安全態勢建設需“十年磨一劍顯鋒芒”
什麼是江湖?只要有人的地方就是江湖,人在江湖,江湖在身。
第五空間亦是江湖,本質亦是人與人的博弈,萬物互聯的大資料時代,網路已深入企業的生產、運營和銷售當中,面對各種可知、可見和隱祕的安全威脅,多年來建設的安全防護技術體系不足以應對,對日益具有針對性、體系化、規模化的安全攻擊和組織,運用態勢感知做為整個安全運營和防禦的樞紐與大腦,感知攻擊行為、預測攻擊趨勢,聯動各單點安全防護能力形成合力,實現威脅的快速響應、及時處置,與其進行真實的較量,形成切實有效的安全防護,從而保護企業內部資產和業務。
而無論是SOC、SIEM還是態勢感知,面臨平臺效能與伸縮性、資料採集多樣性與標準化、安全情境關聯能力、安全響應處置成熟度、安全團隊人才輸出等問題,建設的效果往往不如預期,怎麼才能達到效果呢,這需要做好長期的規劃來建設好大資料架構的基礎設施,明確監測目標或業務場景,持續不斷的更新優化資料、演算法模型,做好基本功之後再談應急處置乃至安全運營。
平臺系統化建設的思路可分四步: 夯實大資料平臺設施基礎 -> 持續完善大資料安全分析要素與方法 -> 制定安全威脅處置手段 -> 安全人才隊伍培養 。
一、夯實大資料平臺設施基礎
-
保障平臺的靈活擴充套件性、元件相容性與資料容錯性:
- 基於分散式架構的大資料平臺,隨日誌量增長可平行擴充套件,使其擁有強大分析能力、快速查詢效率和長週期數據處理能力;
- 平臺功能模組化,提供一定的擴充套件能力,保持資料採集模組、威脅檢測模組與平臺的鬆耦合,使資料輸入、資料輸出介面相對獨立;
- 具有靈活的API介面對接能力,可與ITSM類外部系統進行互動,同時也可支援呼叫漏洞管理、威脅情報、安全合規等其他平臺的API進行資料的傳遞;
- 採集、訊息處理、儲存、檢索各元件之間保持版本相容性,保證資料的採集、傳輸、處理、儲存和使用過程中的流轉度、保真度;
- 資料採集、程式支援及儲存元件ES要有容錯機制,解決資料讀取失敗自動重傳錄入、程式假死、儲存裝置宕機等問題。
-
提升安全分析引擎綜合能力
安全分析引擎能夠提供多種分析能力,基於安全威脅不同型別提供不同的分析方法,對安全威脅情況進行刻畫,使用實時分析、離線分析、智慧搜尋進行威脅檢測及態勢場景分析,為安全告警、安全態勢、威脅預警等上層功能提供資料支撐。
-
做好資料“四可”治理,打通資料壁壘
資料不僅僅為日誌事件還要包括情境資訊、業務資訊,是安全分析的關鍵因子,要考慮資料多樣性、標準化、分類分級及共享機制,而資料自身的安全防控也不可缺少,這些問題的規避需要通過資料“可知、可用、可管、可控”做好預處理。
- 資料“可知”: 資料來源多樣化,不同部門間有共性資料,也有特性資料,針對共性資料定義統一解析標準。
- 資料“可用”: 建立跨部門協調決策機制,來平衡部門間資料共享的難度,保證業務資料獨立性、共性資料統一、全量資料可重複利用。
- 資料“可管”: 對資料進行分類分級,規定資料提取的範圍,依據介面規範明確資料提取的形式和格式,推動資料採集、保證採集資料質量。
- 資料“可控”: 在資料共享、使用的過程中應當做好脫敏脫密、明確使用者的許可權範圍,保護資料機密性的同時避免資料被濫用。
二、持續完善大資料安全分析要素與方法
大資料安全分析其實就是資料探勘與分析的過程,用資料來發現問題和尋找解決方案,通過資料獲取、處理、分析和展示四個環節,來快速解決安全威脅(5W1H):
- WHO-誰來攻擊的?(人物)
- WHEN-什麼時間發生的攻擊?(時間)
- WHERE-攻擊發生的地點?(地點)
- WHAT- 攻擊的物件是什麼?(物件)
- WHY-攻擊發生的原因?(憑據)
- HOW-攻擊是怎麼發生的?(動作)
1、明確安全分析目標,按需獲取分析三要素
The Relationship Among Use Cases From Gartner
- 場景:要解決什麼安全問題?
