您的位置: 网界网 > 周报全文 > 正文

[周报全文]如何利用SOC来对抗恶意攻击

2005年04月25日 00:00:00 | 作者:佚名 | 来源:$page.getBroMedia() | 查看本文手机版

摘要:如何利用SOC来对抗恶意攻击

标签
    如何利用SOC来对抗恶意攻击

    ——安全运营中心正在成为企业中必不可少的组成部分

    深夜,关于Slammer蠕虫紧急电话把Eamus Halpin从睡梦拽了出来。在这种蠕虫攻击之前,他一直是仅仅依靠端口阻断来保护自己的企业免受黑客攻击和入侵的危害。在他看到Slammer肆虐全球造成的一片狼籍后,Halpin才意识到自己必须全面更新公司的网络安全措施。 

    iRevolution是一家总部设在伦敦的管理服务商,Halpin 正是这家公司的首席技术设计师。他回忆说:“当时我正好在西雅图出席微软公司的NDA会议,当时就有人警告我要注意Slammer对基于端口阻断式网络的破坏。”尽管iRevolution的网络错过了这种蠕虫的直接攻击,但Halpin知道那完全是运气。他说:“我花了三个小时来研究蠕虫的危害,当我知道其中的危险时,我的头发都立了起来。我们网络中存在的漏洞比瑞士奶酪还要多。” 

    尽管iRevolution已经建立了基本的防御措施 —防火墙、杀毒软件、入侵检测系统(IDS),但没有一种方法能够将这些安全工具的警报组合起来并形成网络健康状况的逻辑全景。 

    Halpin说:“所有这些工具的维护和管理都是独立进行的。它们之间从不互通信息,而且没有将企业的业务活动当作一个整体。因此,我们只能偶尔发现某种类型的病毒通过电子邮件对企业发动了攻击,但我们不能真正确定问题到底有多严重。” 

    为此,Halpin决定要对企业的安全措施进行一次全面的检查。他的目标是为iRevolution的内部网络建立和维持一个世界级的安全运营中心(SOC),同时也帮助企业为客户提供类似的支持。 

    网络运营中心(NOC)可以连续不断地监视网络,排除错误并确保最优化的性能,而SOC与之非常相似,它可以连续不断地监视和管理一系列的安全设备及事件,保持和确保网络的总体安全性。专家认为,SOC的使用在企业中变得越来越普遍,这里面有很多原因,其中最明显的原因是,安全问题已经从基于规则的点状解决方案发展成为更为普遍深入、更为关键的体系,对网络的总体健康起到了至关重要的作用。 

    Nemertes 研究公司高级副总裁兼联合创始人Andreas Antonopoulos解释说:“过去我们都让安全专家来管理各种类型的防火墙、IDS和诸如此类的安全措施,这主要是因为安全问题一般都发生在网络中非常具体的某个地点。但是,现在的情况已经变化,安全问题已经不再像当年那么简单。由于周边的漏洞比比皆是,所以安全措施应当被实施在应用层、网络层和存储层上。它已经成为您的端对端应用服务中的一部分,与网络性能的地位非常接近。”

    Sarbanes-Oxley法案(SOX)、健康保险可移植性及可说明性法案、Gramm-Leach-Bliley法案等法规方面的压力也促使企业SOC得到了进一步的发展。 

    Computer Associates公司eTrust部门执行安全顾问Diana Kelley说:“Sarbanes-Oxley法案就是SOC前瞻性推动力量的最好例证。如果企业的网页上出现404错误,那么企业就应当准备好承担内部控制结构不足责任。也就是说,企业要对自己的商业报告实施正确有效的控制。一旦这种控制建立起来后,企业还应对其进行监视和维护,而    SOC正是解决这一问题的一种很有效的方法。” 

    另外,现在市场上有一种趋势,也就是将过去外包给管理安全服务商(MSSP)的安全监视职责收回企业内部,这种情况在金融行业中尤为明显。专业网络咨询企业International Network Services 公司负责安全服务的副总裁兼首席安全官Jim Tiller认为,内部的SOC可以对企业网络实施更好的控制和监视,并且有助于降低总体成本。 

    Tiller说:“在有些情况下,MSSP在响应能力方面存在一些困难。但是,由于蠕虫和拒绝服务式攻击发生的频率越来越高,尤其是在金融行业中更为严重,而且此类威胁也变得越来越狡猾老练,我们的响应能力与网络的可见性息息相关,也就是说,如果我们能够清楚地了解网络中发生的一切,就能够及时做出适当的响应。通过引入管理能力,我们就能提高网络的可见性并改善企业的响应能力。” 

    另外,他还指出:“对于大型企业来说,在被管理的安全服务中的投资是相当巨大的,如果将这些服务收入企业内部并由企业自己来管理,从长远来看必然会给企业带来较大的利益。”

