这一年来,网络安全行业兴奋异常。各种会议、攻防大赛、黑客秀,马不停蹄。随着物联网大潮的到来,在这个到处都是安全漏洞的世界,似乎黑客才是安全行业的主宰。然而,我们看到的永远都是自己的世界,正如医生看到的都是病人,警察看到的都是罪犯,唯有跳出自己的角色去看待世界,世界才还原给你它真实的面貌。网络安全从来都不只是漏洞,安全必须要融合企业的业务运营和管理,安全必须要进行体系化的建设。网络安全,任重而道远。
安全牛整合多位资深安全顾问的一线咨询经验,首次公开发布《网络安全体系方法论》,旨在给企业或机构提供一个最佳实践的参考,以帮助企业真正提升对网络安全工作的认识,并在安全建设和运营中不断成长。
本架构方法论参考了NIST Cybersecurity Framework,SABSA,ISO27000,Gartner等报告资料,并与等级保护的相关要求相结合。
一、企业网络安全体系设计总体思路
网络安全体系架构是面向企业未来网络安全建设与发展而设计。
企业网络安全体系设计总体思路:针对企业防护对象框架,通过企业组织体系、管理体系、技术体系的建设,逐步建立企业风险识别能力、安全防御能力、安全检测能力、安全响应能力与安全恢复能力,最终实现风险可见化,防御主动化,运行自动化的安全目标,保障企业业务的安全。
二、网络安全体系的驱动力
任何企业的网络安全体系建设,必须与企业的总体战略保持一致。在制定具体网络安全体系规划时,需要考虑如下内容:
1. 业务发展规划
网络安全体系设计需要与企业业务的发展保持一致,要充分了解企业未来3-5年的业务规划,并根据业务特点,分析未来业务的安全需求。
2. 信息技术规划
网络安全体系是企业的信息技术体系的一部分,需要根据企业总体的信息技术规划来设计安全体系
3. 网络安全风险
网络安全风险评估是安全体系设计和建设的基础,企业需要充分了解自身业务和信息系统的安全风险
4. 合规管理要求
企业面临国家、行业、监管机构的各类安全监管要求,安全体系设计需要考虑企业需要满足的各类合规要求
5. 安全技术趋势
安全体系需要充分考虑当前和未来安全技术的发展趋势,了解当前的网络安全热点,选择合适自己企业的安全技术和产品
三、安全体系的目标
随着互联网与各产业的充分融合,安全的环境正在发生剧烈的变化,外部的威胁变得更加突出,定向APT攻击成为主流,自动化攻击与黑色产业链日臻完善,原来以策略和产品防护为核心的理念已无法适应新的环境。
安全牛建议新一代企业网络安全体系建设的目标至少包含如下三点:
1. 风险可见化
Visibility 未知攻,焉知防,看见风险才能防范风险;
2. 防御主动化
Proactive 最好的防守是进攻,主动防御,纵深防御是设计的目标;
3. 运行自动化
Automotive 全天候自动化的安全运营才能保障安全体系的落实;
当然,由于每个组织的业务需求和特点不同,发展成熟度也不同,企业可以根据发展情况制定不同时期的安全目标,逐步实现比较高的安全目标。
四、安全是一种能力
安全不是口号、不是漏洞、不是产品。安全到底是什么?安全牛认为,安全传递的是一种信任,而这种信任来自于企业自身的安全能力。安全是一种能力,新一代企业安全观将实现“以人为本、以数据为核心、以技术为支撑”的安全能力。
人是安全能力的载体,安全体系建设要重点考虑人的主观能动因素,企业的普通员工、专业技术人员以及企业管理层在安全体系中都将是重要的环节,都需要培养其意识与能力。
数据是安全能力的核心,数据驱动的安全将使得安全更好的融入企业的业务与管理,更好的体现安全的价值,基于数据的威胁情报共享机制也将极大的提高业界整体的安全防御水平。
技术是安全能力支撑的工具,安全技术未来将更加深入细分到更多的业务领域,安全产品和服务将更加多样性。
企业安全能力框架设计我们参考了NIST Cybersecurity Framework的核心内容,简称为IPDRR模型。
