信息数据获取不完整 虽然传统安全管理系统平台能够对上百种的异构设备信息数据进行采集,但其仍有可能会面对信息数据获取不完整的困境,这种困境并不是因为采集支持的设备数量导致而通常是企业安全管理系统管理技术实施不足导致。
可以分析一个常见的攻击来看看这种困境:
常见攻击场景
如上图所示,有一个非法用户,通过SQL注入漏洞获取应用网站后台数据库信息,对管理员用户名密码进行破解,获得到应用网站管理权限,然后可能仅为了炫耀其技术在应用网站上挂黑页,也可能为了实施APT攻击在应用网站上悄然插入恶意代码继续渗透,还可能为了盈利将整个应用数据库全部下载售卖。
对于如此一个常见的攻击过程,传统安全管理系统平台是能够通过对应用网站系统、防火墙等日志信息数据采集,进行关联分析才检查发现的,因为SQL注入漏洞扫描行为、登陆网站行为都可能会在应用网站服务器、防火墙上留下痕迹。尽管传统安全管理系统平台能够检查发现这样的攻击,但却最终只能定位到攻击者的来源IP、用户名,无法将IP、用户名关联到自然人。
控制力有待提高 虽然传统安全管理系统平台能够采集信息数据并从中发现威胁、潜在隐患,但是威胁、潜在隐患发现后,紧跟着下一步用户需要调查更多终端信息、对终端进行整改、甚至对终端采用紧急断网措施时,传统安全管理系统平台就显得控制力。
1) 调查难场景:安全管理系统平台通过采集防火墙的日志信息数据,发现有一个IP地址总是在非工作时间访问单位的重要数据库,这个潜在隐患到底是不是真正的威胁呢?最好的方法是查询这个IP对应的终端是什么部门?负责做什么工作的?每天在非工作时间访问数据库是在获取什么数据?为了获取这些信息就不得不需要有技术能协助管理人员进一步的调查终端上的信息,显然传统安全管理系统平台对此力不从心。
2) 管理难场景:安全管理系统平台通过其脆弱性分析能力发现了一些终端、服务器上存在着高危漏洞,高危漏洞很容易被利用种植木马恶意软件从而对单位网络安全带来威胁,作为单位的安全管理人员如果通知这些终端、服务器的使用人员后其长期不按通知进行整改该怎么解决呢?要解决这样的问题,就必须提高安全管理系统平台对终端的控制能力。
3) 响应难场景:安全管理系统平台通过防病毒系统的上报的信息数据发现了某台终端上被感染蠕虫病毒杀毒失败,并且有向其他机器传播的现象,为了此台终端进行隔离,安全管理员通常需要找到此台终端拔掉网线或者是找到其对应的接入交换机配置ACL策略来进行解决,但是无论那种方法通常都需要安全管理员花费不少的时间来完成,甚至此过程还会碰到终端无法接近接入交换机不支持ACL等麻烦,如果此时安全管理系统平台能提供功能点击按钮将终端断网,那么响应就简便多了。
海量数据处理分析瓶颈
|