    障碍

    尽管我们可以很容易地理解安全运营中心存在的意义和需求,但建设一个SOC却远非如此简单的。由于很多企业中的安全和网络小组都是独立成长起来的,要让它们携手合作也绝非易事。专家认为,即使企业网络中具备强大的安全监控能力,但如果这种能力与网络运营监控完全脱节,那么就很有可能导致企业的网络发生重大的灾难。 

    Antonopoulos说:“在很多情况下,单从外表来看我们很难发现安全事件。例如,如果路由器停止响应,您单凭这种症状很难确定到底发生了什么问题。如果您的网络运营小组与安全运营小组彼此分隔,最终的结果只能是:两个小组分别寻找问题的根源,或者是两个小组都不去查找问题的根源,但都声称问题出在对方的小组身上。 

    如果我们想要修补网络中出现的问题,这种局面中隐藏的矛盾就会显得更为突出。他说:“如果两个小组都在网络上实施某些措施并对其进行监视,最终的结果可能是:网络小组的人员进行了修改,如访问控制列表,可能导致系统安全性降低;而安全小组实施的ACL又有可能对网络性能产生冲击。由于这两个职能部分没有整合,而且没有按照端对端的形式来处理问题,最终带来的只能是成堆的棘手问题。” 

    真正的安全运营中心(SOC)应当集成安全和网络事件信息,使安全和运营人员能够全面了解各类事件,以及事件对网络造成的影响。这样,他们就能够根据预先定义的安全策略,作出明智的响应决策。不过,说起来容易,真正实施起来还会遇到很多的困难。 

    起点

    许多企业首先考虑的都是采购安全事件管理系统或警报关联引擎。但专家认为,这是一项战术性的错误。企业在实施安全运营中心之前,首先应当做的是进行总体风险评估,确定每一件网络资产在实际业务中的重要性。 

    了解业务的重要性是非常关键的,因为安全运营中心的目的不仅是实现安全事件监视,而且也要对事件作出信心十足的响应。Unisys公司负责三个安全运营中心管理工作的Summers 说:“我们需要知道,如果某台服务器停机,它对业务会产生什么样的影响,还有这些服务器是否比其它的服务器更重要?如果知道了这些问题的答案,技术问题就会非常容易解决。”

    技术忠告

    接下来要做的便是选择技术平台。这一步的目的是找到一种能够与各类已有安全设备协调工作的安全事件管理平台,而且该平台需要对各类警报进行关联,并且与现有的系统实现某种程度的集成,从而达到查找故障和网络运营管理的目的。专家指出,只有对网络的了解达到了这样的层次,企业才能将网络中存在的各种安全漏洞一个个的揪出来。 

    CA公司的Kelley说:“与我们合作的一家大型的金融服务公司发现,有人在侵入该公司遍布全球的网络。每次侵入都有所不同,似乎并不是某个特定的个人所为,但它们都来自同一个IP地址,而且每过几天就发生一次。这些侵入都没有严重到触发报警的程度,但当该公司将这些信息汇集到(安全运营中心内的)一个中心控制台时,他们才发现这个IP地址到底在对该公司的全球网络做些什么。从此,该公司开始严肃对待这件事情。” 

    然而,要想使您的安全运营中心具备此类全球化的监控能力,实施的过程将会非常费时,而且成本极为高昂。

    除了ArcSight、Intellitactics和netForensics等新兴企业提供的集成式安全事件管理器外,多数大型网络管理公司,如CA、HP和IBM,也都提供集成在各自平台中的安全事件监视能力。但是,它们的成本都相当可观,不是一般的企业所能承受的。 

    Nemertes公司的Antonopoulos说:“在安全领域中,IDS与您的管理系统沟通时所用的语言通常与防火墙是不一样的。您可以在防火墙中添加一条阻断某类通信的规则,但这种规则绝对不适用于路由器。因此,安全事件监视器将是一个非常巨大的集成项目,要将所有的信息都转换成通用的格式,并在所有这些领域中将其关联起来。” 

    Antonopoulos说:“厂商会将大型集成项目的成本转嫁到客户身上。单单是这些硬件和软件的成本通常就高达150万至300万美元。另外还有人员三班倒和认证系统集成的成本,整个算下来将是一笔非常惊人的开销。” 

    IRevolution公司的Halpin指出,他的安全运营中心项目是基于CA公司的Unicenter网络管理功能,并且与CA的eTrust安全监视和事件关联功能集成在一起,整体成本约为100万美元,实施过程消耗的时间长达18个月。该安全运营中心自启动后已经运行了6个月,而Halpin说他现在觉得自己能够从这个SOC获得一些有价值的信息,并且能够为实际行动提供很多的帮助。 

