[url]http://blog.sina.com.cn/s/blog_60c3194c0100dpdd.html[/url]
OSSIM确实功能比较强大,因为其定位与SIM,所以完全具备了PDRR,也包含了PDCA。内部集成了NM领域(Nagios,ntop),Security领域的HIDS(osiris,snare,ossec),NIDS(snort,acid),漏洞扫描(nessus),以及诸多ossim的插件(plugsin)。能与部分AV厂家日志融合(趋势、symantec),支持网络设备(cisco);提供了简单的关联分析;提供了dashboard(简报面板)。可以这么说,目前世面上稍微稳定点的概念产品功能都集成了。
不过,它没有集成Hyperic HQ产品,所以数据库监控效率不高;集成的产品比较多,展示风格不太统一;为集成mrtg(未找到),所以无法调出交换机等的背板流量曲线(家里条件不具备)。
我个人认为,只要完成如下工作,就可以将其修改为一个非常友好的SOC。
1、增加C/S的网络安全拓扑图。不是我喜欢回到C/S时代,C/S在展示拓扑图上,确实有其优势,可以将图像生成放在客户端上,减轻服务端的负担,从而可以生成优美的拓扑界面,改变当前呆板的式样。Nagvis虽然可以生成美观的图像,但在IE里展示图像,目前还是无法与C/S媲美。
2、增加快速响应功能。目前ossim上的响应都是先配置一个action,然后再利用此action。这个是个优雅方法。但是,现场发生情况时,不能这么优雅。看到设备上新起了可疑进程、激活了可以用户时,最快速的方法不是在收到告警后去制定一个action,然后再下发该指令,让sensor去执行。这样太慢了。而应该是快速结束进程、中断用户session。最后才能为这类新事件添加一个action,等下次再发生时就能自动执行了(我一直怀疑自动执行,因为在某些时候,可能会非常滞后了)。
3、增加审计。ossim的审计功能我个人认为比较不尽人意,其报表只能满足简单要求(开源能做到这步已经非常好了)。如果要做成产品,必须增加典型场景自动审计(与用户业务环境耦合);此外,需要增加手工审计功能。手工审计我希望能做成象google一样的搜索引擎,用户可以对中心日志文件(或日志库)进行任意检索,并作出自己的决定。
4、承3,需要增加一个日志中心服务,保留所有的日志,并完成搜索引擎功能。此外,还需要提供搜索结果转IDMEF格式xml的功能,互联是网络产品的出路,不能拒绝与别的产品互通。而IDMEF是标准化的攻击消息交换格式,可以直接给其他安全产品用(直接提供syslog格式也可以,不过太不专业了)。
5、增强关联分析。是的,ossim已经提供了简单关联分析(我认为还是有点简单),我们还需要增强。增加关联的力度,深度挖掘(用户在利用搜索引擎时积累下的经验,可以变换成关联规则,并被自动执行)。
6、增强资产管理。ossim的资产管理还是不好用。最大的缺陷是:你只能配置资产、或采集局部资产。而SOC应该以资产为基础核心,事件为其通信核心。所以SOC在配置了资产下去后,应该时刻关注设备上的所有资产。配置资产与采集资产不一致时,就是违规了。这点ossim没有实现(我认为是这样的,如果你找到了,请告诉我)。
7、增加文档管理。ossim集成了snare,可以有效管理文件的创建与访问,但是,文档也是企业的资产核心(另外一个是数据库)。需要增加文档拷贝、部分复制、外发等安全管理。真正做到文件生命周期管理:文件申请、授权、拷贝、销毁。
8、增加数据库管理。我未看到ossim的数据库管理亮点,所以才强调本点。数据库管理除了性能外,还包括数据库连接、访问、访问特定表的前后顺序管理。最好是在特定数据表访问前,将请求包都保存起来,用于自动审计、场景审计和手工审计。
9、增加主机/终端接口管理。ossim利用snare可以监控usb呢,真是棒极了。70%的信息泄漏是内部员工引起的,监控住了USB,就可以将这70%中的80%管住吧(80-20原理)。此外,蓝牙、CDRW、WiFi都可以泄漏、打印机也会泄漏。将通过这些接口外发的文件都监视起来,可以安全不少吧?
