【IT168 资讯】2015年6月11日，以“大数据、新视角、智享安全”为主题的新一代SOC技术研讨会在北京举行。华青融天在本次研讨会上，从理论、发展趋势、解决方案。实施经验等多个角度探讨在大数据环境下，企业安全面临的问题，并向与会嘉宾介绍了基于大数据技术的新一代SOC解决方案产品Accur。

　　为了应对层出不穷的安全挑战，企业部署了包括防火墙、入侵检测和防护系统、漏洞扫描系统、防病毒系统在内的各种安全设备。但是，这些安全设备之间无法进行关联产生协同效应，而且在其运行过程中还会产生大量的安全日志和事件。有限的安全管理人员无法对海量且彼此割裂的安全信息进行有效控制和预警，难以发现真正的安全隐患，企业内部对信息系统审计和内控的要求、等级保护的要求以及业务持续性的要求却不断提高。在这样的背景下，SOC(安全运营中心)应运而生，而Accur特别适合于帮助企业打造全方位的SOC(安全运营中心)。

　　为什么推出Accur?

　　大数据时代，数据源正不断地扩展。在任何结构内部，都会产生大量的来自机器、商业应用程序，甚至是人为的数据。在海量数据面前，包括网络犯罪、国际安全威胁以及内部人员作弊的高级性的攻击威胁(APT)，越来越难以发现和掌控。

　　传统的SIEM分析注重的是安全事件的漏报、误报，或安全事件的预警方面，已不足以应对APT等未知特征的威胁形式。SIEM有其固有的局限性：首先，SIEM无法修复所有的数据资源;其次，SIEM无法灵活地搜索或报告受到阻碍的威胁检测和调查;再者，SIEM的规模及处理速度削弱了其进行大数据分析的能力;最后，SIEM包含多重产品，很难进行配置和管理。

　　华青融天技术总监伊先生说：“企业在IT安全运维方面投入了那么多安全设备之后，并不一定能得到有效的安全防护和结果。企业内部或应用的发布区还经常发生数据泄露的情况，导致企业遭到外部攻击;企业内部人员的非合规、非理性操作，对企业数据造成安全隐患。企业的安全设备之间缺乏关联。设备每天产生数以千万的事件，在这些事件中如何能够真正找到实际中企业需要去关注、解决和处理的安全事件，对企业来说是一种挑战。”

　　企业有非常多的品牌、产品存在于实际环境里，需要海量的人员甚至是专业人员对设备进行高密度、高时效性的维护与优化。现实中，企业只有少量精悍人员组成安全运营团队，但企业每天需要收集数以亿计，或TB级的异构原始日志进行安全分析，他们急需智能化的手段辅助安全运营分析，了解安全态势。此外，企业还可能受到各种各样的法案和机构的约束。

　　“基于这个前提，我们发现在安全运维过程中，做的最多的一个事情就是通过把系统先下线，再重新安装这个系统的方式来处理安全事件;或者采用防病毒的软件来强制地杀毒;或通过网络组织下线的方式满足我们处理安全事件所必须采用的一些快速有效的手段。”华青融天技术总监伊先生说道。

　　实际上，企业非常缺乏对整个安全有效性监控和响应机制的建立。很多企业对于这个机制的建设还停留在纸张的层面，或停留在企业内部的安全巡警方面，并没有落实到IT安全运维过程中。所以，未来企业在安全运维方面需要考虑的更多的应该是利用一些平台和专业团队来完成监控和响应机制的建立完善。

　　解密Accur

　　大数据与信息安全在一个好的时机或节点相遇之后，我们需要提高针对安全事件的关联，包括针对高危安全事件的响应，追踪和处理的能力。

　　在这个背景下，Accur能够给用户带来什么?

