首页 > 新闻 > 内容
IT日志管理在银行业中的应用
- 2018-11-23 -

针对这些庞大的运维告警日志,IT日志管理存在难以有效地进行管理和分析的问题,对于当前的安全运营管理人员和团队来说亟待解决。银行数据中心,IT运维领域涉及的运维数据涵盖应用日志、系统日志、性能数据、网络数据、流量数据、资产配置数据、数据库日志、漏洞管理数据等。

日志智能分析平台对安全设备、网络设备、应用系统、主机系统等进行日志采集和索引分析后,运用多种分析引擎,对日志进行智能的归并和处理分析,提炼出当前网络的攻击事件,使得一线及二线运维人员可以一次性对多台安全设备、网络设备、应用系统、主机系统上的日志进行事件查询分析;使得安全攻击行为和事件查询变得简单高效,这也是目前主流日志分析平台的主要使用场景。

在上述传统日志下钻或多源关联分析基础上,为了进一步提升告警分析定位能力,引入了攻击链模型,参照该模型将攻击分为攻击和攻陷两个阶段,运维人员可以重点聚焦失陷阶段的告警事件,及时止损。

通过日志智能分析平台的数据存储层,可以对该事件相关的数据进行记录,并基于IP、时间、攻击手法重新构建攻击的逐步过程,安全分析人员可以清晰地了解和查询攻击时间和位置、提权以及安装特征等,安全分析师可以快速地构建恶意攻击的概要信息,并通过链条式分析将注入路径衔接起来,识别出第一感染源头和其他被感染者,或下一步预判,使安全团队提前发现威胁,能够快速补救损害,将损失降到最低。使用攻击链分析模型,可以帮助安全运维人员聚焦在对业务影响较大的攻击事件上日志智能分析在银行业IT安全运维管理中的应用日志智能分析在银行业IT安全运维管理中的应用

(1)发现防火墙策略配置问题。由于完成了安全域边界的网络访问基线梳理,一旦有防火墙配置不当导致非正常访问就可以触发告警。

(2)发现非法外联。无论是在互联网还是第三方专网接入边界,可以通过外联访问基线筛选出异常的非法外联行为。

(3)发现内部流量异常。包括内部的恶意扫描、ARP欺骗攻击、内部违规访问等行为。

(4)发现资产变化。通过网络流量提取的资产信息,发现未报备IT资产,避免出现通过主动扫描发现资产时间窗口过长的问题。

4.3 运维日志管理与行为分析

根据银行内部安全控制要求,运维人员只能通过审计系统(堡垒机)间接访问生产服务器,其在生产环境的操作行为和结果以文件形式保存,最终采集到日志智能分析平台中。基于上述操作行为数据,结合一些配置数据,平台实现了多维度的操作行为分析和审计:

(1)实现了机构用户维度的操作行为分析。使得管理层用户了解各部门用户的运维习惯(如上午9:00是应用运维部门的访问高峰,主要是运维人员进行巡检及处理昨日非紧急问题),基于时间建立访问基线,从而发现在非核心时段的可疑登录、多IP交互登录、休眠账号的异常登录等行为。

(2)实现了应用维度的权限行为分析。通过对应用的实际访问账号与实际管理权限的对比,直观展示不合规访问情况。

(3)实现了账号维度的操作行为分析。通过对比实际管理要求,找到非授权用户使用root类高权限账号进行生产操作的情况。

(4)实现了命令维度的操作行为分析。例如Top10用户统计等,对高危险命令的使用合理性进行审查和通报,有效降低了用户操作风险。

威胁情报关联分析

日志智能分析平台支持外部开源和第三方情报数据,利用威胁情报提高安全运维分析的准确度和时效性。

利用大数据分析平台将本地数据、资产数据与情报数据按照多个维度进行关联分析,即可快速感知威胁,通过平台安全规则的筛选和过滤最终形成漏斗效应,保证威胁告警更加精准和有效。为运维管理人员提供异常的情报分析和威胁情报的预警如图5所示,其主要场景如下:

(1)实现快速漏洞定位预警。严重漏洞爆发时,基于日志智能分析平台积累的资产信息(主要是资产的版本信息)与漏洞影响的版本进行比对,快速锁定漏洞影响的资产范围。

(2)实现日志与信誉库实时关联分析。威胁情报提供的恶意IP、URL、C&C、文件信誉库以及行业与客户情报标签与告警日志进行关联定位,有助于管理员及时发现高危特别是针对金融行业的攻击行为。

(3)实现基于情报的多维度下钻式分析。利用威胁情报的内在联系,实现对可疑信息进一步的深入挖掘分析,以发现更多攻击者线索,有助于完成攻击者的行为画像。

日志智能分析在银行业IT安全运维管理中的应用

实现可视化的安全态势感知

在攻击链分析等多种引擎处理的基础上,可以针对整体范围或某一特定时间与环境,基于这样的条件进行因素理解与分析,最终形成攻击者的画像、历史的整体态势以及对未来短期的预测,如图6所示。

日志智能分析在银行业IT安全运维管理中的应用

将分析结果按照入侵、异常流量、病毒、系统漏洞,网站安全态势进行多维度可视化呈现,形成各种类型的安全态势分析趋势,能够很好地洞察银行内部整体安全状态,并通过量化的评判指标直观地理解当前态势情况。

日志智能分析平台就是基于以上方法论从海量数据中分析统计出目前存在的风险,通过趋势图、占比图、滚动屏等方式清晰展示网络安全态势,协助安全分析人员快速聚焦全网高风险点。

基于大数据分析架构的日志智能分析平台,相对于传统的日志分析技术,技术复杂度和学习处理能力更为先进。能够提供更为快速的处理分析和展现,适用于当下大数据的存储与分析应用,IT日志管理能够帮助银行业在关键业务系统及内部系统实现全面的智能关联分析,提高运维人员在IT运维管理过程中的工作效率及安全态势的感知能力。