随着新一轮科技革命和产业变革加速演进,新一代信息技术加速迭代,数字经济和实体经济深度融合,网络空间对国家经济发展和安全的战略意义实现全局性提升,网络安全全局性影响、基础性支撑的关键地位和重要作用日益突出。本文主要探索运用云安全中心威胁分析与响应服务,完善网络安全防护体系,对持续筑牢电力企业电商平台安全基础具有非常重要的现实意义。
大唐电商技术有限公司(以下简称“电商公司”)是中国大唐商贸物流产业实施主体--中国水利电力物资集团有限公司(以下简称“物资集团”)“互联网+采购”信息化建设运营的全资子公司,电商公司主要负责中国大唐集团电子商务平台(以下简称“电商平台”)和犀维网的建设和运营,是国家高新技术企业、北京市“创新型”中小企业、北京市“专精特新”中小企业、《国有企业服务采购操作规范》首批试点企业。
电商平台,遵循“分区分域、安全接入、动态感知、全面防护”的安全策略,根据业务系统的不断完善加强对平台的防护,最大限度的保障电子商务平台的安全、可靠和稳定运行。在保障平台安全方面,使用云计算领域的领先服务商,从安全治理到安全技术、从安全开发到安全运维均按照国家安全标准和业界领先的安全实践进行严密的战略、流程和技术的设计与实现,为平台建设社会级的安全保障,覆盖WEB应用访问安全、互联网边界安全、主机安全、数据安全、云安全态势感知、运维安全、持续监控、威胁分析与响应等多个环节的安全控制要求。其中云安全中心威胁分析与响应服务,能够集中处理来自多云环境、多账户和多产品的告警和日志数据,提高安全运维效率,加强对潜在风险的响应能力。
云安全防护在电商平台的实施过程
云安全中心的威胁分析与响应服务,主要功能为集中处理来自多云环境、多账户和多产品的告警和日志数据,此项服务的实施可以提高安全运维效率,缩短应急响应处置时间。其实施过程主要为以下几个内容:
1.开通相关安全产品和接入服务
使用云安全中心的威胁分析与响应服务需要开通相应的服务,此外该服务的日志数据和应急处置功能需要其它安全产品的配合使用,因此我单位电商平台开通了相应的安全产品,包括云安全中心、云防火墙、WAF、堡垒机等相关安全产品。开通相应安全产品后,可以进行产品接入,将相关日志接入至威胁分析与响应服务中。
2.建立多账号目录结构
威胁分析与响应服务可以将同一个企业认证的云账号加入同一个资源目录。开通资源目录服务,并指定云账号为委派管理员账号后可以统一查看企业内多账号的安全风险,提供云上多账号、多产品告警的统一管理,并支持一键快速风险处置及自动化响应编排。实现跨账号告警和日志数据的统一监管与分析。
3.配置威胁检测规则
威胁分析与响应内置了预定义检测规则,可以深入检测分析收集到的安全告警日志,识别威胁攻击链路和时间线,并生成详细的安全事件。我们可以按需创建自定义检测规则、开启或关闭预定义规则,确保生产的安全事件符合业务需求。检测规则是用于检测和分析云产品日志数据的策略,我们可以通过指定日志范围、匹配字段、聚合字段等,定义威胁分析与响应自动检测和分析日志的逻辑,来帮助我们快速识别出业务系统的安全风险。威胁分析与响应提供预定义规则和自定义规则方式,可以根据业务需求,开启或关闭预定义规则,以及自定义告警和事件检测规则。云安全中心提供了丰富的检测告警和事件的预定义规则,包括:进程异常行为、Web攻击成功、恶意域名请求、异常登录、异常网络流量、恶意网络请求、异常Web行为。我们可以查看预定义规则的详情、开启或关闭预定义规则。除预定义规则外我们还可以进行自定义规则,包括基本信息设置、规则逻辑设置、事件生成设置。设置完成后可以进行测试,支持选择以下测试方式:
模拟数据:选择该测试方式需要自行编写SQL语句测试命中数据,可参考模拟数据值的示例编写SQL语句。完成模拟数据值编写后,单击进行测试。
业务数据:选择该方式会将真实产生的业务数据用于规则测试。单击进行测试即可查看该规则展示的告警及事件数量折线图、告警及事件列表。
4.处置安全事件
威胁分析与响应通过使用预定义的规则或自定义的规则,将关联的多个安全告警聚合成一个完整的安全事件,帮助我们迅速识别并对云产品的安全告警作出响应。定期检查并处理安全事件,可以提升云产品的安全水平并确保系统的完整性。可以选择手动处置或自动处置安全事件。
