说到EDR(端点检测和响应),从事安全运维的人可能或多或少的都有一定的了解。EDR平台是将下一代防病毒元素与其他工具相结合的安全系统,可同时实现实时异常检测和警报,取证分析和端点修复等功能。它核心是通过记录终端信息与网络事件(例如用户,文件,进程,注册表,内存和网络事件),并将这些信息本地存储在端点或集中数据库,再结合已知的攻击指示器(IOC)、行为分析的数据库来连续搜索数据和机器学习技术来监测任何可能的安全威胁,并对这些安全威胁做出快速响应。目前EDR模式被广泛应用在企业电脑终端的安全监控中,国内一些老牌安全公司,如深信服、奇安信、安恒等都有成熟的EDR产品。
而SIEM (安全信息和事件管理),是由Gartner于2005年提出的一种全新的安全信息与事件管理模式,它是软件和服务的组合,是SIM(安全信息管理)和SEM(安全事件管理)的融合体,它核心是通过广泛收集企业和组织中所有IT资源(包括网络、系统、应用、服务器以及其他网络设备)产生的安全信息(包括日志、安全事件、威胁告警等)进行统一的实时监控、历史分析,对来自外部的入侵和内部的违规、误操作行为进行监控、审计分析、调查取证、出具各种报表报告,实现IT资源合规性管理的目标,同时提升企业和组织的安全运营、威胁管理和应急响应能力。
EDR与SIEM有什么区别?
事实上,从EDR与SIEM的定义上就可以看出,它们两者之间具有很大差异,那么,EDR与SIEM具体都有哪些区别呢?
其一,EDR偏重于软件工具,而SIEM则是软件工具与服务兼顾。EDR诞生于安全软件大行其道的时代,它本身脱离不了软件系统的本质,也就是说企业购买EDR产品后,必须单独培养1-2位专门的工程师去进行日常数据分析与操作,发现安全问题了,需要靠自身力量去解决,服务商仅仅提供简单的软件或病毒库的升级服务以及软件操作培训服务。当然,出于“人道主义”,他们也许会帮助企业进行解决,但响应速度和进度肯定会大打折扣,甚至会额外收取昂贵的服务费用。而SIEM则不同,它诞生于安全服务已被市场广泛认可的时期,企业购买SIEM服务后,不必培养专门的数据分析与操作人员,这些工作全部交由服务商搞定,企业只需委派一名专门对接的运维人员进行信息互动与反馈就行,如果遇到安全问题,响应速度和处理进度都必须及时,急客户之所急,第一时间帮助企业解决问题。
其二,ERD偏重于病毒的查杀,而SIEM则是所有安全事件与信息管理。EDR是下一代防病毒元素与其他工具相结合的安全系统,偏重于电脑终端各类病毒的查杀,对一些比较高级的攻击手段以及企业内部人员的不当操作都不能起到很好的监控作用,而且在服务器的监控方面也存在许多弊端,因为服务器的数据相比电脑终端,数据量更加庞大,系统构成也更加复杂,特别是服务器相对比较集中的IDC机房、企业数据中心,以及目前比较受人关注的IPFS服务器机房,EDR产品基本上不能满足它们的日常安全运维需求。SIEM则不同,它本身就是对企业所有IT资源的安全信息和事件进行分析管理,而服务器资源就是企业最重要的IT资源。而且,这里提到的安全信息和事件不仅仅包含病毒,还有各种内外部的安全事件,包括内部技术人员的不当操作、违规操作,以及外部的各种恶意攻击、安全漏洞等等,也就是说,相对于EDR,SEIM的安全数据收集分析与管理可能会更加的丰富。
其三,EDR部署流程复杂,具有一定局限性,SEIM部署简单灵活,扩展性强。目前,市面上流行的EDR产品都属于标准化的软件产品,一般具有相对复杂的部署流程,不能根据企业的实际需求进行个性化部署,举个很简单的例子,企业购买EDR产品之前,就必须说明设备的数量,部署时就不能随意的减少或增加,减少可能会好处理一点,但增加数量就比较复杂,可能还需要企业再进行一次之前的所有流程,别说费用问题了,就是时间成本一般的企业也有些无法接受,更别谈个性化开发了,企业可能需要付出更多的费用和时间成本。此外,目前所有EDR产品仅仅适用于企业连接互联网的终端设备,对于企业未连接互联网的设备没有很好的解决方案。SIEM则更加灵活,它首先是根据企业IT资源的实际情况和实际需求,如资源的架构、资产的分布以及资产的连接互联网情况等进行个性化定制部署,也即是说无论企业IT资源如何分布,是否连接互联网,都能给出更适合企业的解决方案,且可以随时增加或减少需要监控的设备数量。
为什么说SIEM更适合IPFS的安全监控运维?
这是因为IPFS服务器的构成、分布、价值或功能与传统数据服务器都不相同,安全运维管理需求也会比较复杂,要求也会更高。
首先,IPFS服务器的构成相对比较复杂,一般有算力服务器、存储服务器、Miner服务器、Lotus服务器等构成,每种服务器的功能各不相同,各自处理不同的任务,但它们实质上又是一个整体,或者说是一个集群,缺一不可,任何一种服务器或环节出现问题,对整个集群影响都十分巨大。毕竟IPFS服务器不仅仅是存储数据的服务器,还是IPFS运营企业用来创造价值和收益的重要工具,任何一个环节出现问题,IPFS运营企业损失也不是某台服务器硬件成本,而是现有的和未来的巨额收益。
其次,各IPFS运营企业服务器的分布情况也大不相同,有些IPFS运营企业的服务器比较集中,全部存放在自有的IDC机房中进行统一的管理和运维;有些IPFS运营企业的服务器则非常分散,分别托管在全国,甚至全球不同地方的IDC机房中,无形中给管理和运维加大了难度。此外,每家IPFS运营企业服务器的部署方案也不尽相同,有些IPFS运营企业会将算力服务器、存储服务器、Miner服务器、Lotus服务器全部提供给客户,有些IPFS运营企业则不同,仅给客户提供存储服务器、Miner服务器、Lotus服务器,而算力服务器则是租赁使用。
最后,IPFS服务器属于高价值资产行业,随着FIL的高增长态势,让IPFS逐渐成为恶意攻击者攻击的主要目标,攻击手段也是多种多样,越来越高级,病毒挂马攻击仅仅是其中的一小部分而已。总体来说,IPFS目前正面临着三类共十种风险等级较高的安全威胁,第一类来自企业内部,包括技术人员的不当操作、社会工程学以及内鬼监守自盗;第二类来自外部攻击,包括假充值攻击、女巫攻击、热钱包攻击、挂马攻击以及长期的高级威胁等;第三类来自公链,包括API接口漏洞和利用公链惩罚机制。以上10种安全威胁,网安信在实际服务客户的过程中已经全部遇到且都进行了比较完美的处理。
综上所述,IPFS服务器无论是从构成,或是从分布,还是从价值方面来讲,相对于传统服务器都有很大不同,需要更加灵活、个性、全面、专业的且数据处理能力更强的安全监控运维模式才能满足它的安全需求,所以说SIEM模式更适合IPFS服务器的安全监控运维。网安信于近期推出的达尔文IPFS Miner智能防护系统就是基于SIEM模式自主研发,且已经在多家IPFS头部企业落地实施,目前已经实现近万台IPFS服务器同时智能监控,每天处理近亿安全信息和事件数据。
来源:freebuf.com 2021-04-30 11:13:41 by: 网安信科技wax
请登录后发表评论
注册