upside
反病毒 反诈骗 反虐犬
|
分享:
x0
|
[资讯教学] 利用安全资讯管理工具整治资安洪流
利用安全资讯管理工具整治资安洪流 作者:文/Joel Snyder 翻译/李庆发 2004/11/8
我们常被资讯安全设备过多的资讯搞的晕头转向:防火墙记录了被允许或拒绝的连线; 路由器提供网路流量资讯;伺服器记载了尝试入侵活动以及使用者行为;而IDS的警告讯息更是让我们焦头烂额。这些大量的记录都需要极大的时间与精力来解析,但能从中获得的利益却少之又少。
安全资讯管理(SIM, Security information management)系统可以让企业控制这些资讯洪流 SIM可以透过单一的主控台,将各种不同的安全与网路软体所产生的资讯简化并正规化,减少真实警讯外的杂讯,并找出对企业确实有用的趋势与事件。将10,000笔事件喂给SIM处理,并要求它找出有意义的事件(例如路由器开机失败或有人在内部慢慢地尝试猜出整个网路的密码等等)。
这些只是广告台词吗?我们把这个问题丢给我们的实验室,将各种安全及网路设备所产生的资料,喂给五个企业级领导品牌的SIM产品:Protego Networks的Mitigation and Response System(MARS)2.5、OpenService的Security Threat Manager v2、NetIQ的Security Manager 5.0、ArcSight的ArcSight 3.0,以及Network Intelligence的enVision Network Intelligence Engine等等。我们根据各SIM的共通元件进行评估:资料收集、分析、警告及回应;鉴识及报表;以及储存、稳定性与封存等功能。
我们了解,要判断SIM产品的价值,得视你放了多少「智慧」在里面;而这些「企业规则」,就是用来告诉SIM引擎哪些资讯对企业而言是重要的。因此,这些产品如何允许你决定规则的自由度,就成了绝对的关键。我们所测试的SIM在这方面的表现,都有很大的差异。 资讯集中 在你分析资料之前,你必须先收集资料。SIM可以透过syslog 收集大多数的原始资料,而syslog则是每一项网路设备或多或少都有的格式。其中最大的例外就是Windows、Check Point Software Technologies的防火墙以及Cisco System的IDS侦测器。例如,Windows会将资讯储存到事件记录档中及其他像效能监视计数器之类的系统资讯中。未直接支援syslog的设备与平台通常则需要利用代理程式(agent)来进行资料收集工作。
我们期望受测产品都具备可收纳来自其他设备的资讯,尤其是资安界「四大天王」(big four)的产品,并且能有其他特殊的表现。 Protego、ArcSight以及Network Intelligence都能够轻而易举地通过syslog测试,但是OpenService以及NetIQ则无法通过。NetIQ是一套极佳的Windows SIM,但是其资料收集架构则不是为了异质网路而设计的;它的syslog伺服器一次只能够处理单一种设备类型。如果你的网路是由许多供应商的产品组合而成,你就得放弃利用单一syslog伺服器来处理每一种设备类型的想法。
OpenService并未将其syslog伺服器整合进Security Threat Manager中,这是个很有趣的策略(奇怪的决定)。由于它是透过协力厂商的软体来收集syslog资料,因此放弃了对资讯撷取的控制权,而这也是SIM处理程序的关键元件。但即便是透过协力厂商,也没有太大的帮助,在我们的测试中,OpenService所建议使用的中介软体就停摆了好多次。
