浅淡SOC平台的安全事件管理

1Module und Variations_E 浅淡安全管理平台（ SOC）中的 信息安全事件管理 中国长城资产管理公司 王代潮 , November 2009 2Module und Variations_E Contents: A. 信息安全事件管理需求背景 （ why?) B. 如何实现信息安全事件有效管理（ HOW？） C. 信息安全事件管理发展的趋势（ WILL?) Annex: 案例。 3Module und Variations_E 系统安全 信息安全 信息保障 数据保密 加密类产品 防病毒、防火墙等 IDS/扫描器 各类 安全产品 全面的安全 保障体系： 管理与技术 服务与产品 平台与部件 安全事件与 信息管理 安全服务：风险评估 /加固 安全管理： BS7799为代表 90 95 00 02 06 08 网络安全 Com Sec Info Sec Info Assu 信息安全发展 -从单机安全到整体安全 A. Why? 安全事件管理需求 4Module und Variations_E 1 2 3 4 Factor 2： 海量安全事 件不可人为管理 Factor 4： 高层无法获得对 安全态势的全局观 Factor 3： 安全保障措施与 业务没有有效的关联 A. Why?信息安全事件管理需求 Firewall IDS/IPS 安全审计 VPN反病毒 身份认证 漏洞扫描 OPSEC IDMEFSYSLOG SNMP Database WMINTLOG 点安全 应用安全 Factor 1： 异构的安 全措施导致风险 * * * * * * * * * * 1) * * * * * * * * * * B. HOW？如何实现信息安全事件有效管理 模块化（ Componentization） 统一化（ Normalization） 整合化（ Aggregation） 关联化（ Correlation） 可视化（ Visualization） 安全事件管理是安全管理平台（ SOC）的核心！ 安全事件管理则代表了安全系统的动态模型，是系统智能的主要体现！ 6Module und Variations_E B. HOW？模块化 存储来自日 志采集器的日 志数据 保留原始日 志数据 存储在数据 库服务器上或 存储网络上 数据存储 统计分析 规则关联 查询 综合分析 日志采集 器 实时或准 实时 日志过滤 、合并 数据采集 事前、事中和事后 辅助责任认定 满足合规性要求 日志审计 操作界面 数据报表 数据存储 代理层（ Agentless & Agent-Based） 安全事件统一化采集？ B. HOW？统一化 关联采集 标准化 分类 汇聚 20000条事件 1800条事件 140条事件 10 条事件 5条事件 结果 8Module und Variations_E B. HOW？整合化 安全事件如何整合？ 过滤 归纳分类 冗余处理 9Module und Variations_E l 基于规则的事件关联，是由厂商、用户预先制定的规则对两个或两 个以上的事件进行关联，以得出安全事件是否发生的准确判断。它 基于较小的时间窗，实时性较强，但需要预先设定模式。 l 基于统计学的事件关联，是将系统在某一时间段内的信息进行统一 ，并参照一个阀值进行判断，最终得出对安全态势的一种判断。基 于大时间窗，实时性较差，但不需要预先设定模式，较完整地反映 系统的安全性。 l 定义一些大的安全事件类别，将出现的事件先归类，然后再根据大 类出现的事件的安全级别和数量来估计发生的攻击 B. HOW？关联化 10Module und Variations_E B. HOW？可视化 数据挖掘实现 风险的可视化 11Module und Variations_E C. WILL？信息安全事件管理的发展趋势 面向服务的设计模型是继面向对象的设计模型之后，又一次令人振 奋的软件革命，它是随着分布式计算的日益发展而产生的 Service Oriented Programming（ SOP）是建立在 OOP的基础之 上的 服务是一种预先由契约（ Contract）定义好的行为，它由组件实现并对外 提供，由其他组件访问和使用，这种服务的提供和使用的关系是靠契约（ Contract）维系的，契约（ Contract）在计算机程序的语境下就是接口 （ Interface） Service Oriented Architecture（ SOA） Protocol Independent Framework PIF 12Module und Variations_E 安全事件管理技术的创新在于能够实时的分析来 自于计算、网络、存储、安全等设备的与安全相 关的事件，其优势在于信息来源的广泛。通过关 联来自于不同地点、不同层次、不同类型的安全 事件，发现真正的安全风险，提高安全报警的信 噪比，从而可以准确的、实时的评估当前的安全 态势和风险，并根据预先制定策略作出快速的响 应。 C. WILL？信息安全事件管理 技术创新关键点 13Module und Variations_E C. WILL？信息安全事件管理远景目标 风险管理的 “可知 -可识 -可知识 ” 分析 优先级 制定计划 确定时间 跟踪 报告 控制 关键风 险列表 TOP N 风险展示 知识库 -预案 -案例 -漏洞库 -策略文档 -BBS 知晓 识别 风险 状况 学习 1 2 3 4 5 6 7 可 知 识可 知可 识 可知资产管理 方便快捷 可识综合的风险监控 可识安全事件实时监控 可识异构设备事件的关联分析 可识风险评估工具的管理与漏洞查询 可识 -安全预警