企业安全能力框架
IPDRR能力框架模型包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)五大能力,安全牛重新设计了15个子能力要素(如上图所示)。
风险识别能力具体包括安全治理、架构规划、资产管理、风险管理四个子域;
安全防御能力具体包括人员安全、访问控制、纵深防护、安全运维四个子域;
安全检测能力具体包括安全监控、数据分析、安全检查三个子域;
安全响应能力具体包括应急预案、事件响应两个子域;
安全恢复能力具体包括恢复计划、灾难恢复两个子域。
IPDRR能力框架实现了“事前、事中、事后”的全过程覆盖,从原来以防护能力为核心的模型,转向以检测能力为核心的模型,支撑识别、预防、发现、响应等,变被动为主动,直至自适应(Adaptive)的安全能力。
五、企业安全体系架构模型
企业安全体系的架构设计可以参考如下矩阵模型。
1. 建立企业安全保护对象框架
每个企业的业务和架构是不同的,企业需要识别自身的安全保护对象框架,包括不限于:基础设施(机房、网络、主机、数据库、终端等)、云平台、移动平台、大数据平台、应用系统、敏感数据、企业业务(金融、电商、智能制造、可穿戴设备……)等。
2. 建立企业安全能力框架
每个企业的成熟度是不同的,企业需要根据自身业务发展的成熟度,在不同阶段重点选择建设不同的安全能力,可以从IPDRR模型中的15个子能力中选取。
3. 建立安全能力目录矩阵
横向的安全能力结合纵向的安全保护对象,将组合成每个节点的安全能力目录。安全目录包括不限于:安全产品、安全技术、安全工具、安全服务、安全方法论等。安全目录的选择将根据企业自身的安全预算、技术架构、安全技术趋势等来确定;安全目录对应的工作内容必须通过组织、流程和技术来支撑才能实现。
4. 建立安全支撑体系
最终所有安全能力的落实都依赖于三大体系的建设,包括组织体系、管理体系和技术体系。每个安全能力目录都应对应上相关的组织职责、管理流程和技术支撑。
4.1 安全组织体系
明确企业安全组织体系及其运作模式,建立企业安全的决策、管理、执行、监督组织架构,同时明确关键角色/职责,是网络安全能力建设的基础与保障。
4.2 安全管理体系
在组织体系的基础上,建立完善的管理体系,明确组织网络安全工作的策略、方法和体系,是网络安全工作开展的规范。
4.3 安全技术体系
明确了企业网络安全建设过程中所需的技术手段,是网络安全工作开展的有力支撑。
具体技术措施的选择是一个相对复杂的工作,企业需要了解当前的技术趋势和技术发展成熟度、业界主流的厂商和产品、并考虑自身的预算和投入产出、企业的管理成熟度和人文环境等,一般需要以安全专题规划和建设的方式来开展。
六、网络安全技术成熟度模型
网络安全技术日新月异,处于快速的变化与发展中,安全牛参考技术成熟度标准和Gartner已定义的技术成熟度模型,给出了一个技术成熟度模型供大家参考。
企业应依据安全领域最新技术发展趋势和厂商产品报告,选择适合自身成熟度的安全技术和产品。安全牛将根据研究成果不定期发布各类安全技术成熟度报告供企业参考。
七、网络安全专题规划
依据上述的安全体系架构模型和技术成熟度模型,企业在落实某个领域具体工作时,可以按照专题规划的方式来落实安全体系。专题内容可以按照体系架构中纵向的每类防护对象来开展。
安全专题规划应当研究业界主流技术和厂商的产品特点,根据企业自身的IT和网络安全架构,选择合适的技术和产品,并根据各类安全合规要求和安全体系要求,通过体系规范化、职责明细化、管理流程化、测量指标化的手段来确保安全专题规划的落地。
安全牛将根据专题研究的成果,不定期发布安全专题研究报告。包括但不限于:基础设施安全、云安全、应用安全、数据安全、移动安全、工控安全、电子商务安全、互联网金融安全等。
欢迎各类安全产品解决方案厂商和企业客户与我们沟通合作联系,参与到安全专题调研中来。
