1. 梦飞科技 > 中国IDC > 大数据 > 大数据技术 >
  2. 解决企业信息安全人才短缺的问题(4)

解决企业信息安全人才短缺的问题(4)

数据:需要什么样的数据源?

数据“可知”: 数据源多样化,不同部门间有共性数据,也有特性数据,针对共性数据定义统一解析标准。 数据“可用”: 建立跨部门协调决策机制,来平衡部门间数据共享的难度,保证业务数据独立性、共性数据统一、全量数据可重复利用。 数据“可管”: 对数据进行分类分级,规定数据提取的范围,依据接口规范明确数据提取的形式和格式,推动数据采集、保证采集数据质量。 数据“可控”: 在数据共享、使用的过程中应当做好脱敏脱密、明确用户的权限范围,保护数据机密性的同时避免数据被滥用。

安全责任人或首席安全执行官(CSO),负责整个机构的安全运行状态,对公司内部的安全工作进行监督、协调,为平台相关的部署、成本、必要技术、设备以及员工培训等方面提供决策; 安全运维人员,负责7*24日常监控、事件响应、初步调查、信息通告、日/周/月报等; 安全分析人员,负责安全检测规则/模型和安全二线、事件调查、安全分析报告、规则/模型持续改进等; 安全运营人员,负责运营工作规范、响应与处置流程的制定、应急预案的制定、安全运营报告与管理层汇报等。

通过安全任务管理模块实现安全督促、安全检查和安全汇总,做好协调和安全台账完善工作,起到自我督促、强化安全管理的作用。安全任务管理模块包括消息推送、事件通报、计划管理、策略管理、报告报表等。

所谓“知彼,方能出奇制胜”,对于黑客的非法入侵也有行迹可寻,基本的套路是reconnaissance(侦察),weaponization(武器构建),VPS租用 国内服务器,delivery(载荷投递),exploitation(漏洞利用),installation(安装植入),command and control(C2)(指挥和控制),and actions on objectives(目标达成)7个阶段,每个阶段都有特定的攻击手段。基于洛克希德·马丁Cyber Kill Chain攻击链模型,构建网络攻击生命周期,提供安全分析与监测、安全防御与控制的全景图。

安全任务统一管理,完善安全台账工作

江湖侠客VS黑红客

基于第三方提供的安全事件响应及技术支持服务,服务内容可为远程协助服务、安全分析服务、策略优化服务、应急响应服务、重大活动保障服务等。以保障业务系统可用性及业务连续性为目标,提高安全事件排查效率,并通过事件分析和整改建议来降低安全事件发生率。

威胁情报

分析:运用什么样的分析方法?

而无论是SOC、SIEM还是态势感知,面临平台性能与伸缩性、数据采集多样性与标准化、安全情境关联能力、安全响应处置成熟度、安全团队人才输出等问题,建设的效果往往不如预期,怎么才能达到效果呢,这需要做好长期的规划来建设大数据架构的基础设施,明确监测目标或业务场景,持续不断的更新优化数据、算法模型,做好基本功之后再谈应急处置乃至安全运营。

在此基础上制定安全威胁应急处置预案,对影响范围广、影响程度高的高级安全威胁提前做好应对措施,形成行之有效的网络安全协同处置机制,最终实现根据事件的类型与级别把事件处理工作分流到对应的责任单位或人,完成从“预判-派发-反馈-核查-总结”五步闭环。

跨部门协作,实现处置“五步”闭环

什么是江湖?只要有人的地方就是江湖,人在江湖,江湖在身。

保障平台的灵活扩展性、组件兼容性与数据容错性: 基于分布式架构的大数据平台,随日志量增长可平行扩展,使其拥有强大分析能力、快速查询效率和长周期数据处理能力; 平台功能模块化,提供一定的扩展能力,保持数据采集模块、威胁检测模块与平台的松耦合,使数据输入、数据输出接口相对独立; 具有灵活的API接口对接能力,可与ITSM类外部系统进行交互,同时也可支持调用漏洞管理、威胁情报、安全合规等其他平台的API进行数据的传递; 采集、消息处理、存储、检索各组件之间保持版本兼容性,保证数据的采集、传输、处理、存储和使用过程中的流转度、保真度; 数据采集、程序支持及存储组件ES要有容错机制,解决数据读取失败自动重传录入、程序假死、存储设备宕机等问题。 提升安全分析引擎综合能力

3UBnY3Y

安全的攻与防犹如江湖侠客过招,通过了解对方的名讳,观察对方的样貌、服饰、兵器、口音甚至感观气场等,快速搜索所掌握的信息,判断对方为何派别,擅长使用的招式、功法,功力达到什么层次,结合对战周边的环境信息,根据自身修炼情况选择对招致胜的策略。这不就是态势感知在收集有效数据,利用分析引擎对安全威胁进行检测,快速查询威胁情报中有关风险信息,综合分析出攻击者的攻击意图、攻击工具、攻击手段、攻击路径以及预测攻击,在网络杀伤链(Kill chain)被成功攻击之前,联动自身防御能力进行阻拦、截断,也就是所谓的“破招”。

