快速响应 最大限度地降低潜在攻击的风险
来源:中国计算机用户 更新时间:2012-04-13
 

安全信息管理可通过管理和应对安全应用程序所产生的大量告警而自动执行削弱和消除网络威胁的过程。这样企业既能最大限度地降低潜在攻击的风险又能在攻击发生时快速作出响应。

安全的新方向

随着IT的快速发展,CIO对安全考虑的重要性已经到了最重要的位置。原有的安全管理仅仅是对安全设备的简单配置管理,这已远远不能满足企业的实际需求。更广、更多的安全管理的理念和技术不断涌现,其中安全风险管理成为其中的一个重要发展方向,即从风险的角度去评估安全管理的流程和处理方式。

但随着业务的开展,人们逐渐发现,安全风险管理能够执行的基础似乎有些欠缺,安全风险的评估不是简单的资产价值或预定好的事件安全级别就可以准确描述的,相关事件的信息,发生的地方,什么事件发生的等,都需要综合考虑,才能得出准确的安全风险评估数据,从而安全风险管理才得以执行下去。

从这个意义上,安全风险管理的游戏规则在发生改变,以前重视对风险的评估和管理流程,而转向更具体、更实际的安全风险管理,即需要解决如下几个用户最关注的问题:

用户需求

面临的挑战

如何管理多厂商的安全设备?

很难管理来自不同厂商的安全信息

发生了什么样的安全事件?

用户需要化肥他们大量的时间,从海量的安全信息中,包括错误信息中,才能找到真正的安全挑战

哪儿发生了安全事件

当安全事件确认后,需要快速找到阿全设备的来源,攻击路径,以便实施防护,保证网络的高稳定性

如何处理安全事件?

当安全事件确认后,用户希望知道如何防护,是在接近攻击端,还是在接近被攻击端?在路由器上,防火墙上,还是VPN设备上?是否有建议的处理办法?

如何实现异常检测?

有些攻击时新型的,或变种,传统安全设备(防病毒软件、防火墙、IDS等)无法识别,造成网络出现故障后才发觉出现了安全事件,无法提供零日保护

简单实施流程

对一般用户而言,太复杂的配置时难于实施的,希望有简化的实施流程

为了解决这些问题,出现了安全信息管理(SIM)系统。SIM可以从不同厂商的多个设备接收日志数据,存储和管理所创建的大量文件,以及实现至少部分的数据证据分析,甚至可以做一定的安全威胁评估分析,发现发生了什么样的安全事件。但是,SIM技术仍然不能解决上述其他几个关键问题:

* 什么地方发生了安全事件? 安全事件发生的路径?

* 如何快速处理和防护安全事件?SIM技术分析深度不够,不足以及时地阻止正在进行的网络攻击。

* 如何提供异常现象检测能力?如果通常的入侵检测技术和安全产品均不能识别某种新型的安全攻击手段。

* 如何轻松部署?对于企业用户来讲,复杂的安全管理技术和流程没有实际意义,最有效的就是如何以尽量少的投资解决问题,并容易操作?

在SIM之后,出现了一种新型的技术——STM(安全威胁管理),注重在提高网络感知能力和加快分析速度,以发现实际的网络攻击并近乎实时地制止这些攻击,同时可以通过对网络流量模型的分析,提供异常检测的能力,自动执行目前大部分由安全分析人员完成的工作,简单易用。

安全威胁管理技术

STM技术需要监控网络中的各种安全和网络产品产生的多种日志和报告流量,精简庞杂的网络事件信息,为网络操作人员提供监控和阻止网络攻击所需要的信息:

* 端到端的网络拓扑感知能力

* 高效能进程化威胁管理和基于进程的主动关联威胁管理

* 集成化的动态主机脆弱性分析和精确跟踪威胁管理

STM必须从全面感知网络拓扑开始。随着动态主机配置协议(DHCP)和网络地址解析(NAT)的广泛采用,必须知道这些协议在哪里创建了网络地址,以便当某个攻击的源和目的地地址发生变化时继续加以跟踪。

而且,简单网络管理协议(SNMP)的使用在设备的IP地址和它的固定硬件MAC地址之间提供了映射,使可以准确地识别网络路径上的某个设备。MARS设备可以使用来自于路由器、交换机和其他计算机的完整配置信息,以及来自于安全设备的信息建立网络的完整视图。

STM技术首先从安全设备和网络组件接收网络事件,将事件信息与它的网络感知能力结合到一起,发现网络攻击活动集中的“热点”,并且可以显示攻击终端之间的网络路径, 随后提供操作人员为阻止危险流量提供适当的设备配置信息。

图1(从上往下读图)显示了STM技术用于减少原始网络事件数据量和制止网络攻击的逻辑流程: