����!���!#��!���!#��在确保IT基础设施的安全方面,当今企业面临着很多挑战。利用现有人手来处理越来越复杂的工作就是在可以预见的未来继续存在的挑战。这一复杂性的两个主要来源就在于入侵检测系统(IDS)、防火墙(FW)、操作系统(OS)、应用(APPS)以及防病毒系统(AVS)所检测和报告的数量极大且种类繁多的安全警报。仅一个防火墙每天就能产生超过十亿字节的日志数据,而一个IDS系统每天能产生超过500,000条消息。更糟糕的是——这些安全系统所产生的很多信息大多是假肯定(即表示有敌对活动,但实际上没有)。多数消息只不过是表示网络资源正常合理使用情况的古老数据。这里的挑战在于如何区分并优先化那几个的确表示真正安全威胁的消息。这一将重要安全事件从IDS、FW、OS、APPS以及AVS等消息的白噪声中区别出来的必要性也是更大规模经济现状的一部分,即要求机构能更有效地利用其现有的安全资源。因此运营中心内部安全运作工作负担和各项任务优先化的自动化是至关重要的。1��!���!#更有效的安全自动化的关键在于Cisco公司率先开发的软件技术——安全信息管理(SIM)。SIM结合了若干与众不同的特性来实现对安全事件数据的收集、规范化和分析。CiscoSIM技术的核心在于三种重要的数据关联功能——一种是基于安全政策规则的定义,另一种是基于统计威胁评分,而第三种则是基于与资产相关的实际漏洞。虽然目前存在很多用于事件关联的技术,但Cisco公司的技术处于行业领先地位,因为它集成了可用于衡量两个或多个安全事件之间关系的三种独特的关联功能,来确定事件发生的可能性。当检测出可疑的安全活动时,CiscoSIMS系统就会提醒操作员注意,进而采取适当对策。CiscoSIMS基于规则的、统计的和漏洞的关联功能既与众不同又功能强大。虽然每种关联技术都是非常准确的,但实施起来却十分简单和直截了当——其中每种技术都从不同角度来实现事件关联,进而保护企业免遭更广泛的潜在安全事件的威胁。为了实现这一目的,Cisco公司提供了一种可作为一整套SIM功能之有机组成部分的综合管理解决方案。��!���!#$CiscoSIMS解决方案集成了三种与众不同且功能强大的事件关联方法——第一种是基于规则的关联,它可通过针对从SIMS所监控的IDS、FW、OS、APPS或AVS设备中接收的每个事件来激活“时间警觉型”安全政策规则,将假肯定安全警报与可能十分重要的安全事件区别开来。基于规则的关联被紧密映射到SIM模型中,一般是从事件数据的收集和规范化开始的——也就是将安全事件数据规范化成同一种格式。当采用基于规则的关联时,首先是按厂家、咨询顾问或最终用户来预定义若干种可疑活动。一种情况中包括一系列用来定义某种可能的恶意安全事件或攻击的事件。以域名服务器(DNS)攻击情况为例,其中攻击者先实施DNS服务器侦察活动(如针对一台DNS服务器进行端口扫描),然后再针对IDS所检测到的同一个DNS服务器进行一系列入侵尝试——我们可以利用简单的“如果”(“if”)、“则”(“then”)和“另”(“else”)等语句创建一些逻辑来捕捉这种情况。用中文表示,我们的DNS攻击规则可写为:如果我们从一个防火墙接收到一个针对该DNS服务器的侦察企图(DNS版本检查或其他连接请求),则如果我们从一个IDS接收到一个或多个针对同一个DNS服务器的入侵企图,则向操作员发出一个通知。[用英语表示,我们的DNS攻击规则可写为:ifwereceiveareconnaissanceattemptfromafirewallagainsttheDNSserver(DNSversioncheckingorotherconnectionrequests),thenifwereceiveoneormoreexploitattemptsfromanIDSagainstthesameDNSserver,thensendanotificationtotheoperator]当收到安全事件并将其与规则进行比较时规则就会触发。