作為學(xué)校的網(wǎng)絡(luò)安全負(fù)責(zé)人，頭上一直懸著一把達(dá)摩克利斯之劍，容不得絲毫的大意，需要隨時警惕學(xué)校網(wǎng)絡(luò)的變化和異常。 所謂沒有100%的安全，我們能做到的就是采用各種防御手段和安全制度盡量增加被攻擊的成本。這些做好后，在日常運(yùn)維中針對安全狀態(tài)的各維度監(jiān)控是安全管理者最大的一個抓手，但因?yàn)榘踩�涉及面廣、數(shù)據(jù)量大、人員精力有限等原因，導(dǎo)致安全監(jiān)控管理的效率一直比較低，難以做到面面俱到和心中有數(shù)。為此我們也在不斷的去尋找適合學(xué)校環(huán)境且能大幅提升監(jiān)控管理效率的產(chǎn)品。

大連醫(yī)科大學(xué)安全態(tài)勢感知平臺
 

從2018年開始，我們就開始考察并測試各廠商的安全態(tài)勢感知平臺產(chǎn)品來幫助提升網(wǎng)絡(luò)安全管理工作的效率，下半年開始接觸銳捷的安全態(tài)勢感知解決方案， 從整體理念上來講非常貼合我校安全管理的理念， 綜合所有現(xiàn)網(wǎng)日志進(jìn)行大數(shù)據(jù)安全關(guān)聯(lián)分析，定位核心的服務(wù)器失陷等安全問題，并實(shí)時監(jiān)控網(wǎng)內(nèi)的整體安全動態(tài)。但只有理念不夠，真實(shí)效果必須經(jīng)過實(shí)際場景效果的檢驗(yàn)，這也是我們選擇產(chǎn)品方案一直奉行的原則。

5月11日銳捷態(tài)勢感知的第一個版本（P3版本）上線測試，主要基于現(xiàn)網(wǎng)的日志進(jìn)行綜合分析，包括安全設(shè)備日志、網(wǎng)絡(luò)日志、服務(wù)器日志等等，這種模式顯然可以非常有效地利用現(xiàn)有的安全資源。同時由于采集的維度眾多，在分析全面性上具備優(yōu)勢，但在實(shí)際測試中就發(fā)現(xiàn)這種模式存在的難題和局限性：

1、 日志采集難題：在我們現(xiàn)網(wǎng)中存在幾臺較老的安全設(shè)備，無法支持向第三方發(fā)送日志，導(dǎo)致部分有價(jià)值信息無法匯總到平臺，也影響到了平臺的分析素材的支撐。

2、 日志標(biāo)準(zhǔn)化難題：由于市場上設(shè)備種類型號眾多，在日志分析模式中，如何對采集到的日志進(jìn)行精細(xì)化的解析，是考驗(yàn)安全分析平臺能力非常重要的因素，也是考驗(yàn)一個產(chǎn)品是否完善非常重要的參考指標(biāo)，同時代表這產(chǎn)品在實(shí)際項(xiàng)目迭代的成熟度。

在第二點(diǎn)方面，通過實(shí)際的測試，銳捷還是做得非常不錯的，包括兼容的設(shè)備型號、日志解析精細(xì)度以及銳捷提供的日志優(yōu)化效率。

這個版本整體看下來展示界面美觀度是有的，但對我們這些具體運(yùn)維人員來實(shí)用型還是不夠，首先是受限部分日志不足的情況下分析到的問題比較少，3個月體驗(yàn)時間也才發(fā)現(xiàn)了幾個安全問題， 準(zhǔn)確度夠但一定是不全面的。 另外， 易用性上還存在較大差距，站在我們使用者的角度，測試期間也向銳捷提出了很多優(yōu)化建議，包括如何提升安全分析全面性和易用性等。

整網(wǎng)多維度安全態(tài)勢感知
 

還好在需求提完后不到2個月他們就發(fā)布了新的流量探針組件，并在11月在我校上線測試。這次在分析能力的全面性上有質(zhì)的提升，用新的流量探針很好的補(bǔ)充了流量方面的數(shù)據(jù)，日志+流量綜合的分析模式非常大提升了安全分析效果，上線十天發(fā)現(xiàn)近十個關(guān)鍵安全問題。相比于單日志分析模式，在安全分析全面性和準(zhǔn)確性有了非常大的提升，也讓我們有了整體安全監(jiān)控的觸角和平臺。通過此輪的實(shí)際測試，我們認(rèn)為“日志+流量”的綜合分析模式，才是適合高校進(jìn)行整體安全分析平臺建設(shè)的更適合的模式，雖然此階段測試效果上有顯著提升，但之前平臺部分易用性問題仍然存在。

基于“網(wǎng)絡(luò)殺傷鏈”的安全分析
 

這里確實(shí)要點(diǎn)贊下銳捷的產(chǎn)品部需求響應(yīng)和開發(fā)團(tuán)隊(duì)，不到1個月他們又發(fā)布了態(tài)勢感知主平臺的新版本（P4版本），之前在測試期間非常多的優(yōu)化建議得到了落實(shí)，在綜合分析能力和易用性上得到了非常大的提升， 以安全事件的維度去展示問題比之前的單告警維度要好用很多，殺傷鏈的攻擊階段展示和攻擊鏈條時間軸也讓查驗(yàn)變的很方便，問題小貼士和知識庫也給問題閉環(huán)處理非常好的幫助。這個版本通過“日志+流量”的關(guān)聯(lián)分析通過殺傷鏈方式進(jìn)行整合，上線一周發(fā)現(xiàn)和預(yù)警了30+安全問題，分析能力得到了質(zhì)的提升，真正能幫助到我校的網(wǎng)絡(luò)安全管理工作。
 
經(jīng)過半年多的部署使用，見證了銳捷安全態(tài)勢感知方案不斷的演進(jìn)， 從最早的分析能力和易用性受限，到現(xiàn)在的全面提升，非常有幸能夠參與到這個產(chǎn)品蝶變的過程，不得不說只有經(jīng)過實(shí)際使用環(huán)境打磨的產(chǎn)品才是好產(chǎn)品，才是真正解決問題且能用起來的產(chǎn)品。

標(biāo)簽： 多維數(shù)據(jù)整合 高效運(yùn)維 

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。