NSM(网络安全监控)周期包括三个不同的阶段:收集、检测和分析。
1、收集
NSM周期的开始,其最重要的一步便是收集。收集阶段结合软硬件方案,为NSM检测与分析生成、组织和存储数据。收集是整个周期里最重要的部分,因为在这个阶段所采取的举措将塑造一个组织执行有效检测和分析的能力。
NSM的数据类型有好几种,收集方式也有好几种。最常见的NSM数据种类包括:完整内容数据、会话数据、统计数据、包字符串数据和报警数据。根据组织的需要、网络架构和可利用的资源,这些数据可能应用于专注检测、专门分析,或者两者兼有。
一开始,收集可以说是NSM周期里需要更多密集劳动力的阶段之一,需要卷入大量的人力资源。有效的收集,需要组织的领导、信息安全团队、网络团队和系统管理团队成员的共同协调努力。
收集阶段包括如下任务:
1)定义组织中存在的最高风险是在哪里
2)识别组织目标的威胁
3)确定相关数据源
4)从数据源里提炼要收集的部分
5)配置SPAN端口收集Packet数据
6)为日志保留建设SAN存储
7)配置数据采集硬件和软件
2、检测
检测是通过对收集的数据进行检查,并根据观察到异常的事件和数据生成告警的过程。这里通常是通过某种形式的签名、异常,或基于统计的检测完成。它以最终生成告警数据为结果。
检测往往是某款软件的一个功能,这里有点像一些目前比较流行的软件程序包,从网络入侵检测系统(NIDS)的角度来看,著名的有Snort IDS和Bro IDS;从主机入侵检测系统(HIDS)角度来看,著名的有OSSEC、AIDE和MaAfee HIPS。某些安全信息事件管理(SIEM)的应用软件利用基于网络和基于主机的数据,通过关联事件来实现检测。
尽管大部分的检测是由软件来完成的,仍有一些检测通过人工分析数据源产生告警,尤其是在需要对历史数据进行追溯分析的情况下。
3、分析
分析师NSM周期的最后阶段,它发生于当一个人解释并调查告警数据时。这往往会涉及从其它数据源收集更多的调查数据,由检测机制产生的告警类型相关的开源情报(OSINT)研究,并执行与开源情报有关的任何潜在敌对主机的研究。
这里面,有多种用于分析的方法,可以包括如下任务:
1)数据包分析
2)网络取证
3)主机取证
4)恶意软件分析
分析是NSM周期里面最耗时间的部分。在这一阶段,一个事件很可能被升级为一个分级的事故,并展开对应的事故应急响应措施。
NSM周期的闭环,要从检测和分析阶段中发现的所有异常中汲取经验教训,并进一步完善组织的收集策略。