企业安全的本质就是发现,分析,进而解决安全问题。这里最重要的一步就在于发现安全事件,而安全事件来自于对现有数据的分析。企业可以分析的安全数据,很大程度上来自各类的日志文件。监控工具通过这些日志文件生成安全事件(传入数据库,转换为结构化的数据),安全软件和安全分析师根据异常事件的告警,进行处理和进一步的响应。
企业来说安全数据处理的应用主要有这几个方向:
安全监控(Security Monitoring) 安全威胁情报(Threat Intelligence) WAF调试(WAF Tuning)
安全监控(Security Monitoring)
安全监控分为个人主机监控和服务器监控。个人主机监控无非就是针对Mac或PC。这两个系统生成的系统日志内容也相对容易处理。厂商的日志Agent读取单机的系统日志,通过网络连接发送至指定的数据仓库(有部署在用户内网/DMZ的,有部署在云端的),然后通过预先设定的规则进行分析和处理,决定是否忽略或者告警。最近厂商还在DNS上下文章,比如OpenDNS只是对单机DNS查询时候加以控制,并记录用户的访问行为。个人主机的信息相对敏感,关乎员工本身的个人隐私和公司的商业机密,而且数据量相对稳定,一般会在企业内部进行处理,管理员有点类似网吧里网管这个意思。
单机Agent监控的厂商比较常见的有:
Confer:一个相对轻量化的单机日志agent,资源消耗很少,管理端的规则比较丰富,管理端的数据中心可以选择放在云端。
AMPFire:这个公司先被SourceFire吃掉,之后SourceFire又被Cisco吃掉,特点是整合了沙箱功能,方便安全分析人员了解恶意程序的行为。
Bit9/CarbonBlack:老牌的单机日志agent,不评价。
服务器监控的内容就复杂的多,不同的服务端软件或框架会生成各种不同的日志文件,而且高负载的服务器会产生巨量的日志文件。对企业来说,如何从海量的数据中挑出和攻击相关的那几行日志,是个很大的挑战。常见的做法是通过正则表达式来过滤日志,把可疑的日志内容缩减到一个可以人工分析的范围之内,然后交给安全运营中心(SOC)决定如何响应。很多企业不具备部署和操作SOC的能力,而且迫于法律,合规方面的压力,不得不选择其他企业来管理自己的安全事件。这种代理其他企业安全管理的公司称作管理安全提供商(MSSP)。MSSP的强项在于可以关联其客户所面对的威胁,比如公司A在某时刻面对某种特定的攻击,分析师根据威胁数据创建了新的防火墙规则,同样的防火墙规则可以推送给被此MSSP管理的其他B,C,D …公司,从而起到提前防护的作用。
MSSP通常会在客户端部署数据仓库,整合从用户数据中心收集来的安全事件,通过VPN批量传回控制端供分析师查看。如果发现了安全问题,分析师通过直接操作防火墙规则的方式来阻断攻击。MSSP也会定期推送威胁特征库的更新至防火墙。
MSSP常见的厂商有
Dell SecureWorks IBM ISS Verizon Solutionary … (细节请见 Gartner Magic Quadrant MSSP)
未来的趋势
随着企业的架构向云端移动,企业的SOC也有向云端移动的趋势,SOC的部署成本大大降低,安全事件的整合速度也大大加快。传统的MSSP厂商开始从用户的云平台收集安全事件,新的MSSP也开始专注云平台的安全监控,安全管理,比如Elastica(RSA上每年都抽奖杜卡迪摩托的那一家)。
传统的CDN厂商(比如最大那家),从提供WAF开始,逐渐加入监控,合规,咨询等模块,一步一步向MSSP的方向转化,为客户提供一站式的应用安全解决方案。