    他认为:“总体来说(+微信关注网络世界),这笔交易还算是公平,但我的成本主要来自人员工作时间。选择工具是一回事,让工具在公司特有的环境中运转起来则是另一回事,需要耗费大量的时间并排除数量众多的各类故障。” 

    他说,要想让整个过程变得轻松一些,最关键的一条就是选择灵活性较高的工具。也就是说,这种工具不仅能够支持您现在正在使用的各类防火墙、IDS和网络管理平台,而且要易于定制和调节。 

    他说:“编写规则的过程必须非常简单。如果您能够迅速编写规则,而且拥有很好的模板和向导,那么整个过程将会变得更容易。”

    但是,也许在建设安全运营中心方面最大的忠告是,您最初的100万美元投资只是第一步。因为技术总是在不断地发展,您企业的安全需求和战略也应当随时做出相应的调整。 

    Halpin说:“尽管我目前认为公司的安全能力和安全运营中心都具有很大的扩展能力,但我预计在三、四年之后,我们就必须将其完全丢掉,并且重新开始,因为安全技术也必须与时俱进。随着双核心处理器和其它技术的不断出现,企业的处理能力也将发生巨大的飞跃,我们绝对不能止步不前。这些发展将对技术和安全市场产生非常重大的影响,而且现在我们都知道,企业在安全方面的花费也将是没有尽头的。”

    应当尽量避免的5种SOC缺陷 

    1. 技术上的隧道视觉。如果您完全被最新的技术和最优秀的工具吸引住,那么就有可能忽视安全运营中心的核心。而这种核心应当是基于合理风险评估和安全策略的。因此,首先要确定SOC的核心,然后才可以将注意力集中在产品和技术上,但无论产品和技术有多神奇,它们的作用仍然是为SOC核心提供支持。

    2. 孤立思维。千万不要认为安全运营中心是独立于网络运营之外的孤立竖井。高效的安全运营中心需要的是完全集成的安全能力和网络监控工具,同时,与这些能力和工具相关的人员也是不可或缺的。

    3. 人员配备方面的错误。不要让资深安全人员来做那些低层次的监控工作,在网络世界中,最好设置一些适当的检查和平衡机制,使网络中的权力得到分散,千万不要让单个人员掌握所有的权力。

    4. 没有灵活性的工具集。您选择的工具不仅应当适用于当前的安全设备、验证系统和网络监控解决方案,而且应当易于定制,并且能够提供各类的模板和向导。需要注意的是,即使是最好的工具集也需要自己进行大量的定制和集成工作。

    5. 选择便宜的路线。安全运营中心存在的目的不是为了节俭。总体而言,大型企业应当至少投资100万美元才能实施和维持一个真正的企业级安全运营中心。而且随着时间的推移,今后的投资极有可能变得更高。

    如何为安全运营中心配置人员

    一些专家认为,为安全运营中心配置人员也是一件非常具有挑战性的事情,其重要程度不亚于建设或购买安全运营中心。

    安全运营中心需要24×7式的全天候监视,这就是最大的障碍之一。Unisys公司管理安全服务全球主管John Summers说:“有些企业的安全人员习惯于每天工作8小时,每周工作5天,但24×7式的职位通常相当于5位全职员工的工作量,其报酬自然也要高得多。”很多企业都看到了这一点,但它们希望缩减工资支出,其结果可想而知。

    例如,有些企业的错误在于,它们只为安全运营中心配备最优秀的安全人员。Nemertes 研究公司高级副总裁兼联合创始人Andreas Antonopoulos说:“有些公司让那些经验丰富的安全专家呆在屏幕前执行监视工作,每6小时轮一班。但我估计您是不可能把这些人留住的,因为他们很快就会感到厌烦。”除了厌烦问题和过量使用有价值的员工外,这种战术还有可能引发巨大的安全漏洞。

    Antonopoulos说:“如果您的安全策略在编写、实施、监视和符合性检查方面都是由同一个人来执行的,那么这个人可能就是最大的安全风险。没有分权就绝对谈不上检查与制衡。” 

    如同传统的网络运营中心一样,好的安全运营中心也应当具备多个层级的员工配置,其中第一层的人员负责接收警报和执行一些低级的故障排除工作,第二和第三层的人员负责处理更为复杂的警报和问题。在理想情况下,第一级的人员应当为企业内的网络和安全部门提供一线的响应。这样,您的资深安全专家就可以处理更为复杂的风险管理和策略编写工作,低层人员在安全运营中心内的职责主要是进行监视。这样,当警报出现时,如果第一层的人员不能确定如何处置,他就可以把球踢给第二和第三层的人员,只有这时,那些身价不菲的专家才会派上用场。
[责任编辑:程永来 cheng_yonglai@cnw.com.cn]