一、前言
大型企业的项目实施往往涉及到大量部门和分、子公司的协调配合,这带来了双方面的困难:在技术上,设备和系统分散且不统一,威胁因素和程度难以感知,决策层对于当前的安全态势难以描述和决策;在工作的推进方面,客户企业下属各单位的配合程度直接影响了项目实施的进展和质量,如何做好协调沟通工作、顺利推进项目实施,也是对安全行业极大的考验。
我们将在这篇文章里,结合我们曾经实施过的一些案例,探讨如何为大型企业部署实施大数据安全态势感知的项目。希望本文能够起到“抛砖引玉”的作用,如有更好的见解,望不吝赐教,笔者不胜感激。
二、项目背景
1、客户信息
客户是大型集团性企业,旗下拥有投资企业300余家,全资及控股投资企业逾200家,员工超万人。
2、项目目标
解决集团信息安全在横向安全体系方面的缺陷,实现全网安全感知、检测、预警及运维响应,结合安全服务,提升整体的安全运营水平,增强安全的主动防御能力。
项目总体目标
安全运行能力目标
运维能力目标
三、解决方案和实施
1、项目方案
经过分析,我们最终确定了这样的解决方案:
通过部署啸天网络安全态势感知系统、云眼主机入侵监测及安全管理系统,其中流量采集探针为啸天网络安全态势感知系统的功能模块,以硬件形式部署。
进行全网安全数据采集,利用大数据技术,结合威胁情报,实时发现网络及信息系统中潜在的安全威胁,呈现全网的安全态势,辅助集团安全运维人员和专业厂商安全团队开展威胁分析,提升主动防御能力。
2、人员保障
为保障项目顺利实施,我们组建了10人以上的项目团队,人员构成上包括了项目经理、实施工程师、安全研究员、安全服务工程师、研发工程师、测试工程师等岗位。
3、实施过程
总体部署架构如下图所示:
部署架构逻辑示意图
根据总体方案,将实施过程分为三个阶段:
第一阶段:软、硬件设备上线
在方案中,包含的软、硬件设备有:态势感知平台、EDR平台、流量分析设备,经过前期的交流与现场的评估,态势感知与EDR平台采用虚拟化服务器集群部署,具体部署态势架构如下图所示:
态势感知部署架构示意图
具体部署EDR架构如下图所示:
EDR部署架构示意图
经过一周的时间,流量设备上架,EDR平台部署、态势感知平台按照计划完成部署。
第二阶段:数据接入、日志泛化、调试
数据的接入调试是整个项目实施重点,新增的流量分析设备日志推送态势平台,EDR客户端部署、事件日志推送态势平台,原有的部分安全设备、安全系统(XX防火墙、XX交换机、等等)日志推送态势平台。
(1) 首月:进展缓慢
流量分析设备:在接入流量后,流量分析设备检测出集团内网各种异常事件,最严重的是近50台左右服务器和办公PC中挖矿病毒,内网访问恶意IP近100台,其他安全告警几百条。客户在看到数据后,为了梳理整个内网十分严峻的安全态势,与项目小组展开多次论证,不断调整整改处理方案。
EDR轻代理部署:经过项目小组多次协调测试部署,第一个月的部署量只有十几台。通过少量部署,我们总结出内网服务器存在几个通用问题,主要包括漏洞风险和入侵威胁两个方面。
漏洞风险:弱口令、危急高危系统漏洞、高危账号、配置缺陷
入侵威胁:病毒木马、网页后门、异常账号。
安全设备、安全管理系统日志泛化调优:在相关设备日志和安全管理系统日志推送到态势平台后,经过两周对平台上的事件做微调优化,关联引擎优化,让各类安全数据、态势要素进行综合分析评判,从多维度和指标化的形式来呈现,帮助管理层辅助决策和执行层运维指导。
(2) 次月:快速推进
项目的推进往往需要关键性的事件的推动,第二个月才开始,态势平台就告警了特大病毒安全事件,导致多个关键业务系统中断,所涉及服务器40台以上。
在发生重大安全事件后,我方项目组紧急启动应急机制协助客户处理,调配红方攻击团队、蓝方审计团队、项目组实施团队安全工程师,通宵制定出业务恢复方案、病毒检测处理方案、安全加固方案、事件分析方案,当晚恢复最关键三个业务系统,并做好安全加固、防护,连续三个昼夜,协助客户恢复所有波及的业务系统,并梳理出溯源结果,给出初步整改防护方案、后续整改防护方案。
此次突发安全事件使得安全防护无比紧迫,三天的时间核心区域服务器EDR部署到几百台,部署简易策略优化是一个复杂的过程,根据平台检测出的问题,经过双方梳理,接下来的工作分为整改、监控、防护。
整改:
- 高危、危急漏洞通过平台修复(交付修复方案);
- 大量弱口令限期整改;
- 大量高危账号限期整改;
- 配置缺陷限期整改;
- 病毒木马清理;
- 基线优化。
监控:
- 异常登录监控;
- 完整性监控;
- 进程监控;
- 操作审计监控;
- 暴力破解监控。
防护:
- 暴力破解防护;
- 扫描防护;
- 病毒防护;
- 端口最小化防护;
- 特殊服务器进程白名单防护。
第三阶段:扩大推广试运行
推广接入所有网络设备日志、所有服务器系统日志、所有应用网站日志,推广所有服务器EDR部署工作,平台安全数据治理工作。
四、项目成效
通过接入全网流量10G以上,部署EDR节点1000+,安全日志接入,分析出威胁事件800余条,处置安全问题资产:服务器200余台,PC终端300余台,态势平台发现大量穿透现有安全体系攻击威胁,经过项目组专项治理后网络安全态势恢复良好状态,每日失陷服务器降为0,每日失陷终端PC<3,整体安全处于可感知、可控制水平。
五、总结
·大型企业的项目实施,所涉及非常多部门和分子公司协调,需要客户决策层强有力的支持。
·安全事件是一把双刃剑,一方面给客户带来非常棘手的影响,但另一方面又能为项目推进带来质的变化。
·态势感知平台是一个需要大量数据支撑的系统,而主机EDR能力恰恰能够为态势感知平台提供大量的关键数据。通过对海量的日志进行关联分、情境分析、智能分析,能够对关键信息基础设施的网络安全信息实时监测,对重大网络攻击实时感知,同时进一步探索对攻击破坏情况准确评估,做好对重点保卫目标的威胁、隐患及时预警和快速处置工作。