当前安全工具并不能应对所有的数据的问题:OpenSOC呼吁大数据技术和开源技术。
几年前,行业媒体DarkReading的执行编辑凯利•杰克逊•希金斯表示安全专家最想知道,但不想承认的事,“有越来越多的宿命感:它不再是如果或当你遭受过黑客攻击,而其前提是假设你必须已经被攻击,重点是尽量减少损害。”
然而这不是数据中心运营商所希望听到的。
不要放弃
技术先进的对手显然有能力战胜当前最佳实践安全系统,这可能助长人们这种无能为力的感觉。然而,思科公司为了其信用并不准备放弃。思科服务公司2014发布《托管威胁防御》旨在保护客户免受已知的入侵,零日攻击和高级持续性威胁。
思科公司产品安全事件响应团队(PSIRT)首席工程师奥马尔•桑托斯表示,为了使托管威胁防御具备可行的威慑力,思科制定了以下规则(博客文章):
•能够捕获完整的数据包级数据,并提取协议元数据,以创建每个客户网络的独特配置文件。
•全球网络安全运营中心将获得黑客的活动警报
•该技术将警报数据,企业的资料,以及思科的威胁情报结合在一起,创建一个行动计划
几乎同时,思科分析师注意到,报警数据需要处理量远远超过他们的设想。其服务的客户数据泛滥,其中包括一些大型企业组织。分析师不能从简单的日志条目分离出重要的信息。
现有的方法太慢
由于捕获的数据量,对手能够利用一些时间来分析英特尔,并制定响应所需的长度。“如果产生一个突破口,泄露敏感的客户信息,或知识产权受到损害,企业业的声誉、资源、知识产权则面临更大的风险。”对于思科公司这个博客文章,思科安全解决方案前经理人巴勃罗•萨拉萨尔解释说。“快速识别和解决问题的关键,但传统的方法来安全事故的调查可能会很耗时。”
据萨拉萨尔传统方法需要研究:
•从安全事故和事件管理报告(以及运行批查询的其他情况下的其他遥测源)
•外部威胁情报来源,以揭露主动警告潜在的攻击
•为了确定背景下的网络取证工具全包捕获和历史纪录
为了应对数据过载,以及为客户提供更好的服务托管威胁防御,思科公司和Hortonworks公司开发了安全分析框架OpenSOC。
分析平台
OpenSOC架构(Cisco和OpenSOC项目)
OpenSOC采用大数据分析和机器,提供了一个应用程序异常检测和事件取证平台,“通过集成在Hadoop生态系统,如Storm、Kafka,以及Elasticsearch;OpenSOC提供一种整合能力的可扩展的平台,如全方位捕获索引,存储,数据丰富,流处理,批量处理,实时搜索,以及遥测聚集。”萨拉萨尔说,“它还提供了一个集中的平台,使安全分析师检测和快速应对先进的安全威胁。”
OpenSOC关键要素
为了将原始数据转化为可操作的信息,尽快,萨拉萨尔表示OpenSOC开发团队专注于三个关键要素:
•语境:
企业的首要任务是管理捕获的大量数据。“OpenSOC摄取的数据并将其推送至各个处理单元的先进计算和分析,提供安全保护的必要环境和高效的信息存储能力,”萨拉萨尔写道。“它提供可视性和成功的调查,修复和取证工作所需的信息。”
•实时
分析数据与实时数据一样重要,搞清楚什么是可操作的数据。这意味着,在大规模应用威胁智能感知系统,地理定位,以及DNS信息的收集的数据。如果它能工作,分析师可以根据准确及时的信息做出决定。
•集中视角
如果没有一个可以理解的格式,可以快速准确地获得正确的信息。“该接口呈现出了威胁情报和丰富的数据,在一个单一的页面发布警告摘要。”萨拉萨尔补充说。“先进的搜索功能和完整的数据包提取工具可用于调查,而无需在多个工具之间进行周转。”
简单地说,萨拉萨尔指出的是,通过使用OpenSOC,安全分析师可以通过一个单一的工具浏览他们的重要数据,并避免艰难应对海量的非结构化数据。“它可以根据采集和查看任何遥测,无论是专门的医疗设备或销售设备的定制点,”萨拉萨尔建议说,“通过利用Hadoop,OpenSOC还具有积木规模的数据收集、存储量,并分析了基于网络的需要。”
一个开源项目
2014年,思科和Hortonworks公司发布开源的OpenSOC。不久后,该OpenSOC项目启动,“该OpenSOC项目是一个协作开发项目,致力于提供一个可扩展的先进的安全分析工具。”OpenSOC项目网站上表示,“ApacheHadoop框架具有坚实的基础,并重视以高品质社区为基础的开放源码开发。”
目前OpenSOC框架提供以下功能:
•用于连接OpenSOC扩展和解析器监视任何遥测源
•为任何遥测数据流扩展充实框架
•在任何遥测数据流中,异常检测和实时规则为基础的警报
•Hadoop支持的存储遥测数据流,可自定义保留时间
•由弹性搜索支持的遥测数据流的自动实时索引
•遥测相关和SQL查询能力以支持Hive存储在Hadoop中的数据
•ODBC/JDBC兼容,并与现有的分析工具整合
•设计规模为处理每秒数百万的消息
这是那些参与OpenSOC项目,该框架将继续发展,提高组织应对安全事件响应能力。为此,该项目有以下目标:
•要为高级安全分析工具的发展提供了一个协作的开源社区
•鼓励公开交流,以改善其他功能和鉴定的不足之处
•识别功能的增强以提高OpenSOC
开放式SOC是一个集成了安全工具、大数据捕获和机器学习的开源项目。然而,为了应对黑客攻击,该项目是一项正在进行的工作,OpenSOC项目成员将加强建设与发展,并实施支持帮助。
文章来源:
机房专用空调 http://elisazd.com