观点 | 网络安全态势感知浅谈
欢迎金融科技工作者积极投稿!
投稿邮箱:newmedia@fcmag.com.cn
——金融电子化
文 / 中国农业银行数据中心 张升 秦玮 温景容
近年来,随着网络安全形势愈加严峻,传统的单一边界防护手段已无法满足需求,业界目前普遍采用多道防线的纵深防护体系,但面对如此多的防御工具如何提升效率,并实现“1+1>2”的效果,网络安全态势感知作为一种主流解决方案,从概念提出到过热炒作,现在正处于逐步落地阶段,并伴随着安全运营的发展不断优化完善。大型商业银行作为国家关键信息基础设施的一员,积极落实习近平总书记“全天候全方位感知网络安全态势”的指示,成为网络安全态势感知技术实践的排头兵。
“态势感知”由来及定位
“态势感知”最早来源于美国军方的军事对抗,目的是了解敌我双方的各种信息,实现知己知彼、百战不殆,故网络安全态势感知本质上是站在“网络安全”的维度,对各类风险、威胁、以及自身状况进行收集、分析,以应对可能出现的安全风险,取得攻防对抗的胜利。
网络安全态势感知概念早期主要由SIEM/SOC类产品承载,定位于安全日志的统一收集、安全事件分析和审计,代表如ArcSight,但由于技术成熟度和人员要求高等原因,成功案例并不多见。2016年后,受益于国家层面重视,网络安全态势感知进入蓬勃发展阶段,但初期却出现了新瓶装旧酒、“态势感知是个筐,什么都能往里装”的现象,而经过近几年发展,攻防实战需求和大数据技术能力成为态势感知成功落地的底层驱动。一方面从需求角度,单点防护和已知特征检测等技术已经不能满足复杂的安全形势和实战对抗需求,需要采用更深层、更多样的综合防护措施;另一方面从技术角度,大数据、流处理等技术迅速发展,海量数据的存储、处理可以较低成本实现,传统数据库向ELK、Flink技术栈转型,复杂的规则编写向快速的组合检索转变,这些为态势感知提供了技术支撑,越来越多的成熟实践开始涌现。
目前态势感知进一步由标准化产品向定制化适配的落地阶段,整体来看主要分两个大类:一是定位于监管和行业需求的,主要侧重于整体的监控统计、态势展示、指挥通报等,比如人行牵头的金融业网络安全态势感知与信息共享平台等;二是定位于企业自身需求的,主要侧重于高级威胁发现、告警准确率提升、监控分析响应处置的一体化和自动化、运营效率的提升等。所以谈论态势感知,首先要明确是站在哪个角度,本文主要定位于后者。
整体技术架构
态势感知最基本的首先是感知,也就是“看得见”的能力,这就需要有大量的信息输入,抽象起来无非是各个端点的状态,以及端点间传递的信息,具体来说就是各类端点的日志和网络中的流量,通过对输入信息的统计展示获取当前整体的网络安全态势情况。
目前业界厂商的态势感知往往更深一层,通过对不同来源的多类日志进行关联分析,对多种规则和事件进行逻辑组合,建立场景化的检测模型,从而更准确地发现隐蔽的攻击行为。但对于银行为代表的甲方单位而言,了解态势和发现问题只是开始,更重要的是确认影响、解决问题、迭代优化、形成闭环。立场的不同决定了标准的态势感知产品基本不可能开箱即用,必须深入现场,迭代需求再进行定制开发和系统对接,这也是安全态势感知项目以及之前各类SIEM/SOC平台,实施成功率不高的一个重要原因。
如图所示,是一个甲方视角的态势感知平台基本架构,主要包括采集层、核心处理层、操作展示层,基本思路是通过综合多源信息提供企业安全状况的度量展示,通过设计场景化检测模型提高安全检测的深度及广度,通过情报、资产、漏洞等模块建设提升安全事件发现、定位及处置效率,通过内部系统对接和自动化响应等实现数字化流转及问题闭环,最终实现摸清家底、认清风险、找出漏洞、解决问题。