依据场景和数据建立相适的分析算法/模型

依据黑客攻击的路径和手段,建立基于Threat Hunting安全攻击威胁分析方法,对安全事件结果提供以攻击技术为分类的展示功能。将攻击过程简化为探测、攻击、安装、控制四个级别,域名注册,在攻击过程中快速了解目标资产的伤害程度、攻击者的意图、利用的工具等等,实现针对性的策略响应,比如黑IP禁用、攻击范围限定等,必要时配合蜜罐蜜网进行主动欺骗防护,帮助管理人员争取更多的响应时间,避免威胁的范围扩散和资产价值的进一步损失。

定期巡检服务除了信息系统健康检查、设备系统故障排除,更应辅助用户对威胁检测规则进行优化,提高威胁检测率;更新最新威胁检测模型,及时应对新型威胁等。

定期展开产品的专业技术交流、新技术新应用等培训,通过知识传递,让平台管理人员能够掌握相关知识并具有相关技能。

大数据安全分析其实就是数据挖掘与分析的过程,用数据来发现问题和寻找解决方案,通过数据获取、处理、分析和展示四个环节,来快速解决安全威胁(5W1H):

一、夯实大数据平台设施基础

最为重要的是,平台系统化的建设是一个持续优化和运营的过程,首要前提是需要公司和高层的大力支持及持续的安全投入,其次需要在不断的实战中进行磨合、沉淀,感悟实战经验后,通过长时间的持续对抗进行数据补充优化、场景建模优化、应急处置流程优化、安全服务团队优化的过程,结合企业自身的业务、组织架构和安全管理制度,运用PDCA来不断的校验、改正、提升,以技术硬实力震慑,让攻击者付出巨大的攻击成本而自然避让,所以“十年磨一剑方显锋芒”。

第五空间亦是江湖,本质亦是人与人的博弈,万物互联的大数据时代,网络已深入企业的生产、运营和销售当中,面对各种可知、可见和隐秘的安全威胁,多年来建设的安全防护技术体系不足以应对,对日益具有针对性、体系化、规模化的安全攻击和组织,运用态势感知做为整个安全运营和防御的枢纽与大脑,感知攻击行为、预测攻击趋势,联动各单点安全防护能力形成合力,实现威胁的快速响应、及时处置,与其进行真实的较量,形成切实有效的安全防护,从而保护企业内部资产和业务。

借助在平台系统化实施工作的过程中,培养一支有素质、有水平、作风优良的复合型人才队伍,以“人”为本,依据平台的建设、流程的制定实现安全运营,运营团队的人员配备和能力培养考验的是安全责任人或首席安全执行官(CSO)的经验与学识,所以安全责任人或首席安全执行官(CSO)是整个运营团队最重要的一个角色,为了更好的贯彻安全策略以及完成日常的运营工作,其他人才也必不可少,至少包含安全运维人员、安全分析人员、安全运营人员等。

场景:要解决什么安全问题?

互联网攻击:外部黑客攻击检测、勒索病毒防范、DDOS攻击等;

消息推送与事件通报:按需向各管理人员推送安全消息,比如业务安全指标情况、行业安全资讯、监管政策等,高效挖掘与业务价值有关的信息;对表彰性、批评性和政策性的安全事件/活动进行通报,传达管理层“重要精神或情况”,提高网络安全保护意识,明确哪些事情该做哪些不该做。 计划管理:结合PMP进度管理思想,将重大安全任务(如攻防演练、重大活动保障等)分割细化,明确任务完成的时间和负责人,让管理层实时了解任务进展情况,在任务推动困难时,可进行资源的调度。 策略管理:统一制定全网安全策略,下发给各相关部门进行配置落实;结合业务的变化、各部门反馈来的意见,不断调整、优化安全策略。 报告报表:面对管理层和管理员需提供不同的安全报告,对安全事件综合分析,把控全局安全状况和安全态势信息,提供不同层级的安全决策支持。 第三方安全服务协调机制 安全响应支撑服务

四、 安全人才队伍培养

基于第三方安全厂商威胁监测的知识库共享,监测全球安全事件和行业威胁,及时发现针对行业的安全事件,实时推送预警和防护方案,快速调整策略应对安全威胁,形成“行业威胁监测-风险主动预警-防护策略调优”处置链。

Context : 用户身份、资产、脆弱性信息、行为信息、情报信息。

内部攻击:数据防泄漏侦测、内部资产风险监测、内部人员违规等;

数据不仅仅为日志事件还要包括情境信息、业务信息,是安全分析的关键因子,要考虑数据多样性、标准化、分类分级及共享机制,而数据自身的安全防控也不可缺少,这些问题的规避需要通过数据“可知、可用、可管、可控”做好预处理。

(来源:网络)

本站所有文章和图片均由根据搜索引擎转码而来,只为让更多读者欣赏,本站不保存图片及数据,仅作学习展示。遵循互联网避风港原则,如有网站内容疑问,请通知站长

扫描二维码

关注梦飞科技最新资讯