第一部分:《安全大数据平台架构设计参考》
安全牛于11月24日首次公开发布了《网络安全体系设计方法论》,旨在给企业或机构提供一个最佳实践的参考,以帮助企业真正提升对网络安全工作的认识,并在安全建设和运营中不断成长。
这个方法论只是一个安全总体建设的框架,需要不断的深入、补充和完善。而安全大数据平台在未来几年是企业安全能力建设的核心,也是第一步。《网络安全体系设计方法论》中也提到,数据是安全能力的核心。企业首先就要掌握内外部的安全数据和威胁情报,再通过企业安全人员的能力提升,才能逐步提升整体的安全能力。因此,安全牛首先选择了“安全大数据”这一技术平台的架构进行了梳理和深入,并于今日发布研究成果。
《安全大数据平台架构设计参考》
当前网络与信息安全领域,正在面临多种挑战。一方面,企业和组织安全体系架构日趋复杂,各种类型的安全数据越来越多,随着内控与合规的深入,传统的分析能力明显力不从心,越来越需要分析更多的安全信息、并且要更加快速的做出判定和响应。另一方面,新型威胁的兴起,高级可持续攻击要求有长时间的数据才能分析入侵行为和评估遭受的损失。传统的SIEM很难处理多样化的非结构数据,并且传统的应用/数据库架构局限了系统的性能,其能存储的历史数据时长、存储事件的汇总度、查询分析的速度均受到极大的限制。信息安全也面临大数据带来的挑战。
我们需要更深层次的事件关联处理、分析和展现,而当前分布式计算,存储和通信,内存计算,智能分析等技术已经逐步成熟应用,安全数据分析需要使用这些新技术在事件关联、处理和展现能力上进行提升。
大数据安全分析将包括以下几个应用领域:
- 安全事件管理和安全管理平台;
- APT高级持续威胁检测,结合全包捕获技术;
- 0day恶意代码分析,结合沙箱技术;
- 网络取证分析;
- 大规模用户行为分析,结合机器学习技术;
- 安全情报服务;
- 业务风险安全分析等。
目前,基于Hadoop生态圈的大数据平台已经被业界广泛使用,部署规模从几十台,到几万台,可以存储和分析PB级别数据,从网页日志分析,搜索引擎,视频和语音检索都需要操作大量数据资源。而这些数据全部来由Hadoop平台来运算。Hadoop生态圈也在不断完善,能够同时实现并行计算、高速计算、流式计算等计算框架。
安全牛整合了业内资深大数据专家的意见,向大家推荐一个基于Hadoop的安全大数据平台架构,欢迎业界同仁和企业客户与我们共同探讨。近期还将邀请这方面的专家与大家进行更深入的讲座和交流。
安全大数据平台架构
图 1
图 2
大数据平台总体概述
此平台集数据采集、数据质量管理、数据存储与分析、集群监控、数据同步、数据展现、数据安全管理等于一身。在保证数据安全的前提下,实现从数据接收到存储维护再到展现的数据管理功能。此平台能够对海量数据(包括结构化数据、半结构化数据、非结构化数据)进行存储、维护挖掘等工作。使用目前最前沿的数据存数、分析、管理技术,以此为基础针对数据分析的实时性,分为在线数据分析和离线数据分析。
在线数据分析:往往要求系统对新数据进行实时分析、实时展现,从而达到不影响用户体验的目的。
离线数据分析:对大多数反馈时间要求不高的应用,比如离线统计分析、机器学习等,应采用离线分析的方式。
具备以下特性:
- 先进的技术架构,基于Hadoop的先进分布式计算及存储框架;
- 先进的多层架构,系统维护简单;
- 纵向、横向扩展能力出众,为未来BI发展提供可能;
- 能做到5分钟之内系统扩容,支撑更多终端。
数据采集
数据采集
数据采集过程中分为三个部分:第一部分收据接收、第二部分数据清洗校验和第三部分数据写入(写入大数据平台)。每个部分全部支持跨平台(多种开发语言)、并行化,能够使数据快速准确的写入到大数据平台中。
数据接收:能够接收来自各种设备的所有类型的数据。
数据清洗:实现并行化数据的校验,简单处理等。
数据写入:校验好的数据通过数据写入程序写入大数据平台。
