30分鐘過去了,Jason還是找不到到底發生了什么安全事件導致網站被黑;黑客是怎么進來的?以前是我黑別人(游戲),今天怎么被別人黑了?Jason心里想。
原來Jason在進入到馬來西亞AAA銀行之前,曾經是一個黑客,Jason對黑客攻擊和防守技術十分熟悉,并且能夠進行入侵,占領主機,獲得控制權,遠程指揮作戰。
CESM安全管理系統平臺
“Jason!快看一下我們的銀行電子商務網站,出什么問題了!”,聽到馬來西亞AAA銀行IT部總經理Tom的電話,Jason馬上登陸銀行的電子商務網站,發現一個獰笑的骷髏正對著自己,心里感覺到不妙:網站真的被黑了!
雖然在黑客界很有名氣,但是大學畢業1年,靠寫一些文章和安全工具小軟件給一些安全雜志與報紙,Jason很難維持生活。
正好馬來西亞AAA銀行招聘銀行網絡安全管理員,考慮自己的興趣和愛好,Jason選擇了銀行的網絡安全管理員職位。
當時馬來西亞各家媒體、網站都在宣傳電子商務,那時就聽說了中國的阿里巴巴、易趣、淘寶網、當當書店等電子商務網站,Jason對電子商務網站十分著迷,夢想著有一天自己也可以象中國的馬云、邵亦波一樣通過網站把馬來西亞很多質量好價格低的產品遠銷國際。
Jason憑借自己的實力很順利進入到了馬來西亞AAA銀行,到了銀行工作之后,Jason很快就進入了角色,經過對銀行內部的考察發現了很多網絡信息安全問題。
Jason發現好多問題需要求助于專業的安全公司,于是就打電話給e-COP公司,e-COP公司派來專業安全顧問Brian,對內部網絡進行安全評估,發現銀行電子商務網絡有很多安全問題:
·數據分散,并且量極大
由于馬來西亞AAA銀行購買“最佳品牌”產品,這些安全產品(防火墻、入侵檢測、防病毒等)通常從不同廠家購得,每個產品都有自己的信息日志和控制臺,目前各種安全設備缺乏統一管理平臺,只能通過這些安全產品各自的控制臺去查看事件,窗口繁多,而且所有的事件都是孤立的,不同設備之間的事件缺乏關聯,分析起來極為麻煩;無法弄清楚真實的狀況。
·安全管理人員必須具備很高的技巧,了解各廠商的各種安全設備
不同廠家的設備對同一個事件的描述可能是不同的,這意味著馬來西亞AAA銀行安全管理人員必須分析各種不同格式的信息,才有可能進行管理,這導致安全管理人員的工作非常繁重,大量的時間用于一些價值不大的任務上。
·無法做到快速識別和響應
對于網絡安全人員來說,海量信息不但無法幫助找出真正的問題,反而因為太多而造成無法管理,并且不同廠商所制造的軟硬件可能送出不同的信息格式,使得在網絡安全威脅的鎖定上,變得難上加難,原本的安全系統反而成為管理上的負擔。
·運維關鍵
以往的安全管理運維工作都是基于資產的運維,但是安全卻是基于安全事件的運維。企業每出現一個安全問題就需要進行一次大范圍的維護,比如出現病毒問題。這使得安全的運維工作不同于以往的運維工作習慣,造成運維工作效率低下,并且難以規劃。
Brian還提出了安全建議:在馬來西亞AAA銀行部署的Cyclops企業安全管理系統(CESM)能夠對銀行所有不同IT安全產品和相關設備發出的事件進行采集、格式化和智能關聯,具有嚴密的處理層次和流程。CESM能夠為安全專業人員提供可管理的安全信息,如事件趨勢分析,攻擊處理對策和日志分析取證。
在馬來西亞AAA銀行的實際應用中,CESM提供如下的管理過程和事件處理過程:
·原始告警的數據歸并
CESM首先歸并來自安全設備的所有安全數據,這些安全設備包括防火墻、網絡IDS,主機IDS,安全應用程序和服務器的日志等。
·數據正規化
為分析安全事件,“技術規范解碼器”將原始數據處理成有意義的有用信息。通過這個過程,將原始數據轉化為TIF(Transportable-Incident-Format)格式。
·數據挖掘和關聯
CESM 以其獨特的數據挖掘和關聯技術能力,實現三級推理的邏輯信息處理流程。這種能力可以減少虛假告警,增加對攻擊的實時檢測能力。通過自動事件關聯和基于經驗的自學習,從大量安全設備產生的入侵模式將被立即比較和觀測。
·經過專家建議和分析的統一處理
提供易用的界面,同時處理CESM安全控制臺產生的多個安全事件。通過這種統一的處理方法有效地分析所有的安全事件。
·實時的防范措施
一旦發現來自外部或內部的攻擊企圖發生,立即采取防范措施,在信息損失前抵御入侵。
Jason馬上向IT部總經理Tom匯報Brian對網絡安全的分析,并且請Brian進行現場演示,Tom感覺非常不錯,但是Tom還是認為,馬來西亞AAA銀行已經有了最好品牌的防火墻、入侵檢測、防病毒等安全產品,安全管理平臺應該沒有必要上了,于是此項目就此擱淺。
Jason從回憶中回到了現實:現在需要解決網站被黑問題,怎么辦啊?
Jason馬上打電話給Tom,匯報現在一時之間看不出到底發生了什么事情,需要e-COP公司協助完成,Tom馬上答應。
30分鐘后,Brian到達現場,在銀行內部部署了一套安全管理平臺,然后對各種產品的日志進行分析。
Brian通過一個統一平臺看到了防火墻、入侵檢測、防病毒等事件信息,通過設備的關聯,很快確定了黑客攻擊路徑,原來黑客通過了兩層防火墻,然后到內部一臺剛買回來的主機上,利用這臺主機作為跳板,攻擊了網站服務器。
Brian馬上建議對剛買回來的主機進行加固,然后修改里外兩層防火墻策略,重新換上了網站的頁面,解決安全問題。
這時,Tom也出現在了Jason和Brian面前,連聲稱謝,表示:
“說得對,現在已不是單兵作戰的年代,而是團隊作戰,整體作戰,需要整體協調才能夠減少經濟損失,希望你們的產品能夠在此使用。”
過了一個月后,Jason又發現銀行電子商務網絡的一些安全問題,于是銀行又購買了一套CESM產品。
采用CESM安全事件管理系統做為安全管理平臺,參考e-COP多年的安全事件處理流程經驗SOP,銀行建立起了標準的內部安全事件處理體系,如圖所示。
馬來西亞AAA銀行通過安全事件處理體系,相關安全管理人員從海量事件中解脫出來,只關心少量的最為緊迫、最為關鍵的事件信息。并且,安全事件處理體系的成果為后續整體安全策略的規劃和調優提供了有力的依據。
通過對CESM產品和服務的使用,使得安全管理更有效化、簡單化、條理化、專業化,節約了安全管理的成本,縮短了對安全事件響應時間。
從此,馬來西亞AAA銀行實現了安全事件的可知、可控、可預測,建立起了可管理的安全體系,同時Jason的工作也變得輕松很多。