5.响应编排
在基础安全领域,安全专家有大量日常琐碎的简单工作,如安全审核、木马和挖矿软件处理等。这些工作占用了高级安全专家的大量精力。熟悉企业内部环境、了解对手信息、具备研究攻击者行为模式的安全专家,没有办法投入更多精力到重要的网络对抗和安全研究等工作中。而响应编排的目标是将日常工作自动化、流程化,提升安全响应速度,将安全专家从日常繁重琐碎的工作中解放出来,集中精力对抗高级持续攻击(APT)。日常工作流程也可作为可解释、可执行的规范沉淀在产品内,更利于经验的传承。威胁分析与响应服务响应编排是一种综合性的安全解决方案,通过将不同的系统或服务按照一定的逻辑进行编排连接,实现安全运维的自动化编排和快速响应,加强企业安全防御,提高安全事件响应效率。响应编排需要进行剧本的编写,编写预先定义好的逻辑流程或脚本,用于对安全事件进行识别、分类、判断和响应。剧本包括一系列步骤,用于执行特定的操作,以确定是否存在安全威胁,如何响应和缓解威胁。剧本可以根据不同的安全事件类型和级别进行定制和配置,以适应不同的安全需求。通过使用剧本,响应编排可以帮助我们提高安全响应的效率和一致性。
云安全防护在电商平台的应用情况
威胁分析与响应主要是通过集成多云、多账号和多产品的日志,利用预定义和自定义的安全检测规则,在检测到安全威胁时,威胁分析与响应能够启动自动化响应编排,联动相关云产品对威胁源执行封禁、隔离等安全措施,以实现快速且有效的安全事件处置。电商平台已将多个安全产品日志进行了接入,包括云安全中心、Web 应用防火墙、云防火墙、DDoS 防护、运维安全中心、云数据库、负载均衡 SLB日志等。日志接入后配置相关自定义规则实现自动发现出方向访问恶意网站的威胁情报告警&事件,与威胁情报进行实时检测,发现未知威胁、高级威胁、全网实时风险。通过自动化响应规则过滤目标告警,对告警中恶意实体进行自动化处置。由于威胁分析与响应能够联动相关的云产品进行处置,因此安全运维人员已由原来在多个云安全产品中查看、分析、处置安全事件,改为只集中在威胁分析与响应平台查看已自动处置的安全事件和查看规则未覆盖的事件并进行手动处置,无须在多个安全产品之间来回切换,处置速度更迅速。下图为安全事件告警列表:
通过告警详情可以查看详细的告警信息如下:
通过“威胁分析与响应-安全事件处置”的事件列表看到自定义规则产生的事件如下图所示:
事件详情:
云安全防护在电商平台的成效
1.提高响应速度
自动化系统可以在检测到威胁的瞬间立即采取行动,根据自定义或预定义的规则进行相应的响应处置操作,大大减少了从发现威胁到采取措施之间的时间延迟,提高了应急响应处置速度。
2.减少误报和漏报
通过使用先进的算法和技术,如机器学习和人工智能等,这些系统可以更准确地识别真正的威胁,从而降低误报率并确保不会错过任何关键的安全事件。
3.自动判定风险等级
自动化系统可以根据网络安全攻击情况,将攻击安全事件分为高危、中危、低危,将安全告警分为紧急、可疑、提醒,安全处置人员可根据事件紧急程度进行查看和处置。
4.提升效率
自动化能够减轻安全团队的工作负担,使他们能够专注于处理最紧迫的问题,而不是被日常的警报所淹没。
5.整合安全产品告警并联动相关安全产品
威胁分析与响应系统能够将相关的安全告警信息进行聚合,实现多处告警,一处查看,告警信息更加集中,可以通过一个查询条件,如攻击IP,查看到该IP在云防火墙对互联网边界资产的攻击情况和该IP在WAF防火墙上的攻击事件,通过深入分析聚合的日志,从而识别并构建出完整的攻击链路,并形成详细的安全事件,更方便进行安全事件的溯源。通过联动相关安全产品可以达到一键处置,全面封禁,处置速度更快速。
6.降低成本
减少人工干预的需求意味着企业可以减少在人力成本上的支出,并且由于快速响应能力,还可以避免因安全事件造成的潜在损失。由于是采用云安全产品,也减少了企业的硬件投入和软件开发的投入。
(图片由大唐电商技术有限公司
果爱龄授权提供)
扫码下载
中文网微信