為了協助企業解決手法多變的外部威脅,Fortinet提出以安全織網(Security Fabric)為發展願景,建構具備適應性的安全基礎架構,以便隨著持續發展中的數位經濟,自動化調整安全性配置。
在安全織網中,FortiSIEM負責統一執行網路與資安維運管理機制,彙整來自不同節點所產生的資料,包含網路設備、伺服器、各式端點等方面,並且將資訊相互關聯,讓維運人員在單一控管介面即時監控。
提升安全織網的資安事件控管力
FortiSIEM解決方案主要技術來自2016年收購AccelOps取得。Fortinet技術顧問萬家興指出,儘管對於台灣的企業或組織而言,AccelOps知名度不高,實際上,在國際的SIEM市場上已經累積了十多年經驗,可說是相當成熟的產品。
AccelOps創始人早在2002年就有整合的概念,把所有異質平台技術的網路設備資料全數整合在單一平台執行控管,因此發展推出Protego網路安全與威脅監控設備,由於該產品線在當時較獨特,2004年被Cisco併購,也就是過去的Cisco MARS產品線。之後在2007年,AccelOps創始人又創立新公司提供SIEM解決方案,發展到2016年被Fortinet所併購,整合成為現在的FortiSIEM。
|
▲ FortiSIEM主要由收集器(Collector)、工作者(Worker)、監督者(Supervisor)所組成,每秒可處理的事件(Events Per Second)目前設計的上限為4,000,若超過則可增加掛載NFS儲存設備空間進行擴充。(資料來源:Fortinet) |
儘管FortiSIEM並非Fortinet起始研發,卻是借重在SIEM領域相當成熟的產品線技術之力,整合提供安全織網的可視性能力,以便協助企業或組織建立防禦體系。畢竟IT基礎架構環境,不可能全數仰賴單一廠商提供的解決方案,異質平台整合控管需求始終存在,SIEM平台可彙整所有日誌,透過關聯式分析引擎,主動察覺IT環境中的問題,正可讓安全織網環境藉此提升資安事件控管能力。
同時具備SIEM與網管 單一介面集中控管
|
▲ Fortinet技術顧問萬家興指出,企業或組織IT環境日趨複雜之下,整合網管與資安控管機制,提供單一平台執行搜集,並快速查找關聯性事件,才可協助降低維運複雜度。 |
對於IT人員來說,建置Log管理系統協助日常維運已相當普遍的觀念。之所以需要採用SIEM平台,萬家興指出,主要目的是解決產品線各自為政的問題,若企業IT環境本身具備眾多品牌,在資安事件或網路出錯時,必須掌握所有環節資訊,才得以釐清問題癥結。
「企業或組織IT環境日趨複雜之下,網管系統或報表系統愈來愈多,如何透過單一平台搜集,並查找關聯性事件,對於現代IT環境來說相當重要。這也是發展十多年,已相當成熟的SIEM技術,近年來備受關注的主因。」萬家興說。
FortiSIEM的特點在於不僅為資安維運管理平台,同時還具備網路維運管理功能。也就是以SIEM為基礎,整合搜集SNMP、NetFlow、sFlow網路層所產生的資料,運用關聯分析引擎分析處理,並且自動繪製成為拓樸圖呈現,讓IT管理者同時可監看資安事件、網路設備狀態、連線行為等多種資訊。
網路層資料可說是SIEM廠商以往少有涉獵的範疇,如今的FortiSIEM已完成整合,在單一介面上,可同時基於資安與網路的角度執行監控。萬家興觀察指出,資安事件的發生,有時是網路事件所導致,以往維運模式須人工查閱兩套系統的資訊,如今整併為單一平台後,資訊可全面統整,達到IT基礎架構的可視性,以便於查找資安或網路問題的根本原因。
以查詢條件設計告警 及時指出潛在威脅
從架構面來看,FortiSIEM主要由收集器(Collector)、工作者(Worker)、監督者(Supervisor)所組成,可提供彈性部署建置。萬家興說明,「FortiSIEM具橫向擴充能力,主要原因是透過Virtual Appliance方式建置於虛擬化平台環境,支援所有Hypervisor,像是VMware、Hyper-V、KVM等技術平台。至於FortiSIEM系統搭配的資料庫,是基於ElasticSearch開放原始碼的大數據平台,使用的是NoSQL資料庫與搜尋技術,較傳統關聯式資料庫設計的系統,得以搜集與查詢的資料型態更多元。」
他進一步提到,若為小型企業,只要透過Virtual Appliance型式所封裝的OVA檔案,掛載監督者提供的網頁應用程式介面,以及資料庫服務,立即可執行搜集與關聯分析;對於稍具規模的IT環境,則可透過建置於防火牆後方的實體或虛擬版本收集器,擔任異質平台資料搜集引擎,較特別的是,收集器會先行解析取得的資料,並且經過壓縮後,以HTTP/HTTPS通訊方式發送給監督者與工作者處理。
把內部的Syslog、Flow、SNMP遞送目的IP位址全數指向收集器,經過正規化整理與壓縮後傳送給監督者執行分析處理,IT管理者即可在單一介面的儀表板上選擇要查看的內容。萬家興舉例,若為多租戶環境架構,總部統一管理外部營運據點,各個據點皆可建立收集器,把所有資料集中到監督者,即可遠端監看網路與資安事件;萬一收集器部署數量較多,統一傳遞給監督者恐負載過重,此時即可搭配工作者的角色協助處理。同樣透過掛載OVA檔案啟用,監督者會把工作量卸載到工作者環境執行。
監督者系統平台具備組態管理資料庫(CMDB),存放已預先定義完成管理政策,目前大約有四百種。「以往建置SIEM難度很高,主要是因為支援度不足,透過CMDB可解決大部分設備廠商所產出的MIB、Syslog等不同屬性欄位資料,才有能力解讀來自不同機器產生的Log檔內容,進而解析與判斷。」萬家興說。
此外,CMDB可依據不同設備所定義的不同屬性欄位,以拓樸圖方式呈現,同時可依照事件分類,利用搜尋引擎操作介面執行查詢語法,深入調查特定的資安事件,或是以查詢條件設計告警機制,例如在十分鐘之內用戶登入失敗五次之後成功,有可能是猜密碼攻擊行為,即可轉化為判斷規則。