10、增加外发邮件管理。邮件管理可以集成邮件管理专用软件或插件来完成。
11、增加内容过滤、url过滤管理。我非常奇怪,ossim为何不增加这样的插件,至少给个提示也好呵,可它根本未涉及。难道它只关注os基本,不关注应用?SOC需要关注企业应用呢。
12、增加认证功能(CA最好)。包括节点认证、用户认证。ossec的客户端需要一个author码,nagios不要。要将ossim包装成一个可接受的产品,必须增加此功能。
13、集成ossim的客户端集合功能。ossim的客户端繁多,不修改直接来用,肯定会引起用户反感。需要对其进行整合,一键启动、一键停止。
14、增强用户终端管理功能。ossim的客户端都是瘦客户端,管理功能比较弱(因为其功能单一)。用户终端至少应该有环境检测、网络诊断、脚本执行功能吧?我希望增加防火墙功能、本地合归性检查功能(是否安装了非法软件、是否未升级补丁、到期的文档是否已经删除等)、简单防rootkit功能。同时,自身必须利用rootkit技术进行必要的数据隐藏,防止用户断线后进行的违规活动记录被清理,防止用户随意卸载。
15、增加与企业业务耦合的插件,为客户业务服务是SOC的宗旨。只有安全成为了一个关键业务因素时,用户才愿意为安全付费。在其未充分重视此点之前,SOC只能为业务服务。
16、增加知识库。ossim没有知识库概念。出于isms或soc的普通合规性,我们也要提供知识库,以便与用户共同进步。
市场开拓
1、为ossim是开源,所以适应将新增的功能做成plugsin,这样即使不公布源代码也未违法GPL。
2、整个产品做成一个box,收取硬件费用、施工费用、插件开发费用、培训费用、维护费用,ossim免费。
3、定制报表。为用户提供定制报表,定制报表收费。
4、OEM,如果哪个企业有开发或进入安全关联领域,可以联系我们
OSSIM确实功能比较强大,因为其定位与SIM,所以完全具备了PDRR,也包含了PDCA。内部集成了NM领域(Nagios,ntop),Security领域的HIDS(osiris,snare,ossec),NIDS(snort,acid),漏洞扫描(nessus),以及诸多ossim的插件(plugsin)。能与部分AV厂家日志融合(趋势、symantec),支持网络设备(cisco);提供了简单的关联分析;提供了dashboard(简报面板)。可以这么说,目前世面上稍微稳定点的概念产品功能都集成了。
不过,它没有集成Hyperic HQ产品,所以数据库监控效率不高;集成的产品比较多,展示风格不太统一;为集成mrtg(未找到),所以无法调出交换机等的背板流量曲线(家里条件不具备)。
我个人认为,只要完成如下工作,就可以将其修改为一个非常友好的SOC。
1、增加C/S的网络安全拓扑图。不是我喜欢回到C/S时代,C/S在展示拓扑图上,确实有其优势,可以将图像生成放在客户端上,减轻服务端的负担,从而可以生成优美的拓扑界面,改变当前呆板的式样。Nagvis虽然可以生成美观的图像,但在IE里展示图像,目前还是无法与C/S媲美。
2、增加快速响应功能。目前ossim上的响应都是先配置一个action,然后再利用此action。这个是个优雅方法。但是,现场发生情况时,不能这么优雅。看到设备上新起了可疑进程、激活了可以用户时,最快速的方法不是在收到告警后去制定一个action,然后再下发该指令,让sensor去执行。这样太慢了。而应该是快速结束进程、中断用户session。最后才能为这类新事件添加一个action,等下次再发生时就能自动执行了(我一直怀疑自动执行,因为在某些时候,可能会非常滞后了)。
3、增加审计。ossim的审计功能我个人认为比较不尽人意,其报表只能满足简单要求(开源能做到这步已经非常好了)。如果要做成产品,必须增加典型场景自动审计(与用户业务环境耦合);此外,需要增加手工审计功能。手工审计我希望能做成象google一样的搜索引擎,用户可以对中心日志文件(或日志库)进行任意检索,并作出自己的决定。
