在信息化、互联网迅猛发展并被广泛应用的同时,数据泄露事件也愈演愈烈。近年来,在大数据及大数据系统下,由数据传递、共享所形成的数据链条更是起到了推波助澜的作用——如果数据链条的某个环节出现问题,很可能导致整个链条数据安全形势的急转直下甚至彻底崩溃。
今时不同往日
如今,有越来越多企业的管理者开始意识到安全问题的重要性,其中业务的不安全性在很大程度上源自数据的不安全性,如果想从多维度、多方面提升系统安全和服务品质,应在增强系统和网络等安全能力的同时,通过对数据使用进行专业的安全状况分析,了解用户的使用习惯,发现深藏的安全隐患,从而多角度提升安全决策的准确性以及客户访问的感观。
《SecurityInformation and Event Management Futures and Big Data Analytics for Security》一文中特别强调了与“分析的意识和探索数据的欲望”相关的内容,认为这才是数据安全中最关键的成功标准。数据是可视化的基础,数据在使用过程中具有数据量大、多样性,实时性等特点,将不同来源的数据整合到一起,结合业务需求,确定相关数据之间的关系,对异常行为进行分析和监测,这种方式充分结合了计算机和人脑在图像处理方面的能力优势,提高了对数据的综合分析能力,从而有效降低了误报率和漏报率,提高了系统检测的效率,并减少了反应所需的时间。目前,市场上已有一些比较成熟的安全分析系统,但是大部分都是基于某一方面的需求,而不具有完备的分析模型。
因此,在数据驱动安全概念流行的今天,如何从海量数据信息中提取出有价值的信息来帮助安全人员更好的进行分析、决策是数据安全可视化研究的重要课题之一。
让数据安全可视化
随着互联网应用越来越广泛,其规模越来越庞大,多层面的威胁和风险在不断增加,所带来的损失也越来越大;如今,风险行为正向着分布化、规模化、复杂化等方向发展,仅仅依靠防火墙、入侵检测、访问控制等单一的传统安全防护技术,已不能满足信息安全的整体需求,因而迫切需要应用新的技术以及时发现数据使用中的异常行为,实时掌握数据安全状况,将之前很多只能亡羊补牢的事中、事后处理,转向事前自动评估预测,从而降低数据安全风险,提高数据安全防护能力。
在此背景下,安华金和数据安全可视化系统应运而生,面对传统安全防御体系失效的风险,数据安全可视化系统能够全面感知安全威胁态势,洞悉应用运行健康状态,并通过全流量分析技术实现完整的外部攻击溯源取证,帮助安全人员采取具有针对性的响应处置措施。
安华金和数据安全可视化系统(DSVS)以“资产”为核心,通过可视化技术对资产分布、使用情况及已知风险、未知威胁信息等进行可视化呈现,为安全管理者提供可靠的数据信息。DSVS以海量日志为核心,采用模块化的工作组件设计和大数据分布式系统架构,基于异构数据源整合,可以轻松接入企业各个业务系统,彻底打破数据孤岛局面;同时,通过实时的数据展现,帮助企业第一时间了解业务情况并及时做出决策。DSVS系统通过采集数据中心的数据,利用机器学习、数据建模、行为识别、关联分析等方法对数据资产的使用情况进行统一分析,实现对攻击行为、安全事件、未知威胁的发现和告警,并提供对日志信息数据的存储、全文检索、关联分析、可视化展现等功能。
目前,数据安全可视化系统已广泛应用于政府、金融、电信运营商、能源、互联网公司等场景,实现了数据安全信息的集中存储、可视化展示、全文检索分析、异常行为检测,并满足国家、行业对安全合规性的相关要求。
亟待解决的问题
1、安全数据分散,资产安全状况难以统一监测
由于企业资产量级庞大、业务系统繁多、关联关系错综复杂等原因,造就了数据格式不统一、数据管理混乱的内部现状。大量的监测结果只是单一反映某个系统存在的问题,呈现方式也多种多样,对很多安全防护设备的告警及海量安全数据无法进行统一展示、关联分析、数据挖掘与攻击溯源,而仅凭人工操作难以识别出众多安全事件的内在联系,很可能会忽略一些恶意用户的蓄意攻击行为,从而耽搁对安全事件的及时发现与有效处置。如何将分散各处的数据(甚至孤岛数据)有效搜集和汇总起来进行综合分析,是数据安全治理的重要一步。
