即使发现了安全事件,我们需要一台设备、一台设备的去处理,企业网络里面有上千台网络安全设备,上万个终端,如何快速治疗?
“或许大数据和SDN技术可能解决这个问题!”正当我们准备接受这一无奈时,我们的资深安全专家给出了这样一个建议:“大数据分析技术,即通过海量的数据进行分析从中获得有价值的信息,我们可以通过这个技术将全网海量日志信息收集上来,进行关联分析获得我们所需要的信息。再通过SDN集中控制理念,集中控制全网的设备实现快速响应安全事件。”
如何感知全网的安全状态?
华为利用大数据技术,将全网收集上来的海量日志进行归类分析,通过资产的重要性、威胁的严重程度等一定算法,算出全网的健康度。让运维人员实时感知全网的安全状态。此外,还可以根据区域、关键资产去查看对应的风险,并给出处理建议。运维人员可以快速找到自己负责的区域和资产,并根据安全状态和处理建议对这些设备进行系统升级、安装补丁等安全加固的工作。防止黑客利用设备的漏洞进行攻击。
如何快速发现安全事件?
华为利用大数据技术,协同全网设备,根据黑客攻击特点或蠕虫病毒暴发的特点,进行关联分析发现安全事件。比如当出现打喷嚏、鼻塞、流鼻涕多种症状时,我们可以综合分析,判断是感冒。网络安全症状也是同理,比如当某一终端在短时间内登陆多台设备失败,通过多设备上报上来的日志我们可以判断这台终端在进行密码猜解。而这种攻击行为单设备是无法发现,需要多设备协同进行关联分析发现,而通过基于大数据的多设备关联分析刚好可以解决这个问题,未来甚至还可以基于用户的行为进行关联分析,发现异常行为,防止攻击和泄密事件的发生。
如何快速进行安全响应?
成千上万的设备,逐一发现处理,将会延误最佳时机,很可能此时蠕虫病毒已经蔓延网络,影响整个网络的业务运行了。华为借用SDN的统一控制转发的理念,又创新性将安全能力虚拟化技术融入其中,协同网络设备、安全设备一起进行安全事件的响应。在园区网络里面建立安全资源中心,就像我们的社区诊所一样,当我们发现某个区域蠕虫病毒利用系统的某个漏洞进行扩散时,通过SDN的理念,将某个区域的流量引流到安全资源中心进行检查,阻断攻击流的同时,又能让业务流正常进行。同时超越了SDN仅控制网络设备的理念,创新的将终端设备管理纳入其中,通过统一的控制器向全网终端下发安装补丁、升级最新病毒库的策略,对终端进行安全加固和病毒查杀。不仅解决了网络中不安全的流量,并从本质上清除了终端的危险。
在病情发作之前,能通过感知全网的安全状态,并对它进行安全加固提升抵抗力;在病情初起之时,通过快速发现安全事件、快速进行安全响应将安全危险进行有效控制,防止其影响网络和业务。这种能让我们成为优秀网络医生的方案,我们称之为“华为全网安全协防解决方案”。
当你准备去度假旅行时,查看全网的安全健康情况及你所负责的区域和资产,对其进行安全加固,让你的网络更加健壮。当你在旅行途中发生网络安全事件时,你可以收到短信和邮件快速了解情况,并通过安全运维平台远程到控制器,根据处理建议,下发安全策略对安全事件进行处理,而这个过程仅需要几分钟甚至几十秒钟。
然后带上愉快的心情继续你的旅行,没有不安和无奈,因为旅途里,有“全网安全协防”为你保驾护航!