隨著信息技術的迅猛發展,網絡及安全運維人員所面對的信息系統已經不再以個位計算,而是十位、百位,甚至千位,基於傳統單系統日誌排查方式對系統運行狀態進行檢查已日益捉襟見肘。
同時,《網絡安全法》也明確提出,要“採取監測、記錄網絡運行狀態、網絡安全事件的技術措施,並按照規定留存相關的網絡日誌不少於六個月”。《網絡安全等級保護基本要求》(等保2.0)也明確規定,從二級到四級都明確要求進行日誌審計。
此外,薩班斯法案、多個金融行業科技風險管理和信息安全管理法規,也都要求對信息系統日誌進行審計。因此,高效、智能化的日誌審計系統,已經成為系統安全運維的剛需。
奇安信集團近期即將發佈的新一代日誌收集與分析系統NGLAS,已經實現了對所有系統日誌進行統一集中管理,對其進行歸類、分析、抽取,採用關聯分析技術,實現風險可視化展示與實時智能告警,從而大幅度提高系統運維效率。
易用、低成本和海量日誌處理能力將是未來新需求
奇安信大數據與安全運營公司總經理馬江波表示,日誌審計產品作為一個統一日誌監控與審計平臺,能夠將來自安全設備、網絡設備、主機、操作系統、數據庫系統、用戶業務系統的日誌、警報等信息彙集到審計中心,並對採集到的不同類型的信息進行標準化處理和實時關聯分析,協助安全管理人員從海量日誌中迅速準確地識別安全事故,並快速出具滿足國家法律法規,行業標準的多種合規報表和報告,滿足安全審計的合規要求。
據奇安信針對部分客戶需求的調研發現,目前大部分客戶對日誌審計產品的主要需求包括以下幾個方面:
快速的日誌檢索:隨著日誌量的飛速上漲,尤其是當日志量達到數十億條(10TB)以上時,基於關係型數據庫(SQL)做單條件查詢時,往往需要耗時30分鐘以上甚至數小時,複雜條件查詢時甚至會造成系統不可用。超長的耗時無法滿足用戶的日誌審計和安全運維需求。
對於相當一部分政企客戶尤其是擁有較為複雜IT系統的政企客戶來說,查詢速度快且操作簡單易用的日誌審計產品十分必要。
實時的海量日誌關聯分析能力:在日常的安全運維中,分析師想要從海量日誌中準確、及時地發現安全威脅,並且提升時間處置效率,單純依靠人力或者粗粒度的機器分析師遠遠不夠的。
但受制於計算資源和日誌分析能力的限制,相當一部分政企機構存在日誌數據治理能力弱,處理結果標準化字段數量少,分析細粒度不夠,且無法實時分析海量日誌數據。
日誌審計與分析簡單化:不論是從合規角度還是從實際的安全能力要求,專業日誌審計能力已經成為了標配,而不是僅僅出具一個簡單的報表。
但現階段的情況是,但如果想要開展詳細的日誌審計和分析,則需要專業的安全分析師,這就要求運維人員不僅懂安全業務場景,還得熟悉正則表達式、腳本語言等計算技術。絕大多數政企客戶都不具備組建專業日誌分析團隊的實力。
因此,日誌審計產品除了具備高性能,還需簡化操作步驟,提高產品易用性。
高性價比:所有投入都需要考慮性價比,日誌審計產品也不例外。客戶需要在滿足自身需求的同時,儘可能節省成本。
奇安信在調研中發現,使用傳統技術的日誌審計產品價格較低,但功能不強,難以滿足客戶日益增長的分析需求;使用開源技術儘管不需要花錢買產品,但需要花錢建設運維開發團隊,使用成本同樣很高;部分高端日誌分析產品價格昂貴,同時也需要高水平的技術人員才能產生效果,難以滿足政企客戶的成本需求。
開箱即用、高彈性與大數據是新一代日誌審計產品的標配
據馬江波介紹,奇安信集團從2015年推出日誌審計產品LAS以來,該產品已經成功應用於政府、公安、金融、教育、能源、軍工、醫療等大中小型政企機構,成為市場領導者。
日誌分析是安全分析的重要組成部分,為了應對日趨複雜的安全日誌分析和違規行為審計,用戶對日誌審計類產品的安全分析能力提出了很高的要求,逐步從傳統的合規導向傾斜至合規管理與安全分析並重的能力導向。
圖 企業自行創建的VPN儀表板展示
針對安全分析能力的提升,奇安信集團即將發佈的新一代日誌收集與分析系統以先進的大數據、分佈式、可視化、機器學習、關聯分析為核心技術,全面提高日誌安全分析能力,且增強高彈性、實用性,提高性價比,具備如下特徵:
- 基於大數據架構,大幅提升日誌數據存儲和查詢效率,秒級完成10TB級的日誌數據的搜索。
- 利用可視化技術,快速而直觀地展現日誌處理的結果,及時發現安全威脅。
- 引入機器學習等智能化分析方法,構建實時、歷史、交互式、自動化的日誌分析能力,從而使日誌綜合審計更準確、更高效。
- 採用分佈式架構,通過彈性擴展計算節點數量來增加關聯分析的能力,解決了超大規模網絡客戶日誌關聯分析的需求。
- 高彈性,滿足彈性部署和資源擴展要求,同時支持多平臺部署。
- 內置豐富多樣的審計場景和安全分析場景,大幅降低客戶使用成本。
閱讀更多 奇安信 的文章
