OSSIM识别APT的三板斧
许多遭受APT攻击的受害者所在单位拥有防火墙,防病毒系统,监控系统,但仍未能阻止威胁进入,这些系统未能感知到异常行为,直到损失被曝光。安全团队应考虑到当今复杂多变的网络威胁环境,可以假设其IT环境已被或间歇性遭受到不明来历的黑客攻击,这时我们需要了解攻击的各个阶段的详细情况,包括对持续的威胁见识以及快速的攻击检测。过去使用Cacti、Zabbix等工具,等到在系统中发现问题时已经到了攻击完成阶段,攻击者早已得手,并消失的无影无踪。要提高网络攻击的可视化、提高对网络攻击的敏感性和处理高级威胁的速度,SIEM(安全信息和事件管理)是理想的平台,适合于目前企业中大规模集中数据安全分析。作为开源SIEM产品OSSIM具备了以下3个方面的能力:
(1)可视化--获知异构的IT环境中,所发生的一切信息需要多种数据源,包括网络数据包捕获,和完整会话的重建以及来自网络设备、服务器、数据库的日志文件,需要将这些数据有效组织起来,通过图形化方式展现给用户,而且将各种视图统一的整合到一个位置,孤立的日志收集系统只不过是虚有其表的摆设。
(2)扩展性--收集安全数据的平台必须能在横向和纵向进行扩展,以处理来自企业内部和外部的海量安全事件,深入分析网络流量的同时会产生大量pcap文件,这会使安全分析平台的数据成倍增加,OSSIM通过分布式多层存储体系结构处理了密集型数据。
(3)关联分析-具有一定的智能分析是因为内置的关联分析引擎的缘故。传统计算机安全机制偏重于静态的封闭的威胁防护,所以只能被动应对安全威胁,往往是安全事件发生后才处理,面对黑客攻击,在入侵过程中,检测到扫描、注入、暴力破解和漏洞利用攻击时OSSIM的关联引擎从多数据源获得数据,通过抓包和多数据源收最大范围和深度收集有效信息,比如在应用系统日志中有相关登录失败等异常指标,进行主动安全分析,在事件发生阶段就发出预警信息,以便管理员实现快速响应。
本文出自 “李晨光原创技术博客” 博客,谢绝转载!
转载于:https://my.oschina.net/chenguang/blog/613903