安氏SOC建设.ppt

1、安全管理中心技术交流,李学平 技术部经理 CISSP 安氏互联网安全系统(中国)有限公司上海分公司,议程,企业安全管理存在的主要问题 安氏安全管理中心解决方案概述 安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势,分散的体系增加成本,分散的专用解决方案 防火墙、入侵检测、认证、防毒 每个系统有自己的单独的管理监控系统 各种产品的安全信息缺乏联系和沟通 重复数据 无用数据 误报 海量数据,信息分配和共享不充分,传统安全产品仅仅提供面向安全人员的信息,但实际上，所有人都从自身角度触发需要了解安全信息,以安全产品和事件为核心的不合理性,传统产品以事件为核心 孤立地看待安全事

2、件 不便于信息的分配和使用 不能够提供关键的资产信息 不能从整体风险的角度来看待安全 需要建立以资产、风险为核心的体系 将所有信息归结到资产 再资产层面进行关联和分析 将资产归结到管理员,缺乏智能关联和基于知识的分析,我们最主要的一些烦恼 海量事件：看着事件不断涌现，很难抓住重点，海量事件意味着巨大的工作量，海量事件日益成为日常工作中的首要难题 我需要了解我的系统是否健康，哪里的问题最为严重，需要我去处理，但是我仅仅看到一堆原始的日志 收到这样的告警：一台UNIX服务器受到telnet溢出攻击，但是我们检查发现该服务器已经打了补丁 IDS报告一个服务器被攻击了，但是我们不知道这个攻击有没有成功

3、 我发现问题了，可是我该怎么解决，哪里有可以参考的信息？,议程,企业安全管理存在的主要问题 安氏安全管理中心解决方案概述 安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势,安氏推出安全管理中心解决方案,安全管理中心解决方案（SOC）替您解决种种烦恼 建立以管理者和资产为核心的管理体系 将所有安全产品和事件通过统一的界面联系起来 提供智能，包括各种关联分析 提供完善的安全功能，包括漏洞管理、威胁管理、知识管理、响应管理、配置管理,以安全资产为核心的管理系统,系统,安全事件,漏洞,SOC解决方案降低您的安全风险,通过安全管理中心解决方案，我们可以更快地发现和响应，从而在问

4、题扩大或者造成损失之前解决它 江苏移动,采用安氏SOC,未采用安氏SOC,安全管理中心可以为我们带来的回报,没有安全管理中心,有安全管理中心,每个管理员可以管理的安全设备数目,费用,需要管理的安全设备数量,安全管理中心体系架构,安全管理中心模块架构,可定制界面,安全处理核心,角色管理,系统维护,资产管理,安氏SOC框架,议程,企业安全管理存在的主要问题 安氏安全管理中心解决方案概述 安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势,SOC主框架,可定制的WEB界面 强大的安全处理核心 资产管理 角色管理 系统维护,漏洞管理,内置Scanner 支持基于SOC界面的配置

5、、升级、维护、扫描计划定制、数据自动进入数据库 安氏认证scanner：配置和驱动Scanner 支持Internet Scanner 将漏洞扫描升级为基于资产的风险管理的概念，并且支持支持关联分析，使扫描结果更为有效 安氏支持scanner：手工导入 支持其它扫描器扫描结果手工导入,强大的内置scanner,Scanner本身强大的功能 支持远程安装，支持多主机部署 可以扫描多达1500个漏洞，以及500种以上的信息 支持高速扫描 支持全面扫描，例如对www服务的扫描不限于80端口 灵活的可定制策略 快速更新，每周更新保证最快最及时为用户提供更新,SOC和scanner结合带来的优势 远程多

