导言
威胁管理是指对威胁的发现与控制,这是网络安全体系结构中的核心内容,一个好的威胁管理系统可以帮助安全管理人员更好地对网络中的威胁进行发现、分析和解决。一般来说,威胁管理系统需具备这四方面的能力:威胁发现能力、威胁分析能力、威胁处理能力、自动化能力。
从上面的描述可以看到,威胁管理实际上是一个从发现,到分析,再到处理的闭环管理过程。从管理学的角度来看,闭环是一个完备的管理系统的必备过程。下面的故事充分说明了闭环威胁管理的重要性。
A企业是一个超过3000人的大型企业,由于业务的需要,大量的业务都需要通过网络开展,对网络的稳定性、安全性的依赖程度非常高。但是由于网络上存在大量攻击和员工在工作期间滥用P2P,导致对外发布企业信息的Web服务器经常由于遭到DDoS攻击而瘫痪,企业内部信息经常泄密而被竞争对手获取,业务高峰期间的网络带宽经常不够而导致业务的服务质量很低。面对这些问题,负责网络安全运维的网管小向每天成了接线员,而负责网络运维的技术处郝处长也经常在大会小会上都成为领导和各个业务部门的主管们的批评对象。
人机合一 安全无忧
为了解决网络安全运维问题,A企业在2010年初通过公开招标的方式部署了大量的安全设备,其中,所购买的IDS负责企业全网的安全事件的监控。自从部署了这些设备之后,A企业的网络安全状况得到了明显的改善:员工机器的中毒现象明显减少了,对外发布企业信息的Web服务网由于遭到DDoS攻击而瘫痪的现象基本不见了,由于大量P2P下载文件而导致的网络拥塞也得到了很好的控制,几次蠕虫的爆发都在早期被发现并及时进行了有效控制,发现了几台被攻陷的僵尸主机并进行了有效清理,发现了很多员工机器上被种了木马并及时进行处理,避免了可能出现的机密资料泄密的事件。同时,由于IDS的存在,安全管理员小向对网络中存在的安全威胁与发生的攻击行为了如指掌,因为小向长期从事网络安全的运维工作,对网络安全中涉及到的威胁、攻击、事件等都比较清楚,因此在上了这些安全设备之后,小向的工作更是如鱼得水,安全事件的处理更加及时有效,工作效率显著提高。看到自己的爱将越来越进入状态,每天不再疲于奔命地四处救火,而且安全状况明显改进,技术处的郝处长不由得心中暗喜,自觉得从此将天下太平,安全无忧。
安全的核心要素
可是好景不长,突然有一天,小向提出了辞职。郝处长虽心有不舍,但是他觉得,我已经有了这么多先进的网络安全设备,经过这半年的运行,已经证明这些设备的威力强大,小向想走也留不住,那就让他辞职吧。
小向离开之后,郝处长迅速地招聘来了新的安全运维管理员小滕,虽说小滕在网络安全运维这方面的经验远不如小向丰富,只能算个新手,但郝处长并不担心,因为他觉得有这些先进的网络安全设备在,公司的网络安全就不会出什么大问题。可是,接下来的事情证明郝处长大错特错了。
·在2011年4月份的某一天,通过IDS设备的监控,发现有大量蠕虫病毒爆发,面对着IDS不断产生的事件报警和界面上急促闪烁的标志极严重威胁的红色警灯,新来的小滕一时间束手无策,不知如何处理。由于处理不当,蠕虫迅速蔓延至全网,于是2011年之前的状况又出现了——业务部门的电话如潮水般地打了过来,自以为网络固若金汤的郝处长再次被推到了风口浪尖,难掩尴尬与不安。
·蠕虫事件刚刚平息,在2011年4月份的下旬,向外发布企业实时信息,承担业务在线交易的Web服务器突然受到来自外部僵尸网络的大规模DDoS攻击。由于经过了精心策划,此次DDoS攻击伪装成与正常业务流量差别不大的“正常流量”,通过精心构造的请求,穿透了抗压Cache,导致后端I/O飙升,进而达到拒绝服务攻击的目的。怎么办?对于刚刚入门的小滕来说,一切来得太突然、一切显得那么难。业务告急!每秒钟都在损失80%的流量!每秒的损失将近千元!!!老总们再也坐不住了,业务部的主管们急得头发都立了起来,于是,大家将焦急、愤怒的目光再次集中到了郝处长身上,此时郝处长早已崩溃……万般无奈之下,离职的小向被临时请了回来,通过在WAF(Web应用防火墙)设备上自定义规则的方式解决了这次DDoS攻击,算是帮郝处长解了燃眉之急。
经过这两件事,郝处长渐渐意识到,缺少了小向的设备完全不像他想象的那么强大,之前的“太平盛世”实际上是和小向与设备的紧密结合分不开的,而且人才是安全的核心要素。(未完待续)