30分鐘過去了,Jason還是找不到到底發(fā)生了什么安全事件導(dǎo)致網(wǎng)站被黑;黑客是怎么進(jìn)來的?以前是我黑別人(游戲),今天怎么被別人黑了?Jason心里想。
原來Jason在進(jìn)入到馬來西亞AAA銀行之前,曾經(jīng)是一個(gè)黑客,Jason對(duì)黑客攻擊和防守技術(shù)十分熟悉,并且能夠進(jìn)行入侵,占領(lǐng)主機(jī),獲得控制權(quán),遠(yuǎn)程指揮作戰(zhàn)。
CESM安全管理系統(tǒng)平臺(tái)
“Jason!快看一下我們的銀行電子商務(wù)網(wǎng)站,出什么問題了!”,聽到馬來西亞AAA銀行IT部總經(jīng)理Tom的電話,Jason馬上登陸銀行的電子商務(wù)網(wǎng)站,發(fā)現(xiàn)一個(gè)獰笑的骷髏正對(duì)著自己,心里感覺到不妙:網(wǎng)站真的被黑了!
雖然在黑客界很有名氣,但是大學(xué)畢業(yè)1年,靠寫一些文章和安全工具小軟件給一些安全雜志與報(bào)紙,Jason很難維持生活。
正好馬來西亞AAA銀行招聘銀行網(wǎng)絡(luò)安全管理員,考慮自己的興趣和愛好,Jason選擇了銀行的網(wǎng)絡(luò)安全管理員職位。
當(dāng)時(shí)馬來西亞各家媒體、網(wǎng)站都在宣傳電子商務(wù),那時(shí)就聽說了中國(guó)的阿里巴巴、易趣、淘寶網(wǎng)、當(dāng)當(dāng)書店等電子商務(wù)網(wǎng)站,Jason對(duì)電子商務(wù)網(wǎng)站十分著迷,夢(mèng)想著有一天自己也可以象中國(guó)的馬云、邵亦波一樣通過網(wǎng)站把馬來西亞很多質(zhì)量好價(jià)格低的產(chǎn)品遠(yuǎn)銷國(guó)際。
Jason憑借自己的實(shí)力很順利進(jìn)入到了馬來西亞AAA銀行,到了銀行工作之后,Jason很快就進(jìn)入了角色,經(jīng)過對(duì)銀行內(nèi)部的考察發(fā)現(xiàn)了很多網(wǎng)絡(luò)信息安全問題。
Jason發(fā)現(xiàn)好多問題需要求助于專業(yè)的安全公司,于是就打電話給e-COP公司,e-COP公司派來專業(yè)安全顧問Brian,對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行安全評(píng)估,發(fā)現(xiàn)銀行電子商務(wù)網(wǎng)絡(luò)有很多安全問題:
·數(shù)據(jù)分散,并且量極大
由于馬來西亞AAA銀行購(gòu)買“最佳品牌”產(chǎn)品,這些安全產(chǎn)品(防火墻、入侵檢測(cè)、防病毒等)通常從不同廠家購(gòu)得,每個(gè)產(chǎn)品都有自己的信息日志和控制臺(tái),目前各種安全設(shè)備缺乏統(tǒng)一管理平臺(tái),只能通過這些安全產(chǎn)品各自的控制臺(tái)去查看事件,窗口繁多,而且所有的事件都是孤立的,不同設(shè)備之間的事件缺乏關(guān)聯(lián),分析起來極為麻煩;無法弄清楚真實(shí)的狀況。
·安全管理人員必須具備很高的技巧,了解各廠商的各種安全設(shè)備
不同廠家的設(shè)備對(duì)同一個(gè)事件的描述可能是不同的,這意味著馬來西亞AAA銀行安全管理人員必須分析各種不同格式的信息,才有可能進(jìn)行管理,這導(dǎo)致安全管理人員的工作非常繁重,大量的時(shí)間用于一些價(jià)值不大的任務(wù)上。
·無法做到快速識(shí)別和響應(yīng)
對(duì)于網(wǎng)絡(luò)安全人員來說,海量信息不但無法幫助找出真正的問題,反而因?yàn)樘喽斐蔁o法管理,并且不同廠商所制造的軟硬件可能送出不同的信息格式,使得在網(wǎng)絡(luò)安全威脅的鎖定上,變得難上加難,原本的安全系統(tǒng)反而成為管理上的負(fù)擔(dān)。
·運(yùn)維關(guān)鍵
以往的安全管理運(yùn)維工作都是基于資產(chǎn)的運(yùn)維,但是安全卻是基于安全事件的運(yùn)維。企業(yè)每出現(xiàn)一個(gè)安全問題就需要進(jìn)行一次大范圍的維護(hù),比如出現(xiàn)病毒問題。這使得安全的運(yùn)維工作不同于以往的運(yùn)維工作習(xí)慣,造成運(yùn)維工作效率低下,并且難以規(guī)劃。
Brian還提出了安全建議:在馬來西亞AAA銀行部署的Cyclops企業(yè)安全管理系統(tǒng)(CESM)能夠?qū)︺y行所有不同IT安全產(chǎn)品和相關(guān)設(shè)備發(fā)出的事件進(jìn)行采集、格式化和智能關(guān)聯(lián),具有嚴(yán)密的處理層次和流程。CESM能夠?yàn)榘踩珜I(yè)人員提供可管理的安全信息,如事件趨勢(shì)分析,攻擊處理對(duì)策和日志分析取證。
