大連醫(yī)科大學(xué)安全態(tài)勢(shì)感知平臺(tái)
5月11日銳捷態(tài)勢(shì)感知的第一個(gè)版本(P3版本)上線測(cè)試����,主要基于現(xiàn)網(wǎng)的日志進(jìn)行綜合分析�,包括安全設(shè)備日志���、網(wǎng)絡(luò)日志�����、服務(wù)器日志等等�����,這種模式顯然可以非常有效地利用現(xiàn)有的安全資源�����。同時(shí)由于采集的維度眾多�,在分析全面性上具備優(yōu)勢(shì),但在實(shí)際測(cè)試中就發(fā)現(xiàn)這種模式存在的難題和局限性:
1��、 日志采集難題:在我們現(xiàn)網(wǎng)中存在幾臺(tái)較老的安全設(shè)備��,無法支持向第三方發(fā)送日志�����,導(dǎo)致部分有價(jià)值信息無法匯總到平臺(tái)����,也影響到了平臺(tái)的分析素材的支撐���。
2、 日志標(biāo)準(zhǔn)化難題:由于市場(chǎng)上設(shè)備種類型號(hào)眾多����,在日志分析模式中����,如何對(duì)采集到的日志進(jìn)行精細(xì)化的解析,是考驗(yàn)安全分析平臺(tái)能力非常重要的因素�����,也是考驗(yàn)一個(gè)產(chǎn)品是否完善非常重要的參考指標(biāo)��,同時(shí)代表這產(chǎn)品在實(shí)際項(xiàng)目迭代的成熟度���。
在第二點(diǎn)方面����,通過實(shí)際的測(cè)試���,銳捷還是做得非常不錯(cuò)的���,包括兼容的設(shè)備型號(hào)�����、日志解析精細(xì)度以及銳捷提供的日志優(yōu)化效率����。
這個(gè)版本整體看下來展示界面美觀度是有的��,但對(duì)我們這些具體運(yùn)維人員來實(shí)用性還是不夠����,首先是受限部分日志不足的情況下分析到的問題比較少,3個(gè)月體驗(yàn)時(shí)間也才發(fā)現(xiàn)了幾個(gè)安全問題�����, 準(zhǔn)確度夠但一定是不全面的�。 另外, 易用性上還存在較大差距����,站在我們使用者的角度��,測(cè)試期間也向銳捷提出了很多優(yōu)化建議�,包括如何提升安全分析全面性和易用性等�����。
整網(wǎng)多維度安全態(tài)勢(shì)感知
還好在需求提完后不到2個(gè)月他們就發(fā)布了新的流量探針組件�����,并在11月在我校上線測(cè)試�。這次在分析能力的全面性上有質(zhì)的提升���,用新的流量探針很好的補(bǔ)充了流量方面的數(shù)據(jù)��,日志+流量綜合的分析模式非常大提升了安全分析效果���,上線十天發(fā)現(xiàn)近十個(gè)關(guān)鍵安全問題。相比于單日志分析模式�,在安全分析全面性和準(zhǔn)確性有了非常大的提升,也讓我們有了整體安全監(jiān)控的觸角和平臺(tái)�。通過此輪的實(shí)際測(cè)試,我們認(rèn)為“日志+流量”的綜合分析模式���,才是適合高校進(jìn)行整體安全分析平臺(tái)建設(shè)的更適合的模式���,雖然此階段測(cè)試效果上有顯著提升�����,但之前平臺(tái)部分易用性問題仍然存在�。
基于”網(wǎng)絡(luò)殺傷鏈“的安全分析
這里確實(shí)要點(diǎn)贊下銳捷的產(chǎn)品部需求響應(yīng)和開發(fā)團(tuán)隊(duì)����,不到1個(gè)月他們又發(fā)布了態(tài)勢(shì)感知主平臺(tái)的新版本(P4版本),之前在測(cè)試期間非常多的優(yōu)化建議得到了落實(shí)�,在綜合分析能力和易用性上得到了非常大的提升, 以安全事件的維度去展示問題比之前的單告警維度要好用很多�,殺傷鏈的攻擊階段展示和攻擊鏈條時(shí)間軸也讓查驗(yàn)變的很方便,問題小貼士和知識(shí)庫(kù)也給問題閉環(huán)處理非常好的幫助���。這個(gè)版本通過“日志+流量”的關(guān)聯(lián)分析通過殺傷鏈方式進(jìn)行整合�,上線一周發(fā)現(xiàn)和預(yù)警了30+安全問題����,分析能力得到了質(zhì)的提升,真正能幫助到我校的網(wǎng)絡(luò)安全管理工作�����。
