信息時代越來越發(fā)達，黑客或者惡意員工攻擊系統(tǒng)、盜取數(shù)據(jù)獲得的利益也越來越大。然而單點單面的防護已經(jīng)無法有效的保護系統(tǒng)安全、降低數(shù)據(jù)泄露的風險了。

      最近兩年，網(wǎng)絡信息安全形勢愈加嚴峻，安全事件頻發(fā)且非常嚴重。國外，委內(nèi)瑞拉全國停電，俄羅斯50多家大型企業(yè)遭到未知攻擊者勒索，萬豪酒店5億客戶數(shù)據(jù)泄露；國內(nèi)，某快遞公司被暴出上億條客戶信息被黑客盜取，某酒店集團的1.3億條用戶以及2.4億條開房記錄泄露。

      對此，如何構建科學防范、預警處置機制，才能有效、主動防控信息安全風險，顯得至關重要。日志服務無論是在事前安全風險的監(jiān)控與定位，還是事后的集中管理和審計，都扮演著重要的角色。普惠工程師結合多個日志產(chǎn)品的自身實踐與使用心得，與各位分享安全防護中日志服務的幾個關注點。

全量數(shù)據(jù)采集

      數(shù)據(jù)驅(qū)動安全，現(xiàn)在的安全事件已經(jīng)不再是單一的安全設備所能監(jiān)測和防御的，往往需要結合多個設備和業(yè)務系統(tǒng)的數(shù)據(jù)，進行分析對比才能定位。因此，日志服務首先要確保全量數(shù)據(jù)的采集，包含網(wǎng)絡設備、操作系統(tǒng)、安全設備、數(shù)據(jù)庫、中間件以及各業(yè)務系統(tǒng)等。

海量數(shù)據(jù)處理

      根據(jù)FileEye M-Trends 2018報告，企業(yè)組織的攻擊從發(fā)生到被發(fā)現(xiàn)，一般經(jīng)過了多達101天，其中亞太地區(qū)問題更為嚴重，一般網(wǎng)絡攻擊被發(fā)現(xiàn)是在近498天（超過16個月）之后。另一方面，根據(jù)報告，企業(yè)組織需要花費長達57.5天才能去驗證這些攻擊行為。例如上述快遞公司的數(shù)據(jù)泄露時間中，從內(nèi)部發(fā)現(xiàn)數(shù)據(jù)泄露到勘測發(fā)現(xiàn)首批犯案人員，花費了3個月左右，一直到追蹤抓獲主要犯案人員，時間跨度長達1年之久。因此，全量數(shù)據(jù)采集和分析的難點，不僅僅在于數(shù)據(jù)散亂、類型多樣，還要保障海量（幾百G甚至更多）數(shù)據(jù)處理的實時性，這就要求日志服務至少每秒能夠處理上萬條數(shù)據(jù)。

復雜告警邏輯

      可疑安全事件的發(fā)現(xiàn)和定位，不再是依靠簡單的閾值進行告警，而是需要多個設備、系統(tǒng)數(shù)據(jù)進行關聯(lián)分析或者復雜計算。

      例如：

1  安全設備聯(lián)動告警：

      針對有可疑攻擊的安全事件，可指定時間，指定多臺安全設備顯示同一攻擊源IP的安全事件，對于相關源IP進行告警，能有效排除誤報，確認為真實攻擊。此番操作要求為同一區(qū)域內(nèi)的相關設備，另外還要排除客戶給出的可信地址，然后對各設備的可疑源地址進行匹配。

2  防火墻session時間過長告警：

      部分sockets代理或者http代理要保持很長時間的會話，有進行內(nèi)網(wǎng)掃描的嫌疑，因此超過一段時間的session會話可進行告警。此處需要合并session開始和結束的兩條防火墻日志，并對時間進行處理得到session時長，根據(jù)此值篩選出過長的相應日志。

      當然除了上述幾點外，豐富的日志服務部署實施經(jīng)驗和安全防護場景積累也必不可少。普惠擁有多家金融機構和車聯(lián)網(wǎng)日志服務部署經(jīng)驗，并且積累了上百種安全防護場景，想要了解更詳細的信息，可以在文章下方給小編留言哦。