各家厂商用来取得Windows资讯的方法各有所不同,它可以在本机取得利用Windows事件检视器,或是透过网路从远端取得资讯~你要选择哪种方式,端视哪一类的资讯对你的重要度而定。若是要寻找潜在的复杂问题,如记忆体、磁碟或网路使用状况,以及哪些程序正在执行等等,则需要本端的代理程式;扫描事件记录档则可透过远端或本端来完成。而是否需将代理程式部署到每一个Windows系统(无论是只有伺服器还是每一个桌上型电脑)也会影响你的选择。
有些厂商可以让你选择。例如OpenService就能让你选择是要利用无代理程式技术来抓取大多数的事件记录档,还是要安装它们的代理程式,以便观看CPU使用或磁碟空间等资讯。 NetIQ以Windows为中心的架构,可以轻易地看出使用代理程式的好处。除了撷取记录档之外,NetIQ代理程式还能告诉你有哪些程序正在执行,并能够删除禁止的程序以确实实行系统政策。如果你的公司规定了所有人都不能执行接龙程式,那么NetIQ代理程式便会删除这个程序。这是NetIQ的最大特点,虽然这不是一般SIM的核心功能之一。
单是取得资料,表示仗才打了一半。若要将资料变得有意义,你还必须加以解析并正规化。 厂商使用了各种广泛的技术,以便从各种不支援syslog的设备或系统中抓取资料。
Network Intelligence以及ArcSight可藉由读取磁碟中的档案、呼叫ODBC、读取XML交易或接受SNMP讯息等方式来撷取资料。
所有的厂商都提供了一大串的支援设备清单,但是若你的设备不在清单中的话,你还是可以进行一些自订工作来应变。无论SIM可以让你利用自订程式来支援自有的设备,或是要你另外付费来增加非标准设备的支援,都是很重要的差异点。当你在购买SIM时,请考虑你的网路上有些什么,以及哪些是你必须付费,才能让该产品与你的设备进行沟通。 例如,我们测试环境中的HP交换器使用的是SNMP,而非syslog。但这并不表示SIM无法支援,因为至少它还可以接受SNMP讯息。我们需要对每一项支援SNMP的产品,自行定义SNMP代理程式,才能戴入HP的MIB并将其对应到正规化的架构中。
最大的问题是你能否自行完成设定。所有的SIM都会根据其资料库架构,将资料解析进适当的栏位中。不过这得看厂商是否公开这段程序。NetIQ、OpenService以及Network Intelligence都提供几乎完全公开的架构。若你要新增设备,你只需打开文字编辑器然后写上你自己的解析程式即可,你可以利用现存的档案来当作其他设备的样版。
ArcSight可让你撰写自己的解析程式,但却不提供样版档案,以免让其他竞争对手使用其解析程式。 即使你不想为自己的设备撰写任何程式码,你还是得动到这些档案,因为这些档案都有些臭虫。这就是Protego所缺乏的部份了~它为每一项设备撰写了程式,因此你无法动到这些程式。你无法新增自己的设备支援,也不能修复解析程式中的任何臭虫~Protego必须自行除虫。
不负众望 分析与警讯,是SIM产品与占用大量磁碟空间的记录伺服器不同的地方。也是SIM与一般工具或安全架构的差异和价值所在。 若真要探究SIM的价值,你必须将「商业智慧」(business intelligence)转化为关联规则以及警讯行为的型式。SIM不像IDS具有上千种特征资料库。若没有这些东西,SIM则是一点用处也没有。SIM最重要的评估条件之一,就是它对特殊商业智慧规则的支援扩充性。
商业智慧有许多种呈现格式。例如,我们有时都会忘记或拼错密码,但如果有人在一分钟之内尝试了十次,就有可能是入侵尝试。当你决定了你想知道什么,以及你想忽略什么时,商业智慧便建立出来了,而这也就是必须塞到SIM里头的东西。
不过,商业智慧并不容易。这些产品全都需要大量的自订化。无论你是自行加入商业智慧,还是使用厂商的专业服务,你都必须投入大量的金钱与时间。我们花了一整个星期来调校每项产品,但还是无法做到我们认为完全发挥其价值的程度。
我们的测试是利用20项工作来表示假定的商业智慧。例如,IDS对于某一组伺服器所提出的FTP匿名连线报告,要将它视为正常并忽略。对于另一组系统被政策以及防火墙所禁止的连线,则要视为重要漏洞。我们有一项工作是用来观看被禁系统的IDS警告~我们在意的是防火墙连线记录档、FTP网路流量以及IP位址。一项规则配合一项警讯,但任何可能的警告都会被触发。
