30分鐘過去了,Jason還是找不到到底發(fā)生了什么安全事件導(dǎo)致網(wǎng)站被黑;黑客是怎么進來的?以前是我黑別人(游戲),今天怎么被別人黑了?Jason心里想。
原來Jason在進入到馬來西亞AAA銀行之前,曾經(jīng)是一個黑客,Jason對黑客攻擊和防守技術(shù)十分熟悉,并且能夠進行入侵,占領(lǐng)主機,獲得控制權(quán),遠程指揮作戰(zhàn)。
CESM安全管理系統(tǒng)平臺
“Jason!快看一下我們的銀行電子商務(wù)網(wǎng)站,出什么問題了!”,聽到馬來西亞AAA銀行IT部總經(jīng)理Tom的電話,Jason馬上登陸銀行的電子商務(wù)網(wǎng)站,發(fā)現(xiàn)一個獰笑的骷髏正對著自己,心里感覺到不妙:網(wǎng)站真的被黑了!
雖然在黑客界很有名氣,但是大學(xué)畢業(yè)1年,靠寫一些文章和安全工具小軟件給一些安全雜志與報紙,Jason很難維持生活。
正好馬來西亞AAA銀行招聘銀行網(wǎng)絡(luò)安全管理員,考慮自己的興趣和愛好,Jason選擇了銀行的網(wǎng)絡(luò)安全管理員職位。
當(dāng)時馬來西亞各家媒體、網(wǎng)站都在宣傳電子商務(wù),那時就聽說了中國的阿里巴巴、易趣、淘寶網(wǎng)、當(dāng)當(dāng)書店等電子商務(wù)網(wǎng)站,Jason對電子商務(wù)網(wǎng)站十分著迷,夢想著有一天自己也可以象中國的馬云、邵亦波一樣通過網(wǎng)站把馬來西亞很多質(zhì)量好價格低的產(chǎn)品遠銷國際。
Jason憑借自己的實力很順利進入到了馬來西亞AAA銀行,到了銀行工作之后,Jason很快就進入了角色,經(jīng)過對銀行內(nèi)部的考察發(fā)現(xiàn)了很多網(wǎng)絡(luò)信息安全問題。
Jason發(fā)現(xiàn)好多問題需要求助于專業(yè)的安全公司,于是就打電話給e-COP公司,e-COP公司派來專業(yè)安全顧問Brian,對內(nèi)部網(wǎng)絡(luò)進行安全評估,發(fā)現(xiàn)銀行電子商務(wù)網(wǎng)絡(luò)有很多安全問題:
·數(shù)據(jù)分散,并且量極大
由于馬來西亞AAA銀行購買“最佳品牌”產(chǎn)品,這些安全產(chǎn)品(防火墻、入侵檢測、防病毒等)通常從不同廠家購得,每個產(chǎn)品都有自己的信息日志和控制臺,目前各種安全設(shè)備缺乏統(tǒng)一管理平臺,只能通過這些安全產(chǎn)品各自的控制臺去查看事件,窗口繁多,而且所有的事件都是孤立的,不同設(shè)備之間的事件缺乏關(guān)聯(lián),分析起來極為麻煩;無法弄清楚真實的狀況。
·安全管理人員必須具備很高的技巧,了解各廠商的各種安全設(shè)備
不同廠家的設(shè)備對同一個事件的描述可能是不同的,這意味著馬來西亞AAA銀行安全管理人員必須分析各種不同格式的信息,才有可能進行管理,這導(dǎo)致安全管理人員的工作非常繁重,大量的時間用于一些價值不大的任務(wù)上。
·無法做到快速識別和響應(yīng)
對于網(wǎng)絡(luò)安全人員來說,海量信息不但無法幫助找出真正的問題,反而因為太多而造成無法管理,并且不同廠商所制造的軟硬件可能送出不同的信息格式,使得在網(wǎng)絡(luò)安全威脅的鎖定上,變得難上加難,原本的安全系統(tǒng)反而成為管理上的負擔(dān)。
·運維關(guān)鍵
以往的安全管理運維工作都是基于資產(chǎn)的運維,但是安全卻是基于安全事件的運維。企業(yè)每出現(xiàn)一個安全問題就需要進行一次大范圍的維護,比如出現(xiàn)病毒問題。這使得安全的運維工作不同于以往的運維工作習(xí)慣,造成運維工作效率低下,并且難以規(guī)劃。
Brian還提出了安全建議:在馬來西亞AAA銀行部署的Cyclops企業(yè)安全管理系統(tǒng)(CESM)能夠?qū)︺y行所有不同IT安全產(chǎn)品和相關(guān)設(shè)備發(fā)出的事件進行采集、格式化和智能關(guān)聯(lián),具有嚴密的處理層次和流程。CESM能夠為安全專業(yè)人員提供可管理的安全信息,如事件趨勢分析,攻擊處理對策和日志分析取證。