6、用户管理 被动扫描 关联：基于资产将入侵检测、防火墙和扫描器的信息关联在一起 借助与ids的关联，将作业计划内对资产扫描产生的事件标志为一般日志，防止误报 借助SOC的作业计划能力灵活定义定期扫描 借助SOC的角色管理能力限制随意的扫描，保证正确的授权 借助SOC的响应管理模块，可以使用email、短信等方式通知，并且可以实现工单的派发 借助SOC的资产系统，支持漏洞基于业务系统（多个资产组成的集合）的分布统计,事件管理,利用wizard解决方案提供灵活的可定制的事件收集，支持可视化编写 支持事件的高级处理，包括： 数据过滤 标准化 数据合并 分级 实时数据关联 支持将事件归纳到资产,配置管理

7、,产品配置和控制 Linktrust Cyberwall系列 Linktrust IDS系列 配置的收集、备份和审计,知识管理,全面的漏洞库：3200种各类技术和管理类漏洞 安氏安全信息通告服务 安全园地：各类知识和手册 项目实施文档 讨论社区,响应管理,响应管理,Email,短信,SNMP Trap,应用程序接口,可定制接口,工单管理是响应管理中最核心的部分 通过提供应用程序接口和API接口灵活提供各种外部响应手段,一个工单的处理流程案例,发现事件,关联分析,产生高级告警,预备工单,自动化的发现,安全主管,系统管理员,创建/重新发送工单,Email/短信通知,接收工单,处理事故,汇报结果,检

8、查结果是否满意,议程,企业安全管理存在的主要问题 安氏安全管理中心解决方案概述 安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势,分阶段实施短期目标,短期目标 一定的安全事件集中收集和处理能力：实现现有安全产品的事件收集和集中管理 基本的资产和风险管理体系：导入评估资产和相关的资产价值、漏洞、威胁、风险 安全知识共享体系：初始漏洞库、安全通告知识、本次项目中的相关文档 基本的安全事件响应管理系统：工单系统 集中的安全设备配置管理：通过集中厂商的配置管理系统实现 中期目标 长期目标,建议SOC配置举例,分阶段实施中期目标,短期目标 中期目标 实现安全事件管理功能对更多安

9、全设备的覆盖 安全事件响应管理系统与网管系统/emos的联动 全面的风险、事件与响应管理的联动，更加全面地针对性优化规则和响应能力 配置策略的自动收集和审核 安全软件/补丁管理 多级系统接口 长期目标,分阶段实施短期目标,短期目标 中期目标 长期目标 配置管理的自动化和集中化 知识管理的体系化 风险管理的全面自动化和可衡量 相关性和数据挖掘实现的趋势分析、决策支持 与其它信息系统的高度融合,设备部署,防火墙及服务器日志采集服务器：Intel 服务器，win2k,入侵检测日志采集服务器：Intel 服务器，win2k,Internet Scanner主机,事件处理服务器 Solaris9+Ora

10、cle9i,风险管理核心服务器 intel服务器win2ksvr,高级模块及门户服务器 intel服务器win2003svrsharepointcrystal Enterprise,数据采集-防火墙及主机,Server agent,PIX Agent,Cyberwall Agent,Agent Manager,Linktrust Log Manager,ODBC,Syslog,日志主机,日志服务器,Soket,Socket,PIX,PIX,Linktrust Cyberwall,Linktrust Cyberwall,Linktrust Cyberwall,Intel 1CPU 1G内存 10

11、0G硬盘,服务器,服务器,服务器,数据采集Linktrust network Defender,LND Agent,Agent Manager,LND Manager,SQL Server2000,ODBC,Intel 1CPU 1G内存 100G硬盘,LND Sensor,LND Sensor,LND Sensor,议程,企业安全管理存在的主要问题 安氏安全管理中心解决方案概述 安氏安全管理中心解决方案的主要模块 配置建议 安氏安全管理中心解决方案优势,优势概述,国内唯一有成功案例的供应商 专门的SOC研发队伍 强大的智能处理引擎 全面的安全产品即插即用支持 其他优势,国内唯一有成功案例的供