　　·最广泛的数据采集和处理

　　·基于大数据架构的分布式数据存储及检索

　　华青融天技术总监伊先生说：“大数据平台作为最为广泛的数据采集器，是毋庸置疑的。对于传统的SIEM平台或传统的安全手段来说，每天产生的各种各样的日志类型、总类、数据量、样式，可能是千差万别的，SIEM需要对日志进行标准的正规化来满足日志的识别和比较，大数据平台不需要用这样方式进行处理。大数据平台采用分布式技术存储，产品架构可以非常快速进行信息扩散跟存储，来满足针对不同企业进行安全事件分析所需要的服务器的数量。”

　　·基于企业自定义灰白名单、安全模型的异常行为检测

　　·实时安全威胁告警

　　·深度的安全事件调查分析

　　·长期的安全态势分析

　　华青融天技术总监伊先生说：“对IT企业进行防护的手段，基本由安全的厂商和第三方的评估所提供的黑名单来完成。但对于企业内部来说，真正想把安全做到位，需要建立自己的白名单。在未来还会有灰名单出现，来满足企业内部风险的自判断或预判断，建立模型针对企业内部的异常行为包括高危行为的检测和分析，告知安全运维人员此次面临的安全风险的威胁程度。此外，还会有非常深度的安全调查分析，这些分析需要标准化、流程化和一致性的目标来达到对应急、处理和响应的过程，以常态的、长期的方式来满足企业内部包括企业各个节点内部的安全态势分析。”

　　所以Accur整个的安全功能模块分成3个模块：

　　1.安全事件分析展现平台，这是Accur最核心的功能板块，内含自动化关联分析、企业灰白名单、深度调查分析和全面可视化这些子功能;

　　2.数据采集器，主要负责适配各种设备日志，进行日志解析;

　　3.数据储存器，进行分类存储、高效检索和线性扩展等功能。

　　Accur具有以下开箱即用的功能：

　　·以非结构化的方式实现日志采集

　　·基于文本检索技术的数据处理

　　·基于分布式计算的风险分析与调查

　　·基于机器学习的智能挖掘

　　·灵活的告警规则

　　Accur的产品架构分成3层：第一层也就是最底层为Cyber层，中间是索引和数据存贮层，最上方是展现层和数据关联层。最底层存储着很多原始数据，Accur具有非常丰富的集成接口，针对网络和安全设备通过syslog或SNMP来接受数据，针对windows通过WMI来接收数据。中间索引和数据存贮层能将数据标准化，将异构数据转化为符合分析要求的标准格式。最上方的展现层和数据关联层，将IT+信息资产与标准化数据关联预处理，基于特定业务场景形成预处理后的数据，还能够和企业中的ITSM、短信、邮件或其他平台相互关联。

　　Accur最大的优势有两个：一个是可以应对最广泛的日志收集变化，Accur完全支持注入应用日志、Netflow、网络数据包等字符多且格式复杂多变的日志格式;另一个是定制化事件展现，基于用户的行为模式对安全事件展现定制化。

　　华青融天技术总监伊先生说：“应用日志这一类日志很恐怖，传统的SIEM的存储收集、查重效用，针对每个URL分析的比对过程会消耗投建的cpu资源，难以对这类日志进行处理。

　　在企业内部，需要判断内部合规。其中的一个核心是考虑用户行为，基于用户的行为评价模式，这个模式不一定是个异常机制，有可能是某位员工业务访问行为、主机跳转行为和上网正常行为等机制，来做评判分析和预干涉，建立起主机之间的访问关系，来满足对用户行为的评价。

　　对于外部攻击，90%以上的公司依靠第三方公司或机构的签名方式完成。但很多攻击会绕过这些设备或突破这些设备来入侵到企业内部，因此需要建立基于细域的位置威胁评判机制，建立机制之间的比对、模型来进行学习。”

　　Accur应用经验和实例

　　华青融天介绍了其从2006年起就实施的银行SOC项目建设，2013年SOC风险展示平台上线，2014年进入分行日志收集和推广，单独成立安全事件调查团队，开始逐步引入大数据平台对应用日志进行分析和事件挖掘;截止到2015年5月完成了全行日志收集目标，针对APT攻击进行深入数据挖掘，建立企业内部用户行为模型。

　　银行通过Accur收集计费系统对外提供信息查询的接口日志，通过大数据平台的关联分析能力，对接口的查询记录的特征进行管理分析，有效发现和计费系统存在信息查询接口的一个外部业务系统的接口日志中有不符合其正常业务特征的批量查询用户信息的行为。

　　在进一步核实该情况应属于外部用户利用外部系统一些查询功能，通过刷屏软件等工具恶意窃取用户的敏感信息，后续立刻对相应的系统界面和功能进行了脱敏和关停处理，有效避免用户敏感信息的进一步泄露。