當前安全工具并不能應對所有的數(shù)據(jù)的問題:OpenSOC呼吁大數(shù)據(jù)技術和開源技術。
幾年前,行業(yè)媒體DarkReading的執(zhí)行編輯凱利•杰克遜•希金斯表示安全專家最想知道,但不想承認的事,“有越來越多的宿命感:它不再是如果或當你遭受過黑客攻擊,而其前提是假設你必須已經(jīng)被攻擊,重點是盡量減少損害。”
然而這不是數(shù)據(jù)中心運營商所希望聽到的。
不要放棄
技術先進的對手顯然有能力戰(zhàn)勝當前最佳實踐安全系統(tǒng),這可能助長人們這種無能為力的感覺。然而,思科公司為了其信用并不準備放棄。思科服務公司2014發(fā)布《托管威脅防御》旨在保護客戶免受已知的入侵,零日攻擊和高級持續(xù)性威脅。
思科公司產(chǎn)品安全事件響應團隊(PSIRT)首席工程師奧馬爾•桑托斯表示,為了使托管威脅防御具備可行的威懾力,思科制定了以下規(guī)則(博客文章):
•能夠捕獲完整的數(shù)據(jù)包級數(shù)據(jù),并提取協(xié)議元數(shù)據(jù),以創(chuàng)建每個客戶網(wǎng)絡的獨特配置文件。
•全球網(wǎng)絡安全運營中心將獲得黑客的活動警報
•該技術將警報數(shù)據(jù),企業(yè)的資料,以及思科的威脅情報結合在一起,創(chuàng)建一個行動計劃
幾乎同時,思科分析師注意到,報警數(shù)據(jù)需要處理量遠遠超過他們的設想。其服務的客戶數(shù)據(jù)泛濫,其中包括一些大型企業(yè)組織。分析師不能從簡單的日志條目分離出重要的信息。
現(xiàn)有的方法太慢
由于捕獲的數(shù)據(jù)量,對手能夠利用一些時間來分析英特爾,并制定響應所需的長度。“如果產(chǎn)生一個突破口,泄露敏感的客戶信息,或知識產(chǎn)權受到損害,企業(yè)業(yè)的聲譽、資源、知識產(chǎn)權則面臨更大的風險。”對于思科公司這個博客文章,思科安全解決方案前經(jīng)理人巴勃羅•薩拉薩爾解釋說。“快速識別和解決問題的關鍵,但傳統(tǒng)的方法來安全事故的調(diào)查可能會很耗時。”
據(jù)薩拉薩爾傳統(tǒng)方法需要研究:
•從安全事故和事件管理報告(以及運行批查詢的其他情況下的其他遙測源)
•外部威脅情報來源,以揭露主動警告潛在的攻擊
•為了確定背景下的網(wǎng)絡取證工具全包捕獲和歷史紀錄
為了應對數(shù)據(jù)過載,以及為客戶提供更好的服務托管威脅防御,思科公司和Hortonworks公司開發(fā)了安全分析框架OpenSOC。
分析平臺
OpenSOC架構(Cisco和OpenSOC項目)
OpenSOC采用大數(shù)據(jù)分析和機器,提供了一個應用程序異常檢測和事件取證平臺,“通過集成在Hadoop生態(tài)系統(tǒng),如Storm、Kafka,以及Elasticsearch;OpenSOC提供一種整合能力的可擴展的平臺,如全方位捕獲索引,存儲,數(shù)據(jù)豐富,流處理,批量處理,實時搜索,以及遙測聚集。”薩拉薩爾說,“它還提供了一個集中的平臺,使安全分析師檢測和快速應對先進的安全威脅。”
OpenSOC關鍵要素
為了將原始數(shù)據(jù)轉(zhuǎn)化為可操作的信息,盡快,薩拉薩爾表示OpenSOC開發(fā)團隊專注于三個關鍵要素:
•語境:
企業(yè)的首要任務是管理捕獲的大量數(shù)據(jù)。“OpenSOC攝取的數(shù)據(jù)并將其推送至各個處理單元的先進計算和分析,提供安全保護的必要環(huán)境和高效的信息存儲能力,”薩拉薩爾寫道。“它提供可視性和成功的調(diào)查,修復和取證工作所需的信息。”
•實時
分析數(shù)據(jù)與實時數(shù)據(jù)一樣重要,搞清楚什么是可操作的數(shù)據(jù)。這意味著,在大規(guī)模應用威脅智能感知系統(tǒng),地理定位,以及DNS信息的收集的數(shù)據(jù)。如果它能工作,分析師可以根據(jù)準確及時的信息做出決定。
•集中視角
如果沒有一個可以理解的格式,可以快速準確地獲得正確的信息。“該接口呈現(xiàn)出了威脅情報和豐富的數(shù)據(jù),在一個單一的頁面發(fā)布警告摘要。”薩拉薩爾補充說。“先進的搜索功能和完整的數(shù)據(jù)包提取工具可用于調(diào)查,而無需在多個工具之間進行周轉(zhuǎn)。”
簡單地說,薩拉薩爾指出的是,通過使用OpenSOC,安全分析師可以通過一個單一的工具瀏覽他們的重要數(shù)據(jù),并避免艱難應對海量的非結構化數(shù)據(jù)。“它可以根據(jù)采集和查看任何遙測,無論是專門的醫(yī)療設備或銷售設備的定制點,”薩拉薩爾建議說,“通過利用Hadoop,OpenSOC還具有積木規(guī)模的數(shù)據(jù)收集、存儲量,并分析了基于網(wǎng)絡的需要。”
一個開源項目
2014年,思科和Hortonworks公司發(fā)布開源的OpenSOC。不久后,該OpenSOC項目啟動,“該OpenSOC項目是一個協(xié)作開發(fā)項目,致力于提供一個可擴展的先進的安全分析工具。”OpenSOC項目網(wǎng)站上表示,“ApacheHadoop框架具有堅實的基礎,并重視以高品質(zhì)社區(qū)為基礎的開放源碼開發(fā)。”
目前OpenSOC框架提供以下功能:
•用于連接OpenSOC擴展和解析器監(jiān)視任何遙測源
•為任何遙測數(shù)據(jù)流擴展充實框架
•在任何遙測數(shù)據(jù)流中,異常檢測和實時規(guī)則為基礎的警報
•Hadoop支持的存儲遙測數(shù)據(jù)流,可自定義保留時間
•由彈性搜索支持的遙測數(shù)據(jù)流的自動實時索引
•遙測相關和SQL查詢能力以支持Hive存儲在Hadoop中的數(shù)據(jù)
•ODBC/JDBC兼容,并與現(xiàn)有的分析工具整合
•設計規(guī)模為處理每秒數(shù)百萬的消息
這是那些參與OpenSOC項目,該框架將繼續(xù)發(fā)展,提高組織應對安全事件響應能力。為此,該項目有以下目標:
•要為高級安全分析工具的發(fā)展提供了一個協(xié)作的開源社區(qū)
•鼓勵公開交流,以改善其他功能和鑒定的不足之處
•識別功能的增強以提高OpenSOC
開放式SOC是一個集成了安全工具、大數(shù)據(jù)捕獲和機器學習的開源項目。然而,為了應對黑客攻擊,該項目是一項正在進行的工作,OpenSOC項目成員將加強建設與發(fā)展,并實施支持幫助。
文章來源:
機房專用空調(diào) http://www.rongguina.cn