大連醫(yī)科大學安全態(tài)勢感知平臺
5月11日銳捷態(tài)勢感知的第一個版本(P3版本)上線測試�����,主要基于現(xiàn)網(wǎng)的日志進行綜合分析,包括安全設備日志��、網(wǎng)絡日志���、服務器日志等等�����,這種模式顯然可以非常有效地利用現(xiàn)有的安全資源�。同時由于采集的維度眾多,在分析全面性上具備優(yōu)勢����,但在實際測試中就發(fā)現(xiàn)這種模式存在的難題和局限性:
1、 日志采集難題:在我們現(xiàn)網(wǎng)中存在幾臺較老的安全設備�,無法支持向第三方發(fā)送日志�����,導致部分有價值信息無法匯總到平臺�����,也影響到了平臺的分析素材的支撐���。
2�����、 日志標準化難題:由于市場上設備種類型號眾多����,在日志分析模式中,如何對采集到的日志進行精細化的解析���,是考驗安全分析平臺能力非常重要的因素�,也是考驗一個產品是否完善非常重要的參考指標����,同時代表這產品在實際項目迭代的成熟度。
在第二點方面��,通過實際的測試���,銳捷還是做得非常不錯的���,包括兼容的設備型號、日志解析精細度以及銳捷提供的日志優(yōu)化效率�。
這個版本整體看下來展示界面美觀度是有的,但對我們這些具體運維人員來實用性還是不夠��,首先是受限部分日志不足的情況下分析到的問題比較少�,3個月體驗時間也才發(fā)現(xiàn)了幾個安全問題, 準確度夠但一定是不全面的�。 另外��, 易用性上還存在較大差距���,站在我們使用者的角度,測試期間也向銳捷提出了很多優(yōu)化建議��,包括如何提升安全分析全面性和易用性等���。
整網(wǎng)多維度安全態(tài)勢感知
還好在需求提完后不到2個月他們就發(fā)布了新的流量探針組件�,并在11月在我校上線測試��。這次在分析能力的全面性上有質的提升��,用新的流量探針很好的補充了流量方面的數(shù)據(jù)����,日志+流量綜合的分析模式非常大提升了安全分析效果��,上線十天發(fā)現(xiàn)近十個關鍵安全問題�。相比于單日志分析模式,在安全分析全面性和準確性有了非常大的提升�,也讓我們有了整體安全監(jiān)控的觸角和平臺。通過此輪的實際測試�,我們認為“日志+流量”的綜合分析模式���,才是適合高校進行整體安全分析平臺建設的更適合的模式,雖然此階段測試效果上有顯著提升�����,但之前平臺部分易用性問題仍然存在��。
基于”網(wǎng)絡殺傷鏈“的安全分析
這里確實要點贊下銳捷的產品部需求響應和開發(fā)團隊��,不到1個月他們又發(fā)布了態(tài)勢感知主平臺的新版本(P4版本)��,之前在測試期間非常多的優(yōu)化建議得到了落實�,在綜合分析能力和易用性上得到了非常大的提升, 以安全事件的維度去展示問題比之前的單告警維度要好用很多����,殺傷鏈的攻擊階段展示和攻擊鏈條時間軸也讓查驗變的很方便,問題小貼士和知識庫也給問題閉環(huán)處理非常好的幫助��。這個版本通過“日志+流量”的關聯(lián)分析通過殺傷鏈方式進行整合�,上線一周發(fā)現(xiàn)和預警了30+安全問題,分析能力得到了質的提升�����,真正能幫助到我校的網(wǎng)絡安全管理工作。