網際網路攻擊:外部黑客攻擊檢測、勒索病毒防範、DDOS攻擊等;
內部攻擊:資料防洩漏偵測、內部資產風險監測、內部人員違規等;
業務風控:薅羊毛、撞/脫庫、異常業務辦理、介面安全分析、業務風險雲圖等。
- 資料:需要什麼樣的資料來源?
Activity : 日誌、流量、應用、終端、元資料及其它第三方資料等;
Context : 使用者身份、資產、脆弱性資訊、行為資訊、情報資訊。
- 分析:運用什麼樣的分析方法?
關聯分析(專家規則)、動態基線(使用者行為分析)、機器學習(模型分析)、對比分析(威脅情報關聯)、使用者畫像等。
-
依據場景和資料建立相適的分析演算法/模型
在使用分析演算法和建模之前,需要了解研究的物件是什麼,通過業務場景多維度挖掘可用的資訊,依據維度數值特徵和統計特徵建立合適的演算法模型。同一個場景可能存在很多不同的檢測方法,例如Webshell的異常檢測:
- 最直接的方法就是使用字元進行規則匹配,這種做法準確率高、速度快,但是隨著時間的變化規則庫中的字元就會過時,達不到預期的檢測效果;
- 通過把url轉換成詞向量,使用分類模型(例如隨機森林)的方法可以在某種程度上補充規則的不足,但是這種做法還是沒法做實質性的提升,同時這種還需要大量的label資料;
- 通過對webshell網頁訪問路徑和其它正常網頁訪問路徑的被訪問區別(例如頁面出入度、頁面曝光時間、來訪IP數量等維度存在差異),將網頁訪問路徑這方面的屬性提取,利用非監督學習(如孤立森林)有針對性的將webshell網頁被訪問特徵孤立出來達到檢測webshell的目的,但是這種做法需要的後期驗證較多。
所以在建模時需要綜合考慮企業的實力、安全需求和各種演算法的優缺點,從實際情況出發選擇演算法。目前主流的分析演算法包括分類、聚類、關聯分析等,對於在異常檢測中的應用,可從場景概念、資料屬性、當前挑戰、常用手法四個角度來看。
-
基於Threat Hunting安全攻擊威脅分析方法
所謂“知彼,方能出奇制勝”,對於黑客的非法入侵也有行跡可尋,基本的套路是reconnaissance(偵察),weaponization(武器構建),delivery(載荷投遞),exploitation(漏洞利用),installation(安裝植入),command and control(C2)(指揮和控制),and actions on objectives(目標達成)7個階段,每個階段都有特定的攻擊手段。基於洛克希德·馬丁Cyber Kill Chain攻擊鏈模型,構建網路攻擊生命週期,提供安全分析與監測、安全防禦與控制的全景圖。
網路攻擊生命週期
依據黑客攻擊的路徑和手段,建立基於Threat Hunting安全攻擊威脅分析方法,對安全事件結果提供以攻擊技術為分類的展示功能。將攻擊過程簡化為探測、攻擊、安裝、控制四個級別,在攻擊過程中快速瞭解目標資產的傷害程度、攻擊者的意圖、利用的工具等等,實現針對性的策略響應,比如黑IP禁用、攻擊範圍限定等,必要時配合蜜罐蜜網進行主動欺騙防護,幫助管理人員爭取更多的響應時間,避免威脅的範圍擴散和資產價值的進一步損失。
- 探測階段:攻擊者通過掃描、釣魚及社工等方式來獲取主機、應用系統及網路裝置存在的漏洞。
- 攻擊階段:針對探測階段發現的漏洞,制定攻擊策略及攻擊工具,實施有針對的攻擊。攻擊活動包括暴力破解、訪問控制漏洞利用、業務邏輯漏洞利用及系統可用性攻擊等。
- 安裝階段:攻擊者進行檔案上傳及漏洞利用的過程。攻擊活動包括上傳指令碼、上傳木馬、上傳病毒、訪問繞行及許可權提升等。
- 控制階段:攻擊者發起潛伏、隱藏行跡及發起攻擊等過程。攻擊活動包括橫向移動、嗅探、資料收集、外部通訊等。
-
安全威脅視覺化,洞察網路環境和資產安全動態
- 問題導向 – 從一個客觀存在的安全問題,深入、細化到問題內部的方方面面,分解出問題考量的安全指標。
