|
AF如何实现安全可视化
吕晓滨
近年来,业界开始宣传推广“安全可视化”概念,而一些厂商以越来越炫酷的UI及各类安全“噱头”为口号,并不断的“包装”其所谓的“深度安全可视化”,试图引领业界潮流,使得众说纷纭,为“安全可视化”蒙上厚厚的迷雾,让人理不清到底什么才是真正的“安全可视化”。
某公司下一代防火墙在2014年就开始探索“安全可视化”,并在2014年底至今不断以此为目标推出一系列可视化改进版本,颇得客户、一线和客服等的认可。在我们的理解,安全可视化不仅仅是将海量日志中的攻击事件日志等原始信息进行简单的分类和归集后以各式各样的图形化UI或报表形式呈现出来,它更需要深度挖掘这些原始信息的内在关联,以客户的角度,展示客户想看的、关心的、需要的安全信息,看清攻击全貌,明白攻击者意图。
传言佛家修炼有三个层次:看山是山,看水是水;看山不是山,看水不是水;看山还是山,看水还是水。我们认为,安全可视化亦有三个层次:看的清,看的全,看的透。
第一层:看的清。
在探索过程中,我们发现大部分IT人员在使用传统安全设备时,面对海量的单调、难懂的日志信息和报表,均很难将其与安全风险挂钩,以至于每天需要花费大量时间去分析。 故,我们认为,安全可视化第一层次,是要让用户看的清楚当前的安全风险(已知的、潜在的)。借用某公司NGFW控制台首页的改进前后对比来简单说明下:
改动前,如下几图为首页展示的内容。对用户来讲,可能存在以下几个问题:
*所列事件对用户来说,并非全是关键事件
*过多展示无关紧要或空白的信息
*攻击以纯数字 + 跳转到日志的形式,让客户跳海(海量日志)
界面优化后,展现给用户的信息更符合用户需求:
* 去掉无关信息,展示关键数据。
* 多维度展示核心攻击视角,如入侵风险、僵尸主机、实时漏洞等。
* 优先展示需要关注的信息。各模块自动调整展示顺序。
第二层:看的全。
传统安全的展示角度一般是以所有攻击类型或威胁作为维度,并提供简易的日志按TOP、日期查询等手段给用户分析。但如今的应用层攻击趋势,是以单一攻击手段向复合式攻击的方向演变,以攻击类型作为维度来展示会显得单一,无助于用户分析,难以深入理解其中潜在的风险。
故,我们认为,安全可视化第二层次,应能从多维度的、全面的展示能让客户看懂已知和潜在的风险。
如上图所示,我们在探索过程中分析了众多IT用户的运维习惯、分析角度和关注点,并结合某公司NGFW自身核心特色的安全功能后,以“入侵风险、僵尸主机、漏洞分析、数据风险、黑链风险、DoS攻击”等维度展示。每个维度均细分二级汇总分析信息展示、三层详细信息展示。
如下图,我们还提供省心的“待处理问题”列表,每天定期关联所有维度,列出用户需要关注和解决的核心问题,自动过滤掉无需处理的项(如已拒绝的),简化操作并节省用户每日的运维时间。
第三层:看的透。
我们认为,NGFW作为传统墙的下一代升级产品,需要具备深度的智能分析能力,关联分析多种攻击或可疑行为背后的潜在风险,并将其展示出来。
如下图,以某公司NGFW的僵尸主机识别为例,我们将攻击划分为五个阶段。在分析某个IP是否感染僵尸病毒时,我们会关联多种攻击类型,寻找和查证在每个阶段发生的各种关联攻击及可疑行为,以此举证该IP已经中毒,沦为僵尸主机。
另外,某公司NGFW在安全可视化展示中推出基于威胁情报的预警与处置功能,第一时间将最新发生的重大威胁情报或0day漏洞展示给客户,引导客户进行一键防护或打补丁,提前应对最新和未知威胁。
结束语:
安全可视化是一个持续改进的过程,并非一蹴而就,过程期间常常会暴露多多少少的不足。但安全可视化仍然是业界当今的趋势,需要我们不断改进,不断探索新的思路。从最初的AF6.1到现在的AF6.9,我们一直在努力。
对于AF的这些改进,您怎么看,欢迎跟帖~ | 
发表于 2016-5-31 09:51
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2016-5-31 09:55
技术研究员2级 
