互联网已经全面普及,我们不管是工作还是生活,网络已经无处不在,但是网络安全问题也无处不在。加上智能手机支付的普及,网络安全问题又上升一个台阶。是的,无论是企业还是个人都随时面临着网络安全危机。
现实中,针对企业级数据的安全事件比比皆是:克莱斯勒的汽车能够被远程控制;美国政府的人事部门曾经丢失了几百万的人工数据,早些年的熊猫烧香,黑了大量企业工作电脑,还有早两年电脑黑客勒索比特币等。种种网络安全问题的爆发,让企业甚至国家损失惨重,尤其是依托互联网营生的企业。对企业而言,如何保证企业网络应用的高性能及安全性,这是很多IT人士非常关心的问题。
以往,解决企业级网络安全和数据安全问题,一贯的思路都是在网络运营环节,利用安全软件,通过管理文件本身和监控数据流程,来应对可能随时而来的危机。网络安全问题,应该从网络部署开始,落实到日常的管理、监控和防护。实施网络安全监控势在必行,那么网络安全监控有生命周期吗?
NSM(网络安全监控)周期包括三个不同的阶段:收集、检测和分析。
1、收集
NSM周期的开始,其最重要的一步便是收集。收集阶段结合软硬件方案,为NSM检测与分析生成、组织和存储数据。收集是整个周期里最重要的部分,因为在这个阶段所采取的举措将塑造一个组织执行有效检测和分析的能力。
NSM的数据类型有好几种,收集方式也有好几种。最常见的NSM数据种类包括:完整内容数据、会话数据、统计数据、包字符串数据和报警数据。根据组织的需要、网络架构和可利用的资源,这些数据可能应用于专注检测、专门分析,或者两者兼有。
一开始,收集可以说是NSM周期里需要更多密集劳动力的阶段之一,需要卷入大量的人力资源。有效的收集,需要组织的领导、信息安全团队、网络团队和系统管理团队成员的共同协调努力。
收集阶段包括如下任务:
1)定义组织中存在的最高风险是在哪里
2)识别组织目标的威胁
3)确定相关数据源
4)从数据源里提炼要收集的部分
5)配置SPAN端口收集Packet数据
6)为日志保留建设SAN存储
7)配置数据采集硬件和软件
2、检测
检测是通过对收集的数据进行检查,并根据观察到异常的事件和数据生成告警的过程。这里通常是通过某种形式的签名、异常,或基于统计的检测完成。它以最终生成告警数据为结果。
检测往往是某款软件的一个功能,这里有点像一些目前比较流行的软件程序包,从网络入侵检测系统(NIDS)的角度来看,著名的有Snort IDS和Bro IDS;从主机入侵检测系统(HIDS)角度来看,著名的有OSSEC、AIDE和MaAfee HIPS。某些安全信息事件管理(SIEM)的应用软件利用基于网络和基于主机的数据,通过关联事件来实现检测。
尽管大部分的检测是由软件来完成的,仍有一些检测通过人工分析数据源产生告警,尤其是在需要对历史数据进行追溯分析的情况下。
3、分析
分析师NSM周期的最后阶段,它发生于当一个人解释并调查告警数据时。这往往会涉及从其它数据源收集更多的调查数据,由检测机制产生的告警类型相关的开源情报(OSINT)研究,并执行与开源情报有关的任何潜在敌对主机的研究。
这里面,有多种用于分析的方法,可以包括如下任务:
1)数据包分析
2)网络取证
3)主机取证
4)恶意软件分析
分析是NSM周期里面最耗时间的部分。在这一阶段,一个事件很可能被升级为一个分级的事故,并展开对应的事故应急响应措施。
NSM周期的闭环,要从检测和分析阶段中发现的所有异常中汲取经验教训,并进一步完善组织的收集策略。
领取专属 10元无门槛券
私享最新 技术干货