随着时间的推移,系统就会创建出事件“状态”来跟踪那些成功执行的关联规则。在我们的DNS攻击例子中,一次端口扫描事件会激活我们新定义的规则,进而导致“创建”或“开始”状态的建立。如果此后在预定义的时间范围内再次接收到一个DNS入侵事件,那么就会触发一个“成功”状态。当然,这以后接着就会是一个活动状态,该状态可导致向操作员发出通知。否则,经过一段时间后,就会触发一个“失败”状态,在该状态中规则也许会复位到“空”或“零”状态。用图形表示,针对我们的DNS攻击例子的SIMS基于规则的状态模型可以如下方式描绘:2��!���!#虽然说这个例子对于当今异常复杂的攻击情况环境而言似乎显得过为简单化,在这里用到这个例子主要是为了说明如何实施一般的基于规则的关联。读者可以直观地看到基于规则的关联在发现已知攻击情况方面的强大威力,尽管更为精确的识别属于SIMS关联技术的功能。我们来考虑登录一台服务器这种较为普通的操作。每次登录成功后,一个或多个安全设备都会产生而SIMS也都会处理至少一个消息。这些消息的绝大多数可以归类为正常用户活动。之所以要设计基于规则的关联就是要识别“万一会发生”的非法访问。基于规则的关联是通过激活时间敏感型关联规则来发现这些万一会发生的情况的。在我们的登录例子中——在收到一个端口扫描事件后,我们可以将规则设定为连续15分钟寻找非法登录企图。在这一15分钟期间内,所有非法登录企图都会导致向操作员发送消息。显然,错误设定一个时间参数可导致极大量的假肯定。所以,虽然说这种关联方法能有效地检测出具体安全事件,但当它单独使用时代价却是假肯定信息比例增大以及运算处理要求提高。单独使用的基于规则的关联的另一局限性在于,它只能检测出有限的一组安全情况——也就是那些在系统中定义的情况。为此,Cisco公司认为必须采用一种多层方法——也就是在采用基于规则的关联的同时配合使用统计和漏洞关联。统计关联是内置在SIMS体系结构中的第二种关联方法。利用统计关联,我们可按资产或资产组将规范化安全事件归类为不同安全事件类型——事件类型的范围包括侦察攻击、病毒攻击、拒绝服务攻击——等等。对于每种资产,系统可连续计算出一个威胁分数,也就是通过将事件严重程度��!#$%&�1��!#$��3��!���!#与资产价值相加来确定对安全事件的总体衡量。这种关联方法的优点在于,它基本上是不知道攻击情况的,也就是说,统计关联是针对系统中潜在的异常情况的,而与它们所最初产生的流程无关。统计关联还有其他一些关键优点,其中一个优点在于,它是一种实施前不要求定义规则或重要“基线”(可确定统计正常状态)的“即插即用”技术。另一个主要优点在于,它能找出基于规则的关联机制可能未检测到的那些异常情况。另一方面,统计关联也有其内在局限性,这主要在于其统计本质。事件威胁评分模型是用来寻找安全异常情况和事件可能性的——而不是寻找具体威胁情况的。它是依靠归类和统计评分机制来实现这一目的的。内置在SIMS产品中的另一种关联方法就是漏洞关联。它可以根据系统漏洞来进行系统的评分。这一漏洞是由来自漏洞扫描器的数据输入来确定的。漏洞评分越高,系统对攻击的敏感性就越大。当然,只有当攻击能充分利用系统所具有的具体漏洞时,攻击才能成功。此类关联是十分重要的,因为它可使管理员关注于那些容易遭到这些事件攻击的系统。这种关联方法还可实现更好的时间管理和更好的人员利用。它能确保根据所观察的事件和相关的漏洞而发现针对系统的真正威胁。其他优点还包括可将漏洞数据实时关联到资产价值和威胁,进而使操作员能看到具体事件的实际影响。漏洞关联可根据——依据输入到系统中的漏洞数据而产生的——当前漏洞简况而实现自动化漏洞和暴露程度评分。三层关联方法的真正威力在于,一方面,它能搜索具体威胁情况,而另一方面,又能用统计方法来测量其他可能的威胁异常情况,并可利用这两方面的数据来分析资产实际上是否会遭到该事件的攻击。