- 資料分析 – 將海量的、複雜的、看起來無法關聯的資料通過資料探勘建立關聯關係,獲得具有分析價值的資訊。
- 可視設計 – 將抽象的資料轉化為可見的圖形符號,用人可理解的圖形語言來描述資料的內涵。
通過在海量資料中提取真正需要關注的碎片化內容,與使用者的個性化安全場景、業務安全指標的關聯,利用圖表工具簡單直觀的去描述網路環境和資產方面的安全狀態、安全趨勢來發現和解決問題。
江湖俠客VS黑紅客
安全的攻與防猶如江湖俠客過招,通過了解對方的名諱,觀察對方的樣貌、服飾、兵器、口音甚至感觀氣場等,快速搜尋所掌握的資訊,判斷對方為何派別,擅長使用的招式、功法,功力達到什麼層次,結合對戰周邊的環境資訊,根據自身修煉情況選擇對招致勝的策略。這不就是態勢感知在收集有效資料,利用分析引擎對安全威脅進行檢測,快速查詢威脅情報中有關風險資訊,綜合分析出攻擊者的攻擊意圖、攻擊工具、攻擊手段、攻擊路徑以及預測攻擊,在網路殺傷鏈(Kill chain)被成功攻擊之前,聯動自身防禦能力進行阻攔、截斷,也就是所謂的“破招”。
三、制定安全威脅處置手段
-
跨部門協作,實現處置“五步”閉環
安全事件處理流程應定義不同級別的事件需要什麼樣的人,在多長時間內按什麼標準處理完成。當發現安全威脅時,能以郵件、簡訊、微信等方式提醒通知平臺運維人員,通過前期的預判分析,明確威脅型別和級別,按照事先定義好的處理流程,以工單類形式傳送給相關責任人進行處理;在規定時間內完成處理和反饋,平臺運維人員核查處置效果,並對安全威脅進行風險評估,判斷是否存在殘餘風險,如存在,則繼續分析、抑制和恢復整改;最後對發生的安全事件、處置方法、處置效果等進行總結記錄加入知識庫,當發生相似事件時為處置人員提供參考依據。
在此基礎上制定安全威脅應急處置預案,對影響範圍廣、影響程度高的高階安全威脅提前做好應對措施,形成行之有效的網路安全協同處置機制,最終實現根據事件的型別與級別把事件處理工作分流到對應的責任單位或人,完成從“預判-派發-反饋-核查-總結”五步閉環。
-
安全任務統一管理,完善安全臺賬工作
通過安全任務管理模組實現安全督促、安全檢查和安全彙總,做好協調和安全臺賬完善工作,起到自我督促、強化安全管理的作用。安全任務管理模組包括訊息推送、事件通報、計劃管理、策略管理、報告報表等。
- 訊息推送與事件通報:按需向各管理人員推送安全訊息,比如業務安全指標情況、行業安全資訊、監管政策等,高效挖掘與業務價值有關的資訊;對錶彰性、批評性和政策性的安全事件/活動進行通報,傳達管理層“重要精神或情況”,提高網路安全保護意識,明確哪些事情該做哪些不該做。
- 計劃管理:結合PMP進度管理思想,將重大安全任務(如攻防演練、重大活動保障等)分割細化,明確任務完成的時間和負責人,讓管理層實時瞭解任務進展情況,在任務推動困難時,可進行資源的排程。
- 策略管理:統一制定全網安全策略,下發給各相關部門進行配置落實;結合業務的變化、各部門反饋來的意見,不斷調整、優化安全策略。
- 報告報表:面對管理層和管理員需提供不同的安全報告,對安全事件綜合分析,把控全域性安全狀況和安全態勢資訊,提供不同層級的安全決策支援。
-
第三方安全服務協調機制
- 安全響應支撐服務
基於第三方提供的安全事件響應及技術支援服務,服務內容可為遠端協助服務、安全分析服務、策略優化服務、應急響應服務、重大活動保障服務等。以保障業務系統可用性及業務連續性為目標,提高安全事件排查效率,並通過事件分析和整改建議來降低安全事件發生率。
- 行業威脅資訊管理
基於第三方安全廠商威脅監測的知識庫共享,監測全球安全事件和行業威脅,及時發現針對行業的安全事件,實時推送預警和防護方案,快速調整策略應對安全威脅,形成“行業威脅監測-風險主動預警-防護策略調優”處置鏈。
- 定期巡檢和培訓
定期巡檢服務除了資訊系統健康檢查、裝置系統故障排除,更應輔助使用者對威脅檢測規則進行優化,提高威脅檢測率;更新最新威脅檢測模型,及時應對新型威脅等。