图 网络安全态势感知平台基本架构
1.采集层
采集层主要分为日志和流量采集、情报采集、资产采集、漏洞采集4大部分。日志和流量采集是狭义态势感知的主要数据源,包括各类安全工具告警日志、系统日志、终端日志、网络日志、关键网络流量等,考虑数据量较大且为了后期灵活性,可以采用建立日志资源池的方式,实现灵活的调取消费,或对接其他数据分析平台及监管报送系统。同时在采集方式上,除了被动收集以外,还应支持Kafka、API、数据库查询等主动方式。
情报采集主要是指多源情报获取,包括商业、开源、监管、内生等渠道。目前不同厂商、不同来源的情报内容差别较大,根据需求是侧重出站IOC还是入站攻击IP,选择高质量两三个即可。
资产采集本身属于企业IT建设中配置管理的一部分,多数企业也建设了自己的CMDB,但其实时性和准确性却是业界难题,并且从安全的角度,往往传统的CMDB并不能完全满足需求。在安全态势感知中,可以从5个方面尝试:一是对接现有CMDB获得基础信息;二是采用主动探测技术,包括内外网空间测绘、漏洞扫描等;三是通过主机Agent获取一些更详细信息,比如应用框架、组件版本等;四是通过被动流量发现较为隐蔽的资产,入库后可再进行详细信息获取;五是对于增量资产,可结合变更系统等,在源代码审计、系统上线、网络开通等环节,获取组件版本、系统名称、责任人、IP地址、访问关系等,自动纳入安全资产库。
漏洞采集主要分为公开漏洞和自有漏洞两个方面。对于公开漏洞,主要是采集业界爆发的中高危安全漏洞,将其纳入企业自身漏洞库。自有漏洞主要是通过漏洞扫描、渗透测试、红蓝对抗、众测、攻防演练、自有/厂商SRC等渠道获取。
2.核心处理层
核心处理层是态势感知最重要部分,主要负责进行汇总处理、逻辑设计、功能实现等,包括SIEM、威胁情报中心、资产库、漏洞库、响应中心等。
SIEM是整个态势感知平台的核心,主要是对日志、流量等进行解析、存储和分析,定义场景化的关联规则模型,检测可疑行为,提供安全分析和调查取证能力等,同时为实现安全监控一体化,SIEM还应对安全工具的性能容量及可用性进行监控。
威胁情报中心主要是对采集的多源情报进行汇总管理,包括通过安全监控运营产生的内部情报库。其对接SIEM,提供自动化的IOC输入及API查询等功能,并且具备人工查询及溯源能力,为安全监控及运营全面赋能。
资产库主要是对采集的资产信息进行存储、管理、对接赋能等,并进行交叉调用补全字段,可根据漏洞库获取的公开漏洞信息,自动从资产库中排查受影响资产,快速定位并产生告警推送。
漏洞库主要是对公开和自有漏洞进行存储和管理。公开漏洞主要用于资产比对定位受影响资产,另外也作为漏洞排查及扫描的输入;对于自有漏洞,主要实现漏洞的全生命周期管理。
响应中心是指自动化操作编排SOAR。通过脚本对接各类安全工具,针对不同场景,编排可视化预案,并引入智能化决策引擎,针对不同情况自适应调整,如IP封禁中,通过情报标签、IP属性、地域、封禁历史等因子生成不同封禁时长策略。
3.操作展示层
操作展示层主要提供人机交互展示、流程管理等功能,包括态势展示、告警管理、工单管理、开放接口等功能,和安全运营监控及管理流程紧密结合,是定制化开发工作量最大的部分。
态势展示是对企业当前的安全状况进行直观显现,包括大屏态势、小屏统计、指标展示等,是态势感知的基础含义。告警管理是对SIEM分析研判后的告警事件进行监控呈现、流转、处置记录、告警关闭、历史查询等一系列操作进行管理。工单管理主要是对生成的告警单等进行管理,对接现有办公/运维系统,实现流转、代办等,形成闭环,量化安全运营效率。开放接口主要是用于和生产运行监控、办公、邮件等外部系统对接,提供告警推送、待办提醒、资产查询等服务。另外操作展示层还包括漏洞管理、待办、知识库等相关客户化定制功能。