数据质量管理
数据质量管理
数据质量管理实现探查接收到的数据发现和评估数据的内容,根据企业的数据质量规则,将对数据进行质量检测。
分布式存储与分析
分布式存储与分析
A:大数据平台使用分布式文件系统(HDFS)作为底层存储。特点如下:
1. 支持多数据结构的存储(结构化数据、半结构化数据、非结构化数据);
2. 存储空间无限大;
3. 扩容简易;
4. 自动化数据维护;
5. 支持大文件存储;
6. 容错性强。
B:MapReduce并行计算框架, 对海量数据进行分析计算。特点如下:
1. 移动计算(程序)到数据端,减少网络使用;
2. 能够快速并行的对海量数据进行分析计算;
3. 支持多种开发语言,程序编写简单。
C:Spark内存计算框架,对海量数据进行快快速计算。特点如下:
1. 支持并行计算;
2. 与MapReduce并行计算框架相比内存计算框架整合了内存计算的基元,计算速度更快。
D:Storm流数据处理框架,实现实时性数据处理。特点如下:
1. 简单编程;
2. 多语言支持;
3. 支持水平扩展;
4. 容错性强。
E:Hive数据仓库,存储结构化数据。
依赖于分布式存储和分布式计算框架。主要功能为将HQL(类SQL)转换为并行计算框架能够识别的程序。
F:Hbase分布式数据库,主要以表格的形式存储数据,存储数据依赖于分布式存储。特点如下:
1. 实时相应读取请求;
2. 数据表的行、列可以无限扩展;
3. 数据自动维护。
G:Elastic Search搜索,基于Lucene的搜索服务器。
它提供了一个分布式多用户能力的全文搜索引擎,基于RESTful web接口,可达到实时搜索的能力。
集群监控
集群监控
集群监控管理由Ambari、Ganglia、Nagios组成。以实现对集群的安装部署、管理监控等功能。
Ganglia 主要对集群的资源进行监控管理。包括CPU 资源、内存资源、网络资源。监控资源使用百分比,高峰期等,并将此信息绘制成直观、易于理解的统计图。
Nagios 对于集群的安全、资源使用值进行监控,在发生问题的情况下向有关的管理人员发送邮件给予提示。
Ambari 提供界面化的方式实现集群安装部署、管理维护、配置文件修改、集群扩容等,同时与Ganglia、Nagios协同工作,实现对整个集群的监控管理。作为大数据平台的核心控制系统,对大数据平台的各个环节进行控制,且对运行过程中的各个组件的关系进行控制,同时对各个环节进行监控,通过监控异常报警来提高系统的稳定性和异常响应速度。
数据展现
数据展现
数据展现,实现将大数据平台存储的部分数据按着业务需求进行展示。
数据读取,可实现根据业务需求对目标数据进行读取,读取后传递给数据展现模块。
数据展现,或得到数据后可根据角色的不同展示不同的数据。
以上数据读取和数据展现过程采用并行跨平台化的处理方式实现。
数据安全
数据安全从最初的数据接入到最终的数据展现的安全问题。
中间包括数据源系统、数据收集、消息系统、实时处理、存储、数据库等各个模块的数据安全以及整条线的安全。
工作流调度
工作流调度系统,主要实现对于数据接入、数据预分析、存储、挖掘的各个环节进行可控的管理调度。
数据收集
数据采集
数据收集,主要实现各种设备的不同类型数据的收集工作。对收集到的数据初步校验后存入大数据平台。部分数据需要进一步预处理,可通过系统API进行再次预处理工作。同时可实现将数据存储至Hbase数据库或者Hive数据仓库内。
离线处理
离线处理
离线处理,主要实现对现有已经存储至大数据平台的数据进行分析计算。用于对实时性要求不高的业务需求。可实现预测性分析、数据挖掘等操作。
实时分析
实时分析
实时分析,用于实时显示动态数据信息,可以用于实现数据可视化业务的需求。可对接收到的数据进行实时分析,分析完成后存入结果数据库或者直接显示到可视化界面中。