定期展開產品的專業技術交流、新技術新應用等培訓,通過知識傳遞,讓平臺管理人員能夠掌握相關知識並具有相關技能。
四、 安全人才隊伍培養
藉助在平臺系統化實施工作的過程中,培養一支有素質、有水平、作風優良的複合型人才隊伍,以“人”為本,依據平臺的建設、流程的制定實現安全運營,運營團隊的人員配備和能力培養考驗的是安全責任人或首席安全執行官(CSO)的經驗與學識,所以安全責任人或首席安全執行官(CSO)是整個運營團隊最重要的一個角色,為了更好的貫徹安全策略以及完成日常的運營工作,其他人才也必不可少,至少包含安全運維人員、安全分析人員、安全運營人員等。 
- 安全責任人或首席安全執行官(CSO),負責整個機構的安全執行狀態,對公司內部的安全工作進行監督、協調,為平臺相關的部署、成本、必要技術、裝置以及員工培訓等方面提供決策;
- 安全運維人員,負責7*24日常監控、事件響應、初步調查、資訊通告、日/周/月報等;
- 安全分析人員,負責安全檢測規則/模型和安全二線、事件調查、安全分析報告、規則/模型持續改進等;
- 安全運營人員,負責運營工作規範、響應與處置流程的制定、應急預案的制定、安全運營報告與管理層彙報等。
通過以上四個步驟完成平臺系統化建設,做到安全威脅事前、事中及事後的靈活應對,提高運維及應急響應速度和質量,將安全威脅的閉環處置週期縮短,大幅降低安全風險及處置成本,構建成為預警、防護、檢測、響應閉環的自適應安全運營體系,實現安全與業務發展的緊耦合。
最為重要的是,平臺系統化的建設是一個持續優化和運營的過程,首要前提是需要公司和高層的大力支援及持續的安全投入,其次需要在不斷的實戰中進行磨合、沉澱,感悟實戰經驗後,通過長時間的持續對抗進行資料補充優化、場景建模優化、應急處置流程優化、安全服務團隊優化的過程,結合企業自身的業務、組織架構和安全管理制度,運用PDCA來不斷的校驗、改正、提升,以技術硬實力震懾,讓攻擊者付出巨大的攻擊成本而自然避讓,所以“十年磨一劍方顯鋒芒”。
未來態勢建設技術應用趨勢
- 威脅情報
在業界已經談了很多年,由於企業安全防禦理念向“主動檢測響應”的轉變,使其更加受到關注和熱議,以“威脅情報驅動”的威脅檢測體系將是趨勢。從實用性上,要考慮情報的Accuracy(準確性)、Relevance(相關性)、Timeliness(時效性);從落地性上,要考慮如何利用情報提升網路安全,進行威脅情境關聯、告警溯源查詢、安全資料與情報自動化對比、行業威脅資訊管理等。將威脅情報與態勢感知或大資料安全分析平臺結合,補充安全威脅強關聯的上下文資訊,增強安全團隊對各類威脅的識別能力;在威脅處置可實施性方面提供建議,縮短安全事件發現和分析週期,提升安全團隊處理威脅的響應效率。
- 安全運營自動化和編配技術
企業戰略集團(ESG)的研究表明,19%的企業組織(比如超1000員工數的企業)已經在廣泛引入安全運營自動化和編配技術,39%正有限度的開展此項工作,26%參與了增加安全運營自動化與編配技術的專案,13%計劃在未來實現安全運營自動化與編配技術。 (此段摘自安全牛)
不管是從市場勢能、使用者效益還是為了實現SOAR原生功能的擴充套件來打造企業級SOAP/">SOAPA平臺,積極推動了此項技術的發展,自動化和編配將發展成為平臺不可或缺的安全工具。
通過理解每一項安全任務工作流,收集全流程所需的資料,對其整個生命週期進行記錄、管理和跟蹤,實現平臺支撐人員、安全運營團隊及IT運營團隊間所必要的交接。將簡化例行程式、減少重複性任務的情況,實現良好的“全自動化”;將可能影響IT基礎設施和業務執行的情況,以“半自動化”方式進行輔助,自動化收集所需資訊,用“人工”的方式對可用資料進行呼叫。通過自動化安全檢測、自動化互動式分析、自動化響應處置,來提升整體安全響應的效率,解決企業資訊保安人才短缺的問題。
【作者簡介】
擅長領域:專案管理、安全解決方案、大資料安全產品。