大型企业如何部署落地(云)主机EDR+态势感知平台?
作者: 日期:2020年03月13日 阅:8,110

一、前言

大型企业的项目实施往往涉及到大量部门和分、子公司的协调配合,这带来了双方面的困难:在技术上,设备和系统分散且不统一,威胁因素和程度难以感知,决策层对于当前的安全态势难以描述和决策;在工作的推进方面,客户企业下属各单位的配合程度直接影响了项目实施的进展和质量,如何做好协调沟通工作、顺利推进项目实施,也是对安全行业极大的考验。

我们将在这篇文章里,结合我们曾经实施过的一些案例,探讨如何为大型企业部署实施大数据安全态势感知的项目。希望本文能够起到“抛砖引玉”的作用,如有更好的见解,望不吝赐教,笔者不胜感激。

二、项目背景

1、客户信息

客户是大型集团性企业,旗下拥有投资企业300余家,全资及控股投资企业逾200家,员工超万人。

2、项目目标

解决集团信息安全在横向安全体系方面的缺陷,实现全网安全感知、检测、预警及运维响应,结合安全服务,提升整体的安全运营水平,增强安全的主动防御能力。

项目总体目标

安全运行能力目标

运维能力目标

三、解决方案和实施

1、项目方案

经过分析,我们最终确定了这样的解决方案:

通过部署啸天网络安全态势感知系统、云眼主机入侵监测及安全管理系统,其中流量采集探针为啸天网络安全态势感知系统的功能模块,以硬件形式部署。

进行全网安全数据采集,利用大数据技术,结合威胁情报,实时发现网络及信息系统中潜在的安全威胁,呈现全网的安全态势,辅助集团安全运维人员和专业厂商安全团队开展威胁分析,提升主动防御能力。

2、人员保障

为保障项目顺利实施,我们组建了10人以上的项目团队,人员构成上包括了项目经理、实施工程师、安全研究员、安全服务工程师、研发工程师、测试工程师等岗位。

3、实施过程

总体部署架构如下图所示:

部署架构逻辑示意图

根据总体方案,将实施过程分为三个阶段:

第一阶段:软、硬件设备上线

在方案中,包含的软、硬件设备有:态势感知平台、EDR平台、流量分析设备,经过前期的交流与现场的评估,态势感知与EDR平台采用虚拟化服务器集群部署,具体部署态势架构如下图所示:

态势感知部署架构示意图

具体部署EDR架构如下图所示:

EDR部署架构示意图

经过一周的时间,流量设备上架,EDR平台部署、态势感知平台按照计划完成部署。

第二阶段:数据接入、日志泛化、调试

数据的接入调试是整个项目实施重点,新增的流量分析设备日志推送态势平台,EDR客户端部署、事件日志推送态势平台,原有的部分安全设备、安全系统(XX防火墙、XX交换机、等等)日志推送态势平台。

(1) 首月:进展缓慢

流量分析设备:在接入流量后,流量分析设备检测出集团内网各种异常事件,最严重的是近50台左右服务器和办公PC中挖矿病毒,内网访问恶意IP近100台,其他安全告警几百条。客户在看到数据后,为了梳理整个内网十分严峻的安全态势,与项目小组展开多次论证,不断调整整改处理方案。

EDR轻代理部署:经过项目小组多次协调测试部署,第一个月的部署量只有十几台。通过少量部署,我们总结出内网服务器存在几个通用问题,主要包括漏洞风险和入侵威胁两个方面。

漏洞风险:弱口令、危急高危系统漏洞、高危账号、配置缺陷

入侵威胁:病毒木马、网页后门、异常账号。

安全设备、安全管理系统日志泛化调优:在相关设备日志和安全管理系统日志推送到态势平台后,经过两周对平台上的事件做微调优化,关联引擎优化,让各类安全数据、态势要素进行综合分析评判,从多维度和指标化的形式来呈现,帮助管理层辅助决策和执行层运维指导。

(2) 次月:快速推进

项目的推进往往需要关键性的事件的推动,第二个月才开始,态势平台就告警了特大病毒安全事件,导致多个关键业务系统中断,所涉及服务器40台以上。

在发生重大安全事件后,我方项目组紧急启动应急机制协助客户处理,调配红方攻击团队、蓝方审计团队、项目组实施团队安全工程师,通宵制定出业务恢复方案、病毒检测处理方案、安全加固方案、事件分析方案,当晚恢复最关键三个业务系统,并做好安全加固、防护,连续三个昼夜,协助客户恢复所有波及的业务系统,并梳理出溯源结果,给出初步整改防护方案、后续整改防护方案。

此次突发安全事件使得安全防护无比紧迫,三天的时间核心区域服务器EDR部署到几百台,部署简易策略优化是一个复杂的过程,根据平台检测出的问题,经过双方梳理,接下来的工作分为整改、监控、防护。

整改:

  1. 高危、危急漏洞通过平台修复(交付修复方案);
  2. 大量弱口令限期整改;
  3. 大量高危账号限期整改;
  4. 配置缺陷限期整改;
  5. 病毒木马清理;
  6. 基线优化。

监控:

  1. 异常登录监控;
  2. 完整性监控;
  3. 进程监控;
  4. 操作审计监控;
  5. 暴力破解监控。

防护:

  1. 暴力破解防护;
  2. 扫描防护;
  3. 病毒防护;
  4. 端口最小化防护;
  5. 特殊服务器进程白名单防护。

第三阶段:扩大推广试运行

推广接入所有网络设备日志、所有服务器系统日志、所有应用网站日志,推广所有服务器EDR部署工作,平台安全数据治理工作。

四、项目成效

通过接入全网流量10G以上,部署EDR节点1000+,安全日志接入,分析出威胁事件800余条,处置安全问题资产:服务器200余台,PC终端300余台,态势平台发现大量穿透现有安全体系攻击威胁,经过项目组专项治理后网络安全态势恢复良好状态,每日失陷服务器降为0,每日失陷终端PC<3,整体安全处于可感知、可控制水平。

五、总结

·大型企业的项目实施,所涉及非常多部门和分子公司协调,需要客户决策层强有力的支持。

·安全事件是一把双刃剑,一方面给客户带来非常棘手的影响,但另一方面又能为项目推进带来质的变化。

·态势感知平台是一个需要大量数据支撑的系统,而主机EDR能力恰恰能够为态势感知平台提供大量的关键数据。通过对海量的日志进行关联分、情境分析、智能分析,能够对关键信息基础设施的网络安全信息实时监测,对重大网络攻击实时感知,同时进一步探索对攻击破坏情况准确评估,做好对重点保卫目标的威胁、隐患及时预警和快速处置工作。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章