2、数据处理难,数据应用也得不到创新
由于对不同部门、不同业务以及涉及的不同数据,缺乏统一、实时的数据分析展示平台,即便是将流量信息、漏洞信息、日志信息、资产信息、业务信息等海量数据都收集起来,这些数据也无法发挥其真正的价值。此外,如何将海量数据进行综合处理分析,最终将资产安全状况、数据与业务之间的流转关系、未知威胁情况完整的呈现给安全管理者,同样是数据安全治理的关键环节。推动创新型企业、提高行政效率,离不开强大的数据处理分析技术支撑。只有让数据成为决策的依据,才能真正发挥其价值。
3、传统手段和技术无法应对高级威胁
当前,传统基于规则和黑白名单的检测手段不具备体系化的防御能力,已无法应对快速变化发展的威胁。传统方式和技术手段“不懂”新出现的违规、异常行为的意义和逻辑,单纯依赖特征库匹配进行机械式的审计、拦截、阻断、放行等判断,已无法有效判断风险源,防护也就无从说起,问题主要体现在:
(1)面对复杂攻击,仅凭简单叠加构成的安全防线很容易被绕过和规避;
(2)不能对整体资产分布及数据使用情况做到全面掌控,安全运维管理便无从下手;
(3)边界安全防护对未知威胁只能在事后阶段检测到,而不能在事前或事中及时发现,用户最多只能止损,却无法预防;
(4)缺少能对信息系统内部海量数据进行快速分析的工具,无法有效利用数据;
(5)无法将风险源与目标库信息进行对称,缺少本地原始数据,难以溯源分析。
4、现有安全运营响应处置困难
产生告警很容易,但是多数客户的情况是告警数量太多,缺乏有效的归纳和梳理。简单粗暴的方式已不能真实呈现一个完整的威胁,而处置响应又极度依赖于威胁的准确性。很多客户在安全运营方面一般是一人多责,对于威胁的监控和处置不够及时。同时,由于缺乏对风险事件的统一监测与一键处置能力,非安全专业的维护与监控人员识别、分析风险事件的能力有限,应急响应速度很慢,且主要通过电话等方式逐级传报,传报流程与耗时过长。此外,现有安全运营平台缺乏对海量大数据进行存储分析与处理的能力,无法对信息进行有效挖掘分析,从而导致对异常行为的发现能力不足,对已知风险和未知威胁的响应不及时。
可视化系统的创新
DSVS要做看得见的安全。对于安全运维人员,以资产和人为视角出发的DSVS系统,能够实现对整个业务系统安全运行情况的全面监控,并从全局角度提升业务系统对安全威胁的发现识别、理解分析、响应处置等能力。同时,提供丰富的安全运维及服务工具,帮助安全运维人员提升日常安全管理与运维效率。
DSVS系统要以最佳的可视化效果向用户进行呈现。使用者所关心的重要数据资产是什么样的——在哪里、流向何处、状态如何、何人使用、效果如何,有没有风险和异常行为,是否存在安全隐患等等。将以上用户关心的信息用简单清晰的可视化方式呈现出来,形成用户对数据安全分析的基础。与此同时,对数据使用情况进行二维、三维可视化呈现,基于图论模型最大程度的展示数据使用的联系及数据流向,辅助决策者分析业务行为,快速发现问题。通过系统主动识别发现、手动导入或创建的方式来梳理目标网络中需要被防护的重要资产及业务对象,对海量日志进行集中分析和挖掘,实现了对企业整体资产分布、使用情况、安全事件分析、数据安全态势等的呈现,真正做到数据的可视与安全可见。
1、多源数据采集,统一平台监控
数据安全可视化系统能够收集多类信息,包括但不限于:流量信息、漏洞信息、日志信息、资产信息、业务信息等,并将这些类别的基础信息汇入到系统中,以帮助用户实现全流量、全要素以及安全威胁信息的实时捕获和监测。在项目实践中,数据安全可视化系统具备对所采集的信息通过数据分析处理,形成元数据管理、资产数据分析、运行状态分析、数据使用分析、安全事件管理、审计日志分析、未知威胁分析等全要素信息统筹分析的能力。可以看到,全要素、全流量、全信息的采集能力可以在后续对数据资产整体安全状况进行风险识别与未知威胁分析时,提供强大的数据支撑。
