OSSIM識別APT的三板斧

ossim識別apt的三板斧

許多遭受

apt攻擊的受害者所在單位擁有防火牆，防病毒系統，監控系統，但仍未能阻止威脅進入，這些系統未能感知到異常行為，直到損失被**。安全團隊應考慮到當今複雜多變的網路威脅環境，可以假設其

it環境已被或間歇性遭受到不明來歷的黑客攻擊，這時我們需要了解攻擊的各個階段的詳細情況，包括對持續的威脅見識以及快速的攻擊檢測。過去使用

cacti

、zabbix

等工具，等到在系統中發現問題時已經到了攻擊完成階段，攻擊者早已得手，並消失的無影無蹤。要提高網路攻擊的視覺化、提高對網路攻擊的敏感性和處理高階威脅的速度，

siem

（安全資訊和事件管理）是理想的平台，適合於目前企業中大規模集中資料安全分析。作為開源

siem

產品ossim

具備了以下

3個方面的能力：

（1）視覺化--

獲知異構的

it環境中，所發生的一切資訊需要多種資料來源，包括網路資料報捕獲，和完整會話的重建以及來自網路裝置、伺服器、資料庫的日誌檔案，需要將這些資料有效組織起來，通過圖形化方式展現給使用者，而且將各種檢視統一的整合到乙個位置，孤立的日誌收集系統只不過是虛有其表的擺設。

（2）擴充套件性--

收集安全資料的平台必須能在橫向和縱向進行擴充套件，以處理來自企業內部和外部的海量安全事件，深入分析網路流量的同時會產生大量

pcap

檔案，這會使安全分析平台的資料成倍增加，

ossim

通過分布式多層儲存體系結構處理了密集型資料。

（3）關聯分析-

具有一定的智慧型分析是因為內建的關聯分析引擎的緣故。傳統計算機安全機制偏重於靜態的封閉的威脅防護，所以只能被動應對安全威脅，往往是安全事件發生後才處理，面對黑客攻擊，在入侵過程中，檢測到掃瞄、注入、暴力破解和漏洞利用攻擊時

ossim

的關聯引擎從多資料來源獲得資料，通過抓包和多資料來源收最大範圍和深度收集有效資訊，比如在應用系統日誌中有相關登入失敗等異常指標，進行主動安全分析，在事件發生階段就發出預警資訊，以便管理員實現快速響應。