在馬來西亞AAA銀行的實(shí)際應(yīng)用中,CESM提供如下的管理過程和事件處理過程:
·原始告警的數(shù)據(jù)歸并
CESM首先歸并來自安全設(shè)備的所有安全數(shù)據(jù),這些安全設(shè)備包括防火墻、網(wǎng)絡(luò)IDS,主機(jī)IDS,安全應(yīng)用程序和服務(wù)器的日志等。
·數(shù)據(jù)正規(guī)化
為分析安全事件,“技術(shù)規(guī)范解碼器”將原始數(shù)據(jù)處理成有意義的有用信息。通過這個(gè)過程,將原始數(shù)據(jù)轉(zhuǎn)化為TIF(Transportable-Incident-Format)格式。
·數(shù)據(jù)挖掘和關(guān)聯(lián)
CESM 以其獨(dú)特的數(shù)據(jù)挖掘和關(guān)聯(lián)技術(shù)能力,實(shí)現(xiàn)三級(jí)推理的邏輯信息處理流程。這種能力可以減少虛假告警,增加對(duì)攻擊的實(shí)時(shí)檢測(cè)能力。通過自動(dòng)事件關(guān)聯(lián)和基于經(jīng)驗(yàn)的自學(xué)習(xí),從大量安全設(shè)備產(chǎn)生的入侵模式將被立即比較和觀測(cè)。
·經(jīng)過專家建議和分析的統(tǒng)一處理
提供易用的界面,同時(shí)處理CESM安全控制臺(tái)產(chǎn)生的多個(gè)安全事件。通過這種統(tǒng)一的處理方法有效地分析所有的安全事件。
·實(shí)時(shí)的防范措施
一旦發(fā)現(xiàn)來自外部或內(nèi)部的攻擊企圖發(fā)生,立即采取防范措施,在信息損失前抵御入侵。
Jason馬上向IT部總經(jīng)理Tom匯報(bào)Brian對(duì)網(wǎng)絡(luò)安全的分析,并且請(qǐng)Brian進(jìn)行現(xiàn)場(chǎng)演示,Tom感覺非常不錯(cuò),但是Tom還是認(rèn)為,馬來西亞AAA銀行已經(jīng)有了最好品牌的防火墻、入侵檢測(cè)、防病毒等安全產(chǎn)品,安全管理平臺(tái)應(yīng)該沒有必要上了,于是此項(xiàng)目就此擱淺。
Jason從回憶中回到了現(xiàn)實(shí):現(xiàn)在需要解決網(wǎng)站被黑問題,怎么辦啊?
Jason馬上打電話給Tom,匯報(bào)現(xiàn)在一時(shí)之間看不出到底發(fā)生了什么事情,需要e-COP公司協(xié)助完成,Tom馬上答應(yīng)。
30分鐘后,Brian到達(dá)現(xiàn)場(chǎng),在銀行內(nèi)部部署了一套安全管理平臺(tái),然后對(duì)各種產(chǎn)品的日志進(jìn)行分析。
Brian通過一個(gè)統(tǒng)一平臺(tái)看到了防火墻、入侵檢測(cè)、防病毒等事件信息,通過設(shè)備的關(guān)聯(lián),很快確定了黑客攻擊路徑,原來黑客通過了兩層防火墻,然后到內(nèi)部一臺(tái)剛買回來的主機(jī)上,利用這臺(tái)主機(jī)作為跳板,攻擊了網(wǎng)站服務(wù)器。
Brian馬上建議對(duì)剛買回來的主機(jī)進(jìn)行加固,然后修改里外兩層防火墻策略,重新?lián)Q上了網(wǎng)站的頁(yè)面,解決安全問題。
這時(shí),Tom也出現(xiàn)在了Jason和Brian面前,連聲稱謝,表示:
“說得對(duì),現(xiàn)在已不是單兵作戰(zhàn)的年代,而是團(tuán)隊(duì)作戰(zhàn),整體作戰(zhàn),需要整體協(xié)調(diào)才能夠減少經(jīng)濟(jì)損失,希望你們的產(chǎn)品能夠在此使用。”
過了一個(gè)月后,Jason又發(fā)現(xiàn)銀行電子商務(wù)網(wǎng)絡(luò)的一些安全問題,于是銀行又購(gòu)買了一套CESM產(chǎn)品。
采用CESM安全事件管理系統(tǒng)做為安全管理平臺(tái),參考e-COP多年的安全事件處理流程經(jīng)驗(yàn)SOP,銀行建立起了標(biāo)準(zhǔn)的內(nèi)部安全事件處理體系,如圖所示。
馬來西亞AAA銀行通過安全事件處理體系,相關(guān)安全管理人員從海量事件中解脫出來,只關(guān)心少量的最為緊迫、最為關(guān)鍵的事件信息。并且,安全事件處理體系的成果為后續(xù)整體安全策略的規(guī)劃和調(diào)優(yōu)提供了有力的依據(jù)。
通過對(duì)CESM產(chǎn)品和服務(wù)的使用,使得安全管理更有效化、簡(jiǎn)單化、條理化、專業(yè)化,節(jié)約了安全管理的成本,縮短了對(duì)安全事件響應(yīng)時(shí)間。
從此,馬來西亞AAA銀行實(shí)現(xiàn)了安全事件的可知、可控、可預(yù)測(cè),建立起了可管理的安全體系,同時(shí)Jason的工作也變得輕松很多。