當前,信息化已經成為教育行業不可或缺的臂助,作為一名本科院校負責網絡安全的技術老師,肩負的責任與使命可想而知。
過去:辨明網絡威脅只能“碰運氣”
當我每天面對由安全運維誕生的海量數據,內心的壓力是非常大的。理論上,這些數據中隱含著潛在的網絡威脅,我們需要對全網安全數據實時分析去規避和預警安全問題,但實際工作中,每每看到學校每天上億條網絡安全相關數據就很頭疼。想一一分析,時間、人力、技術等各方面條件都不允許,不去理會又擔心潛藏的問題。最終我只能像很多運維人員一樣,不定期地導出一些數據發給各自安全設備廠商,分析後再彙總起來。但單臺設備數據如果不跟資產、網絡環境互相驗證的話,往往也得不到什麼特別有用的信息,而且時效性也很差,等分析出結果網絡攻擊和入侵或許已經完成。因此這種方式的安全管理常常淪為“雞肋”,效率較低,察覺網絡攻擊也只能靠“碰運氣”。
實際上,在當前網安全設備相對比較豐富的情況下,安全管理的核心問題已經逐步從建設變為使用。就像大家都認為需要更快的一匹馬時,福特卻發明了汽車一樣,就在大家都沉浸在加人、堆設備等常規安全加固手段時,我校接觸到了一個全新的平臺:銳捷大數據安全管理平臺RG-BDS。和傳統的方式不同,該平臺藉助最先進的大數據技術,用“降維攻擊”的方式進行安全管理,從根本上解決了“碰運氣”的問題。
現在:降維攻擊”使安全態勢盡現眼前
目前我校接入RG-BDS大數據安全分析平臺的數據包括了服務器、網路設備、安全設備等44臺,平均每天的日誌量在1.8億左右,開啟的基於規則類和基於經驗學習類分析模型有35個。
如何用大數據做到“降維攻擊“?舉一個例子,4月有一次平臺上報出了歸併次數200萬+的“網絡攻擊行為異常”嚴重級別告警,目標為對外服務的網站群地址。
網絡攻擊行為異常的分析邏輯是基於經驗學習,收集全網攻擊日誌至少4個周,繪製經驗曲線並與實時曲線匹配,當超過300%閾值(可調)時觸發告警1次,並不斷追加統計。
經過查驗確定服務器未有異常後,猜測要麼是後門植入後未啟動破壞,要麼是網監部門善意檢測,經驗證後確實為網監IP,因數字峰會在福州所以需要統一檢測。
雖然最終發現只是虛驚一場,但換個角度來看,如果這是真正的攻擊且沒有BDS的話,如何能從每天1.8億的數據裡檢測出這幾百萬個相較於往常的異常攻擊並定位攻擊源。這類攻擊模型確實比較適合教育網站等受到常態性攻擊的場景,通過相較以往的異常變量去觸發告警。
大數據讓“主動防禦”在路上
大數據與安全的結合能夠大幅提升網絡安全管理效率,去做一些之前只能存在於理論的真正的主動防護。在主動防禦方面我們也梳理了具體的使用場景,希望依靠BDS去解決更多實際的問題,這裡也給大家做個參考。
大數據安全分析的優化包括了數據的接入、標準化以及模型的優化等,是個漫長和持續的過程,下一步會接入更多維度的數據去擴大分析方向,從而覆蓋更多的安全管理場景。同時,也要針對BDS內置的模型進行學校環境匹配和精準度提升,並有針對性地自建一些適合我校管理需求的分析模型,以進一步提高安全管理的效率。由於銳捷BDS平臺強大的功能可以比較好地支撐未來的規劃,利用大數據與安全的碰撞,借“降維攻擊”解決安全管理效率問題,我們已經在路上。
閱讀更多 首席發言人 的文章
