企業(yè)安全的本質(zhì)就是發(fā)現(xiàn)，分析，進(jìn)而解決安全問(wèn)題。這里最重要的一步就在于發(fā)現(xiàn)安全事件，而安全事件來(lái)自于對(duì)現(xiàn)有數(shù)據(jù)的分析。企業(yè)可以分析的安全數(shù)據(jù)，很大程度上來(lái)自各類的日志文件。監(jiān)控工具通過(guò)這些日志文件生成安全事件(傳入數(shù)據(jù)庫(kù)，轉(zhuǎn)換為結(jié)構(gòu)化的數(shù)據(jù))，安全軟件和安全分析師根據(jù)異常事件的告警，進(jìn)行處理和進(jìn)一步的響應(yīng)。

[[147188]]

企業(yè)來(lái)說(shuō)安全數(shù)據(jù)處理的應(yīng)用主要有這幾個(gè)方向：

安全監(jiān)控(Security Monitoring)
安全威脅情報(bào)(Threat Intelligence)
WAF調(diào)試(WAF Tuning)

安全監(jiān)控(Security Monitoring)

安全監(jiān)控分為個(gè)人主機(jī)監(jiān)控和服務(wù)器監(jiān)控。個(gè)人主機(jī)監(jiān)控?zé)o非就是針對(duì)Mac或PC。這兩個(gè)系統(tǒng)生成的系統(tǒng)日志內(nèi)容也相對(duì)容易處理。廠商的日志Agent讀取單機(jī)的系統(tǒng)日志，通過(guò)網(wǎng)絡(luò)連接發(fā)送至指定的數(shù)據(jù)倉(cāng)庫(kù)(有部署在用戶內(nèi)網(wǎng)/DMZ的，有部署在云端的)，然后通過(guò)預(yù)先設(shè)定的規(guī)則進(jìn)行分析和處理，決定是否忽略或者告警。最近廠商還在DNS上下文章，比如OpenDNS只是對(duì)單機(jī)DNS查詢時(shí)候加以控制，并記錄用戶的訪問(wèn)行為。個(gè)人主機(jī)的信息相對(duì)敏感，關(guān)乎員工本身的個(gè)人隱私和公司的商業(yè)機(jī)密，而且數(shù)據(jù)量相對(duì)穩(wěn)定，一般會(huì)在企業(yè)內(nèi)部進(jìn)行處理，管理員有點(diǎn)類似網(wǎng)吧里網(wǎng)管這個(gè)意思。

單機(jī)Agent監(jiān)控的廠商比較常見(jiàn)的有：

Confer：一個(gè)相對(duì)輕量化的單機(jī)日志agent，資源消耗很少，管理端的規(guī)則比較豐富，管理端的數(shù)據(jù)中心可以選擇放在云端。

AMPFire：這個(gè)公司先被SourceFire吃掉，之后SourceFire又被Cisco吃掉，特點(diǎn)是整合了沙箱功能，方便安全分析人員了解惡意程序的行為。

Bit9/CarbonBlack：老牌的單機(jī)日志agent，不評(píng)價(jià)。

服務(wù)器監(jiān)控的內(nèi)容就復(fù)雜的多，不同的服務(wù)端軟件或框架會(huì)生成各種不同的日志文件，而且高負(fù)載的服務(wù)器會(huì)產(chǎn)生巨量的日志文件。對(duì)企業(yè)來(lái)說(shuō)，如何從海量的數(shù)據(jù)中挑出和攻擊相關(guān)的那幾行日志，是個(gè)很大的挑戰(zhàn)。常見(jiàn)的做法是通過(guò)正則表達(dá)式來(lái)過(guò)濾日志，把可疑的日志內(nèi)容縮減到一個(gè)可以人工分析的范圍之內(nèi)，然后交給安全運(yùn)營(yíng)中心(SOC)決定如何響應(yīng)。很多企業(yè)不具備部署和操作SOC的能力，而且迫于法律，合規(guī)方面的壓力，不得不選擇其他企業(yè)來(lái)管理自己的安全事件。這種代理其他企業(yè)安全管理的公司稱作管理安全提供商(MSSP)。MSSP的強(qiáng)項(xiàng)在于可以關(guān)聯(lián)其客戶所面對(duì)的威脅，比如公司A在某時(shí)刻面對(duì)某種特定的攻擊，分析師根據(jù)威脅數(shù)據(jù)創(chuàng)建了新的防火墻規(guī)則，同樣的防火墻規(guī)則可以推送給被此MSSP管理的其他B,C,D …公司，從而起到提前防護(hù)的作用。

MSSP通常會(huì)在客戶端部署數(shù)據(jù)倉(cāng)庫(kù)，整合從用戶數(shù)據(jù)中心收集來(lái)的安全事件，通過(guò)VPN批量傳回控制端供分析師查看。如果發(fā)現(xiàn)了安全問(wèn)題，分析師通過(guò)直接操作防火墻規(guī)則的方式來(lái)阻斷攻擊。MSSP也會(huì)定期推送威脅特征庫(kù)的更新至防火墻。

MSSP常見(jiàn)的廠商有

Dell SecureWorks
IBM ISS
Verizon
Solutionary
…
(細(xì)節(jié)請(qǐng)見(jiàn) Gartner Magic Quadrant MSSP)

未來(lái)的趨勢(shì)

隨著企業(yè)的架構(gòu)向云端移動(dòng)，企業(yè)的SOC也有向云端移動(dòng)的趨勢(shì)，SOC的部署成本大大降低，安全事件的整合速度也大大加快。傳統(tǒng)的MSSP廠商開(kāi)始從用戶的云平臺(tái)收集安全事件，新的MSSP也開(kāi)始專注云平臺(tái)的安全監(jiān)控，安全管理，比如Elastica(RSA上每年都抽獎(jiǎng)杜卡迪摩托的那一家)。

傳統(tǒng)的CDN廠商(比如最大那家)，從提供WAF開(kāi)始，逐漸加入監(jiān)控，合規(guī)，咨詢等模塊，一步一步向MSSP的方向轉(zhuǎn)化，為客戶提供一站式的應(yīng)用安全解決方案。