4、承3,需要增加一个日志中心服务,保留所有的日志,并完成搜索引擎功能。此外,还需要提供搜索结果转IDMEF格式xml的功能,互联是网络产品的出路,不能拒绝与别的产品互通。而IDMEF是标准化的攻击消息交换格式,可以直接给其他安全产品用(直接提供syslog格式也可以,不过太不专业了)。
5、增强关联分析。是的,ossim已经提供了简单关联分析(我认为还是有点简单),我们还需要增强。增加关联的力度,深度挖掘(用户在利用搜索引擎时积累下的经验,可以变换成关联规则,并被自动执行)。
6、增强资产管理。ossim的资产管理还是不好用。最大的缺陷是:你只能配置资产、或采集局部资产。而SOC应该以资产为基础核心,事件为其通信核心。所以SOC在配置了资产下去后,应该时刻关注设备上的所有资产。配置资产与采集资产不一致时,就是违规了。这点ossim没有实现(我认为是这样的,如果你找到了,请告诉我)。
7、增加文档管理。ossim集成了snare,可以有效管理文件的创建与访问,但是,文档也是企业的资产核心(另外一个是数据库)。需要增加文档拷贝、部分复制、外发等安全管理。真正做到文件生命周期管理:文件申请、授权、拷贝、销毁。
8、增加数据库管理。我未看到ossim的数据库管理亮点,所以才强调本点。数据库管理除了性能外,还包括数据库连接、访问、访问特定表的前后顺序管理。最好是在特定数据表访问前,将请求包都保存起来,用于自动审计、场景审计和手工审计。
9、增加主机/终端接口管理。ossim利用snare可以监控usb呢,真是棒极了。70%的信息泄漏是内部员工引起的,监控住了USB,就可以将这70%中的80%管住吧(80-20原理)。此外,蓝牙、CDRW、WiFi都可以泄漏、打印机也会泄漏。将通过这些接口外发的文件都监视起来,可以安全不少吧?
10、增加外发邮件管理。邮件管理可以集成邮件管理专用软件或插件来完成。
11、增加内容过滤、url过滤管理。我非常奇怪,ossim为何不增加这样的插件,至少给个提示也好呵,可它根本未涉及。难道它只关注os基本,不关注应用?SOC需要关注企业应用呢。
12、增加认证功能(CA最好)。包括节点认证、用户认证。ossec的客户端需要一个author码,nagios不要。要将ossim包装成一个可接受的产品,必须增加此功能。
13、集成ossim的客户端集合功能。ossim的客户端繁多,不修改直接来用,肯定会引起用户反感。需要对其进行整合,一键启动、一键停止。
14、增强用户终端管理功能。ossim的客户端都是瘦客户端,管理功能比较弱(因为其功能单一)。用户终端至少应该有环境检测、网络诊断、脚本执行功能吧?我希望增加防火墙功能、本地合归性检查功能(是否安装了非法软件、是否未升级补丁、到期的文档是否已经删除等)、简单防rootkit功能。同时,自身必须利用rootkit技术进行必要的数据隐藏,防止用户断线后进行的违规活动记录被清理,防止用户随意卸载。
15、增加与企业业务耦合的插件,为客户业务服务是SOC的宗旨。只有安全成为了一个关键业务因素时,用户才愿意为安全付费。在其未充分重视此点之前,SOC只能为业务服务。
16、增加知识库。ossim没有知识库概念。出于isms或soc的普通合规性,我们也要提供知识库,以便与用户共同进步。
市场开拓
1、为ossim是开源,所以适应将新增的功能做成plugsin,这样即使不公布源代码也未违法GPL。
2、整个产品做成一个box,收取硬件费用、施工费用、插件开发费用、培训费用、维护费用,ossim免费。
3、定制报表。为用户提供定制报表,定制报表收费。
4、OEM,如果哪个企业有开发或进入安全关联领域,可以联系我们
扫一扫
3008
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