ArcSight提供了最佳的资料分析工具。该产品附有大约100项关联与分析规则,可当作实用的范例。ArcSight是唯一能够成功地处理我们最困难的测试的SIM,该项测试是要追踪DSL线路的重复连线与断线,来找出被蠕虫攻击的站台。
Network Intelligence也提供了强大的工具来建立商业智慧规则。它善长抓取事件资料,并将其存放进每一个应用程式专用的资料库中。但在我们测试的版本(2.0)中,你无法确实地存取资料。举例而言,这也就是说尽管该产品从你的弱点评估系统中学到某个系统有多重要,当你在撰写你的关联规则时,你也无法使用到所有的资料。 Network Intelligence将其目标放在下一个版本~会在10月发行,但在我们在测试期间并无法取得(下个版本将大幅改善其分析与警讯的能力)。
Protego的MARS是一套具有野心但却有缺陷的SIM。我们受够了它的臭虫以及设计不良的图形介面。它内建的关联规则真的很强大,但是使用者却看不到。这意谓着你无法利用Protego自己的商业智慧来建立新的规则。
Protego要追求的不只是简单的接收并分析记录档以及建立警讯。它具有常态性的对应功能、可藉由流量的探测及追踪,正确指出网路的拓朴与架构,并且能处理自己的漏洞分析。但它内建的弱点评估工具会造成一些设备当机,而且会影响WAN连线的流量;它的对应功能只限于特定的系统,而且只能找到少量的网路拓朴。(OpenService也有相似的功能,可图形化地显示互动的攻击拓朴,但在我们特定的网路上也几乎没有什么用。) OpenService宣称它们的架构是「无规则」的。但它确实有九项基本规则类型。你不能建立自己的规则,只能设定他们提供的规则的宽限值。我们收到了许多关于一些未执行程式的讯息,而且是未将问题厘清的高度警告。它在过滤我们IDS的大量资料上也做的很差。它是我们测试的SIM当中,警示功能以及分析结果最差的产品。
NetIQ的长处在于分析以及警示主机上的事件,而我们也真的被它成千上万的Windows规则与动作打败。然而,它的关联与规则撰写能力不太适合用于网路资讯的分析上。
鉴识与报表 有时你会想利用特定的讯息或报表来汇整你的网路上的设备资讯。SIM可以在单一的虚拟平台上提供安全情报,但是我们发现每项产品强调不同的重点。虽然每个SIM都报表功能都能顺利的达成,但鉴识功能却有天壤之别。 让我们厘清什么是鉴识工具——鉴识工具会细切资讯,以便找出更深层的情资。这种功能可让使用者处理关联资料,并往下发掘(drill down)以进行快速总览。
OpenService在这方面刚好可以跟它在分析上的差劲表现互补。它强大的检视以及总览功能,可对安全资料进行更深层的分析。同样地,NetIQ在展现安全资料以及进一步深层浏览上,表视极为优异。 ArcSight的仪表板与频道功能可让资料以炫烂的方式呈现。不幸的是,往下发掘的功能并不强,因此这种漂亮的仪表板与频道,并无益于互动地解决问题。
Network Intelligence的Log Smart Viewer设计的不错,但在往下发掘以及总览资料上还是遇到相同的问题。使用者可以使用资料库查询工具,但是要在80个分类好的资料表中进行正确的查询也有够累人了。 Protego的报表与鉴识功能虽然不错,经过我们一周评鉴下来,却被糟糕的效能所抵消了。当系统填入资料时,报表速度变得无法令人忍受,即使我们只是载入不到百分之一的测试资料也一样。
我们并未特别测试效能,我们将注意力放在SIM的产品功能上。而且,各种效能对不同的企业都有不同的意义,比较上较为困难。除此之外,我们也观察到让一些我们疑虑的有趣现象。