Cisco公司坚信,企业只有采用这种三层方法才能实现我们所说的“综合关联”。SIMS��!#$���在SIMS系统中,基于规则的关联深深地根植在SIM流程之中,而且是从规范化阶段开始的。它要求进行数据规范化,因为目前在各安全设备制造商之间存在的标准并不多。每个设备制造商都有它自己产生具体设备日志信息的格式。这就是说,CiscoPIX防火墙日志信息看起来会与CheckPoint防火墙日志信息非常不同。实际上,最近一项研究得出的结论表明,目前各种安全设备可产生20,000多种不同类型的安全设备事件。这一规范化要求不仅适用于基于规则的关联,而且也适用于统计关联。SIMS规范化过程有两个步骤。首先,SIMSAgent技术将目前所产生的这20,000种事件类型映射到约100个不同的SIMSAlarmID。SIMSAgent然后进行规范化阶段中的第二个重要步骤,将日志记录重新格式化为同一个共同的XML格式——这是SIMS系统独一无二的专有流程。在这一称作语法分析的过程中,事件ID、来源、源端口ID、目标以及目标端口ID等关键信息被转换成同一个共同XML记录,该记录与新分配的AlarmID相连后就被称为一个AlarmID记录。语法分析结束后,XMLAlarmID记录随后可通过TCP/IP安全地传递到一个或多个SIMSEngine(引擎)——也就是SIMS的重型机器。SIMSEngine的任务就是进行汇聚(在此期间会进一步减少数据以消除重复的事件信息)和关联等工作——既包括基于规则的关联也包括统计关联。4��!���!#SIMS基于规则的关联方法是专门用来通过实现以下功能而解决常见安全事件分析问题的:●减少假肯定安全警报总数●识别具体安全事件●确定工作优先级并首先解决风险最大的问题●重复性任务和/或关键时间响应的自动化基于规则的关联可通过激活从SIMS所监控的IDS、FW、操作系统、应用或AVS设备中收到的每个消息的“时间警觉型”商业政策规则而将假肯定安全警报将重要的安全事件区别开来。SIMSEngine负责执行基于规则的关联任务。每个Engine可作为其他SIMSEngine的分布式对端而运行,所以,就象其他SIMS组件一样,安全信息也是实时处理的。SIMSEngine负责执行用来将非法活动从合法活动中分离来的安全规则和分析功能。通过应用此类规则(如在我们举出的DNS攻击例子中),系统可以对每一个成功的登录事件进行检查而识别出此前发生过端口扫描等可疑活动的极少数登录事件。请注意:这些Engine可针对实时安全消息流和/或针对在规定时间内发生的消息的合法数据库而运行或操作。Cisco公司可提供一整套各种各样的预定义规则,因此可立刻实现即时价值。此外,其中所包括的一种规则创作编辑工具还可支持新规则的定义和/或预定义规则的定制。除了能通过规则创作编辑而扩展功能之外,还可通过简单地在SIMS基础设施中添加更多Engines来逐步扩展SIMSEngine的工作负载能力。5�2SIMS��!��!#��!���!#��预配置的安全规则,可立刻开始识别安全威胁基于规则的关联可减少假肯定安全警报次数易于使用的规则编辑器能识别混合型攻击的成熟可靠的多变量事件检测逻辑预定义规则遵循智能化模型来测量与关键资产相关的威胁可将根据多个原子事件而配伍的混合事件相互联系起来作为相关警报可发现行动与被检测事件之间的关系检测和响应逻辑可结合定时、布尔条件和定序技术规范关联规则是根据SIMS规范化和已归类警报而定义的支持可由用户扩展的一组相关联事件类型,并可联回与标准相关的nfAlarm开放式和可扩展的关联体系结构��基础产品安装后可立刻实现投资回报可减轻安全运行和分析人员的工作负担技术专家可利用简单的“所见即所得”(WYSIWYG)“无代码”开发环境而修改和扩展预配置安全分析可轻松识别复杂威胁,可使运营和法律人员关注于威胁和风险最大的环节运行过程可确定工作的优先级从而首先解决最重要的安全事件,而无需定义额外规则可进行法律和实时分析,从而确定与