12、应商,江苏移动 浙江电信 中信集团 平安保险 浙江移动 北京电信 江苏电信,安氏公司研发体系简介,安氏安全实验室（STForce Security Technical Force） 国内最早的安全实验室，专业的安全研究和跟踪 安全产品和软件项目开发 强有力的研发队伍（全公司约160人） 完善的软件工程规范：适合公司的一整套软件工程规范 以SW-CMM1.1版提出的SW-CMM框架为参考 符合ISO9000质量保证体系 吸取Team Software Process（TSP 小组软件过程）、Extreme Programming（XP 极限编程）等其他开发过程的长处研发 目标：“规范、简明、准确

13、、反馈”,专门的SOC研发队伍,在南京建立专门的SOC研发中心 目前组建50人的专门soc研发队伍 目前组建45人专门实施和支持队伍 2004年6月推出全新的SOC2.0 基于公司已经建立的研发规范和流程 全公司共享的配置管理、测试和QA队伍 ST-FORCE小组提供安全模型和技术方面的技术支持 依托安氏公司强大的服务队伍实现的安全知识的提供和更新,安氏开发管理简介,以需求规格说明为中心（使用Use Case描述软件规格说明） 严格的变更控制（变更控制委员会Change Control Board） 完善的配置管理和版本管理（CVS） 单元测试自动化（CUnit、CppUnit、JUnit）

14、独立的QA审核 强大的Bug跟踪（StarTeam） 规范的文档输出 每日创建（Nightly Build） 增量形迭代式开发,Real-time Correlation,业界首个实时关联引擎，重点完成实时分析、自动响应和解决 基于内存的数据库技术提高关联速度 125个预先定义的关联规则 根据用户定义的规则，自动，持续地分析遍布整个企业的，格式化的实时的事项数据 可以对任何字段进行关联，没有限制 支持通过Rules Wizard快速生成关联规则 对所有收集到的日志进行关联，只要能收集，就能关联 极高的性能和可扩展性，支持多个规则级同时应用和方便切换 当关联性规则满足时，可以创建incident

15、 对可能的攻击作出及时有效的回应 产生的Correlation Event可以通过实时界面查看，也可以通过报表展示 可以导入和导出Correlation规则，导出后为xml文件格式,Sentinel Console 事项关联,工作原理,从Agent收到事项,Correlation Engine,规则,correlation数据库,Console事项监视,Sentinel收到数据，correlation Engine按照定义好的规则进行检查，如果发现相关事项，进行记录，达到规则条件，发出correlation事项,事件关联,Correlation rule种类 Watchlist Advance

16、d Watchlist Basic Correlation Advanced Correlation Free rule Language,事件关联,Watchlist 通过向导（Wizard）建立 该correlation 规则允许指定一个文本值，correlation Engine 会在接收到的所有事项的所有的Meta-tag中进行检查 例如：Watchlist能够检查一个黑客的源ip地址，一旦在任何事项的任何位置发现该地址，立即报告并作出对策,事件关联,Advanced Watchlist Advanced Watchlist 和Watchlist类似，但可以允许用户使用Filter进行

17、检查 可以选择一个现有的Filter，也可以创建一个新的Filter,事件关联,Basic Correlation 通过向导（Wizard）建立 可以对一段时间内，满足定义的条件的事项进行计数 例如，可以对同一个源IP地址在五分钟内出现五次进行报告，不管是否来自不同的设备，如防火墙，IDS,事件关联,Advanced Correlation 通过向导（Wizard）建立 不仅具有简单Correlation规则所有的特性,还可以就一段时间内满足条件的事项的某些meta-tag进行再次比较 例如，Advanced correlation规则可以监视一段时间内从同一个源地址到同一个目的地址,相同事项名称,当这些事项达到一定的数量,并且来自内网和外网,发出一个Correlation事项,事件关联,Free rule Language 这并不是一种新的Correlation规则,与前面几种不同的是,他不使用向导而是直接通过文本编辑器来完成各种Correlation 规则的定义 定义该规则需要使用ruleLG,这是一种关联性规则定义语言 使用该语言用户可以获得定义Correlation的完全的控制,不再受各种Correlation Wizard的限制 支持三种操作Filter, Window, Trigger