在我们的网路上,我们每秒只产生约50笔事件;这些产品大都宣称它们能够处理每秒上千个事件。即使在我们最保守的等级中,Protego等产品还是遇到了严重的效能问题。例如,我们试着在倒资料时使用OpenService的调校介面,萤幕看起来要四分钟才会变更一次。我们发现即使是相当保守的资料载入,并且利用双CPU的系统来执行(一个给资料库,一个给manager使用),ArcSight的Manager仍需拖到一分钟以上才会更新萤幕。
我们的经验发现这三家厂商所提供的效能数据都是有问题的。或是表示这些系统在没有为环境或效能进行特别调校的情况下,速度会上不来。另一方面,Network Intelligence以及NetIQ的鉴识与报表功能,各在一台双CPU系统执行的情况下,结果都能瞬间反应。
储存与封存 随着定期备份记录的需求的提升,SIM也将储存与封存功能视为其产品的一部份了。
NetIQ与ArcSight都能够直接整合企业的SQL资料仓储与封存,透过管理主控台或SQL查询工具,直觉地存取资料。
Network Intelligence包含了资料仓储等功能,可在管理主控台之外观看资料,但它并不保留下架资料库中的资讯。然而,Network Intelligence可让你轻易地从它专用格式的资料仓储中抓取想要的资料,并依定期或鉴识用途进行封存。
Protego以及OpenService可将资料存进SQL资料库,但只能保留数日的资讯。例如,OpenService会完全清除30天前的资料,因而无法进行长期的趋势分析。
符合你的预期 安全资讯管理系统是昂贵、得花时间安装,且难以客制化的。 若要成功地部署,可能需要数日或数周的原厂专业协助才能完成。 如果你只是在找一个地方来存放你所有的资料并产生报表,这些产品全都符合你的需求。然而,SIM的长处是在告诉你在你的网路上,有哪些你该知道而并不知道(而且通常必须采取行动)的事情。在这情况下,你想要如何使用SIM就会强烈影响你的选择了。
如果你的主要兴趣,是主动地保护你的Windows系统,那么NetIQ便能胜任这项工作。
同样地,如果你正寻找一项能够提供关联,且具有强大报表与鉴识功能的工具,请考虑OpenService。 到目前为止,Protego的MARS很难被推荐。它高雅的工具全为非常特定的网路环境而设计,而且含臭虫的GUI以及差劲的效态,更造成它的缺陷。如果臭虫都被除完的话,Protego还是值得注意的产品。
Network Intelligence以及ArcSight是我们测试过最耐操的SIM产品。虽然Network Intelligence有自己的优点与长处,但ArcSight还是明显地比较成熟,且功能上较为完整。 在考量这些成本高且复杂的工具时,还有另外一个附加因素。就核心而言,SIM强过IDS以及记录档的「超级主控台」,它可以结合并关联警讯,并藉由政策是否违反的观点,来试着管理并调整安全性的优先权。
然而,你可以使用这些工具来进一步观察网路效能及稳定性。例如,我们的防火墙流量记录中的资料,会显示出网路用量最大的发讯者及接收者。除了资讯本身之外,而包含了藉由查阅所有记录档所得到的利益。
对于具有Windows代理程式的SIM也是一样。除了收集事件记录档之外,这些产品还可以进行所有的库存与状态检查。当Windows系统的磁碟满了时,如果有个Windows代理程式回报了重大状况,而SIM也送出了警讯,那么这算是安全问题还是系统管理问题? 企业购买了这样价位SIM产品,就有权利期待它们送出的不只是安全警讯而已。如果我们无法将我们所有的记录档塞到产品里头,那么它就应该聪明到去检视整个记录档的资料,并归纳出不只是与安全直接相关的结论。我们认为成功的之产品,大都应该要能善用它们收集出的资料,并为整个网路及安全团队带来最大的助益。
JOEL SNYDER(joel.snyder@opus1.com)是Opus One IT顾问公司的资深股东,也是Information Security Test Alliance的成员之一。
[ 此文章被upside在2006-11-09 03:32重新编辑 ]
|