在 IT 运维领域,如何保证网络环境下的信息安全是一个长久以来的“热门话题”。因为在互联网架构下,网络环境非常复杂,各种信息通道纵横交错,企业面对这种复杂度高、隐蔽性强的网络环境,需要部署网络防火墙、入侵检测系统、安全认证、虚拟专用网络等一系列的安全设备共同协作,来保障信息安全。
当系统被入侵并出现安全问题时,以往的工作方式是运维人员依次去各种网络设备上检查日志数据,通过分析来判断入侵发生的时间、地点,这种方式非常低效且不及时,都是在问题发生后一段时间才会暴露出来,这对于安全防范来说,是非常被动的。
现在,单纯的通过防御措施来避免 IT 运维中的入侵行为,已经很难奏效。因为,安全设备很难做到 100% 的入侵防御,这已经是大家都认同的事实。针对安全问题,业界也做了诸多方面的探索和实践,其中通过大数据进行“安全分析”就是一个新兴的解决方案。通过“安全分析”,可以在入侵发生的第一时间,监控到网络日志中的异常数据,主动发出报警,及时处理问题,在数据被破坏前,切断攻击源头。
安全思路变化?与其被动防御,不如主动监控
真实的互联网环境下,网络入侵几乎每时每刻都在发生,“被动防御”无法做到完全的避免入侵,那么只要有入侵发生而没有被及时的发现,就可能造成无法挽回的后果。不过,幸运的是,从外部的“网络入侵”到系统内部的“实际损害”之间是有“时间成本”的!
大部分网络入侵想达到目的,都需要较长的时间,特别定向攻击和APT攻击。那么就意味着,在入侵行为造成“实际损害”之前,这个入侵活动的过程必然会留下蛛丝马迹。如果安全团队通过安全分析和主动监控,及时发现入侵行为,立即阻止其进一步的活动,就可以做到避免真正的系统损害,最大限度的减少网络入侵所造成的“实际损害”。
我们可以预期,通过大数据、安全智能、威胁报警、数据挖据、监控可视化等新兴手段,安全工程师们手中又拥有了新的“安全利器”。
主动监控!SaCa DataInsight“反入侵”应用
SaCa DataInsight 提供了可以部署在服务器端的 Agent 监控程序,通过配置,采集安全设备上的日志数据,实时推送到数据分析平台,实现了安全设备状态的“秒级”监控。
监控数据分类
对于数据的采集,首先要明确的就是数据的种类,何种数据会反映出“入侵”情况:
- 业务数据
包括公司资产及属性(业务、服务、漏洞、用户…)、员工与账号、组织结构等,这类数据涉及到公司的内部信息,需要进行实时监控和保护。
- 网络数据
包括 FPC (Full PacketCapture,一般是 PCAP 格式)、会话或 Flow 数据,PSTR (Packet String,这种数据格式包括指定的协议头部内容,如HTTP头数据)等,这类数据可以记录网络环境的状态,可以帮助安全人员增强网络环境的可见度。
- 设备、主机和应用日志
包括了服务器 CPU、内存、网络等指标数据,web 容器日志、apache 日志、网关日志、防火墙日志、VPN 日志、代理访问日志等,这类数据是可以记录并跟踪到进入公司网络环境的请求,对其进行监控,可以及时的发现网络攻击。
- 报警数据
SaCa DataInsight 在对服务器进行监控的同时,会在有网络攻击和网络入侵的情况下,生成对应的报警跟踪数据,用于给安全人员做问题定位和分析。
SaCa DataInsight 高效数据采集
SaCa DataInsight 在安全设备上部署采集器,实现关键日志的增量采集和自动推送,我们的 Agent 采集器基于 Golang 语言开发,相比 JVM 等容器程序,拥有更好的性能和更低的系统资源消耗,不会给服务器造成负担。
SaCa DataInsight 关键数据监控
SaCa DataInsight 提供了对关键数据和关键路径的变动监控功能,将关键服务器的各项指标通过实时的监控管理起来,在服务器出现问题的第一时间告警给企业运维人员。与此同时,SaCa DataInsight 还支持入侵防护,在入侵发生时,如果监控到关键路径和关键文件有增删改查操作,会自动进行关键文件恢复、关键用户锁定等措施,最大程度的保障系统安全。
SaCa DataInsight 实时入侵告警
通过在服务器上部署监控程序,并自动将数据推送到 SaCa DataInsight 平台。平台会根据数据智能分析服务器的异常状态和入侵行为。在发现有入侵发生时候,会自动给安全人员发出告警提醒,帮助安全人员及时的发现问题,阻止攻击发生。
SaCa DataInsight 可视化入侵防护
SaCa DataInsight 支持动态的图形化数据分析仪表盘,将监控到的安全数据实时的以图表的形式展现出来,企业安全人员可以通过仪表盘看板,查看实时的网络环境状态,实现真正意义上的主动安全监控。