2、海量数据处理,数据应用创新
数据安全可视化系统收集流量信息、漏洞信息、日志信息、资产信息、业务信息等多类信息,在信息汇聚过程中可完成对原始数据的接收、过滤,提取、转换等一系列数据处理行为。基于这些数据处理行为,系统会根据数据的类别将其划分为业务数据、资产数据、规则库等等,此类数据将会为后续统计分析提供有效的数据支撑。安华金和将关联分析、数据统计、场景分析和策略四大引擎融入系统之中,通过这些高度抽象、高度专业化的引擎支撑,让对各个基础组件的数据梳理、分析、呈现变得更简单。
通过以上对数据的处理分析,最后呈现给用户的大屏可视化就是对数据的应用创新,也是对用户来说最直观的产品功能与价值呈现。可视化呈现包括五个维度的内容:整体资产分布与存储状况、资产使用状况分析、数据与业务流转关系分析、已知违规风险分析、未知异常威胁分析。
3、场景分析建模,高级威胁应对
传统基于规则建立安全基线的风险发现方式,无法应对快速变化的、新出现的高级威胁。除了建立安全基线外,还需对特定场景进行分析,形成对异常未知威胁行为的发现模型,即“UEBA模型”。值得一提的是,具备丰富的场景分析模型的前提,就是要有完善的数据安全治理经验以及多方需求的积累才能总结出来的。安华金和具备非常成熟的数据安全治理能力,在此基础上围绕资产的行为分析建模就具备很强的实战性。通过大数据技术和多种建模公式,系统能从多个维度对指定资产的事件行为特征(如访问源、访问量、会话量、访问行为等)进行周期性建模,然后将机器学习的实测值与建模值进行比较,以判定是否存在异常行为;系统也能根据指定IP的事件行为特征(如失败登录比例、登录时间、频度、次数、行为等)的历史值,通过预测算法得出未来时间的取值区间,然后将实测值与预测值进行比较,以判定异常等。
数据安全可视化系统可从多个维度进行全资产一体化数据展示,从定性分析到定量分析,通过指标化的数值为资产面临的风险评估等级,帮助用户识别业务健康程度,乃至业务的性能、可用性、敏感性以及潜在威胁。
4、风险“追得到”,提高处置效率
数据安全可视化系统能够以资产为原点,从资产类型角度、安全域角度和业务系统角度来审视资产的整体安全状态,从每个视角维度都可以提供资产受危害概览、资产弱点情况、资产受攻击情况以及资产风险的相关态势信息,这无疑将对用户快速定位威胁与安全态势提供助力。
基于风险行为的分析,不再只针对一次单独的行为,而是对多个可疑行为的串联分析。通过数据安全可视化系统独有的异常风险分析引擎,将异常事件基于异常模型进行分析,还原出未知威胁风险的过程,从而真正实现对风险事件的预警、检测、响应和取证。
数据安全可视化系统支持多种可视化图表的告警模式,能够第一时间呈现告警源、告警发生原因以及告警的危害程度。同时,系统支持自定义告警阈值、范围等信息,辅助安全运营人员及时对分类的异常信息作出反馈与决策。此外,通过标准告警接口,系统可支持将未知威胁分析得到的告警信息推送至第三方告警统一管理平台的功能;支持将告警信息通过手机短信、邮件、消息中心等方式及时反馈给安全管理人员,以指派相关责任人第一时间进行处理,并对处置状态进行跟踪。
数据安全可视化系统具备对数据安全的持续监控能力,能够及时发现各种已知风险与异常状况;具备威胁调查分析及可视化能力,可对威胁相关的影响范围、攻击路径、目的、手段进行快速判别,从而支撑有效的安全决策与响应;能够建立安全预警机制,来完善风险控制、应急响应和整体安全防护水平。安华金和数据安全可视化系统(DSVS)如同一面能够洞察各类风险全过程的“显‘危’镜”,帮助数据安全管理者搭建起现代化的数据安全防御指挥作战平台。
来源:freebuf.com 2020-05-11 15:04:24 by: 安华金和
请登录后发表评论
注册