在馬來西亞AAA銀行的實際應(yīng)用中,CESM提供如下的管理過程和事件處理過程:
·原始告警的數(shù)據(jù)歸并
CESM首先歸并來自安全設(shè)備的所有安全數(shù)據(jù),這些安全設(shè)備包括防火墻、網(wǎng)絡(luò)IDS,主機IDS,安全應(yīng)用程序和服務(wù)器的日志等。
·數(shù)據(jù)正規(guī)化
為分析安全事件,“技術(shù)規(guī)范解碼器”將原始數(shù)據(jù)處理成有意義的有用信息。通過這個過程,將原始數(shù)據(jù)轉(zhuǎn)化為TIF(Transportable-Incident-Format)格式。
·數(shù)據(jù)挖掘和關(guān)聯(lián)
CESM 以其獨特的數(shù)據(jù)挖掘和關(guān)聯(lián)技術(shù)能力,實現(xiàn)三級推理的邏輯信息處理流程。這種能力可以減少虛假告警,增加對攻擊的實時檢測能力。通過自動事件關(guān)聯(lián)和基于經(jīng)驗的自學(xué)習(xí),從大量安全設(shè)備產(chǎn)生的入侵模式將被立即比較和觀測。
·經(jīng)過專家建議和分析的統(tǒng)一處理
提供易用的界面,同時處理CESM安全控制臺產(chǎn)生的多個安全事件。通過這種統(tǒng)一的處理方法有效地分析所有的安全事件。
·實時的防范措施
一旦發(fā)現(xiàn)來自外部或內(nèi)部的攻擊企圖發(fā)生,立即采取防范措施,在信息損失前抵御入侵。
Jason馬上向IT部總經(jīng)理Tom匯報Brian對網(wǎng)絡(luò)安全的分析,并且請Brian進行現(xiàn)場演示,Tom感覺非常不錯,但是Tom還是認為,馬來西亞AAA銀行已經(jīng)有了最好品牌的防火墻、入侵檢測、防病毒等安全產(chǎn)品,安全管理平臺應(yīng)該沒有必要上了,于是此項目就此擱淺。
Jason從回憶中回到了現(xiàn)實:現(xiàn)在需要解決網(wǎng)站被黑問題,怎么辦啊?
Jason馬上打電話給Tom,匯報現(xiàn)在一時之間看不出到底發(fā)生了什么事情,需要e-COP公司協(xié)助完成,Tom馬上答應(yīng)。
30分鐘后,Brian到達現(xiàn)場,在銀行內(nèi)部部署了一套安全管理平臺,然后對各種產(chǎn)品的日志進行分析。
Brian通過一個統(tǒng)一平臺看到了防火墻、入侵檢測、防病毒等事件信息,通過設(shè)備的關(guān)聯(lián),很快確定了黑客攻擊路徑,原來黑客通過了兩層防火墻,然后到內(nèi)部一臺剛買回來的主機上,利用這臺主機作為跳板,攻擊了網(wǎng)站服務(wù)器。
Brian馬上建議對剛買回來的主機進行加固,然后修改里外兩層防火墻策略,重新?lián)Q上了網(wǎng)站的頁面,解決安全問題。
這時,Tom也出現(xiàn)在了Jason和Brian面前,連聲稱謝,表示:
“說得對,現(xiàn)在已不是單兵作戰(zhàn)的年代,而是團隊作戰(zhàn),整體作戰(zhàn),需要整體協(xié)調(diào)才能夠減少經(jīng)濟損失,希望你們的產(chǎn)品能夠在此使用。”
過了一個月后,Jason又發(fā)現(xiàn)銀行電子商務(wù)網(wǎng)絡(luò)的一些安全問題,于是銀行又購買了一套CESM產(chǎn)品。
采用CESM安全事件管理系統(tǒng)做為安全管理平臺,參考e-COP多年的安全事件處理流程經(jīng)驗SOP,銀行建立起了標(biāo)準(zhǔn)的內(nèi)部安全事件處理體系,如圖所示。
馬來西亞AAA銀行通過安全事件處理體系,相關(guān)安全管理人員從海量事件中解脫出來,只關(guān)心少量的最為緊迫、最為關(guān)鍵的事件信息。并且,安全事件處理體系的成果為后續(xù)整體安全策略的規(guī)劃和調(diào)優(yōu)提供了有力的依據(jù)。
通過對CESM產(chǎn)品和服務(wù)的使用,使得安全管理更有效化、簡單化、條理化、專業(yè)化,節(jié)約了安全管理的成本,縮短了對安全事件響應(yīng)時間。
從此,馬來西亞AAA銀行實現(xiàn)了安全事件的可知、可控、可預(yù)測,建立起了可管理的安全體系,同時Jason的工作也變得輕松很多。