建设思路
1.分期建设,看得见的目标
网络安全态势感知平台建设的工作量大、涉及面广,往往采用分阶段多期建设的方式。每一个阶段需要明确具体的目标,并且是看得见的目标。因为对于态势感知这类高复杂度的项目建设,采用最小化可行产品MVP实现小步快跑,让领导和相关方尽快看到成绩,才会获得更大支持,才能更有利于推动一些复杂工作的开展。比如完成基本日志采集后就可以进行场景分析模型设计、告警监控等;然后再逐步基于场景补充日志和情报等,迭代提升告警准确性;后面再进一步融入资产和漏洞等功能。
2.场景化的模型设计
态势感知的核心是SIEM,而SIEM的核心在于场景化分析模型的设计。对于SIEM的定位,主要是通过增加更多信息量来减少不必要的告警,并发现更隐蔽的攻击或恶意行为。所以在场景化检测模型设计时也应从这两方面出发,一是提炼消除,例如无实质影响的僵尸网络扫描、爬虫等,可从时间、频次、范围等维度设定规则,通过关联归并等,并结合威胁情报对其封禁,消除大部分的无效告警;二是关联深挖,结合“攻击链”、ATT&CK等,在攻击的多个阶段设置检测点,建立关联分析模型,提升告警准确性,比如对曾被攻击的资产发出的外联行为或内网扫描就应特别关注。下表列举了部分简单的场景规则,具体需要通过持续的安全运营进行优化完善。
表1 场景化检测模型
3.持续的安全运营
安全运营是近年业界的热门话题,其本质是将传统的安全工作更加体系化、指标化,形成螺旋上升的迭代优化过程。态势感知平台为安全运营提供技术支撑和抓手。态势感知平台建设中各类日志的收集、场景模型的设计、统计指标的展示都是在不断促进安全运营成熟度的提升;可用性监控、关联分析研判、威胁情报引入、资产漏洞匹配及自动化处置流转,一方面提高设备及规则的有效性,另一方面也提升了告警准确性和安全运营的整体效率。
同时,态势感知平台的建设也离不开安全运营体系的支持,比如对态势感知平台的告警谁来监控、如何流转处置、如何关闭,自有漏洞如何定级、谁来处置、时限要求等均需在安全运营的制度规范中明确;采集日志不断扩充、分析模型持续优化、资产信息准确性提升都依赖于日常运营,且通过安全运营也可以对态势感知平台的有效性进行验证。所以态势感知平台的建设是随着安全运营持续优化完善的,并不是一蹴而就的交钥匙工程,这就要求甲方保持一定的自主开发迭代能力,持续开展优化工作。
4.安全编排、自动化与响应SOAR
安全编排、自动化与响应(SOAR,Security Orchestration Automationand Response)是近年来热起来的概念,并受重保活动刺激迅速成为业界热议话题。其本质是通过预置标准化预案,形成自动化的闭环响应过程,属于态势感知平台的拓展功能,将事件、人、技术、流程有机的结合起来,基于SIEM分析模型自动进行响应,并可引入智能化决策,比如对恶意扫描进行IP封禁,针对终端病毒利用资产库获取人员信息后自动发送弹框提醒或邮件,对沙箱检测出的恶意文件的收件人发送提醒邮件等,通过一个个检测响应循环,缩短响应时间,提高人员效率。
(栏目编辑:张丽霞)
往期精选:
(点击查看精彩内容)
● 观点 | 区块链在跨境金融领域的研究和探索——中国银行关于跨境金融区块链平台应用及展望
● 观点 | 增强业务融合,提升价值创造,深入推进金融安防数字化转型
新媒体中心:主任 / 邝源 编辑 / 傅甜甜 张珺 邰思琪