网球比分格式怎么看
围观次数:5,476 views

对于安全管理来说,看不到就意味着无法管理。在严峻的网络安全形势下,网络安全态势感知建设大潮如期来临。相比于一般的安全?#38469;?#24037;作,这是一个资源投入大、涉及面广、?#38469;?#38590;度高的复杂项目,以至于人们往往看到了酷炫的展示、纷繁的模型和海量的数据等等高大上的一面,而对于具体建设工作无从下手。德鲁克说过,比起正确地做事,做正确的事更重要。为了避免大量人力物力“打水漂”、?#32321;?#24577;势感知切实发挥作用、提高安全工作效率,需要抛弃单纯堆砌工具的传统工作模式,从底层进行架构。

态势感知建设并不简单是数据的累积和展示,而是来自安全治理和攻防对抗的实际需求。安全团队通过对对日常安全运营和攻防对抗工作进行总结和梳理,抽象成安全场景和高阶威胁,形成具体的感知对象。通过体系化的?#27835;?#26041;法,建立相应的?#27835;?#27169;型,基于大数据?#38469;酰治?#21407;始日志形成态势。最后,态势感知需要实现自动化以提高效率。本文对上述问题进行具体讨论,以形成态势感知建设的工作思路。

一、态势感知来自安全运营工作实际需求

态势感知平台是安全运营工作的?#38469;?#25903;撑。而安全运营工作,从宏观来说,服从于企业安全战略,是安全治理的重要组成部分,与安全开发、安全交付并驾齐驱,覆?#20999;?#24687;?#20302;?#29983;命周期安全管理。从具体来说,安全工作的直接意义就是对抗攻击、应对威胁。当攻击更多、更高端的时候,就需要态势感知平台提供?#20302;?#21270;解决方案。因此,思考态势感知,还是要从攻击和威胁开始。这是安全团队需要态势感知的原因。

(一)? 整体攻击

洛克西德·马丁公司于2011年提出“攻击链模型?#20445;?#23558;网络空间攻击行为?#27835;?#19971;个步骤,包括侦查探测(Reconnaissance)、制作攻击工具(Weaponization)、将工具投送到目标(Delivery)、释放代码(Exploitation)、成功安?#23433;?#25511;制(Installation)、主动外联(Command & Control)、远程控制及扩散(Actions on Objectives)。

(二)? 单点渗透

针对具体的应用?#20302;常?#30446;前已经形成了相对成熟的渗透攻击模式,主要?#27835;?#20197;下几个阶段?#30418;?#24687;收集,脆弱性攻击,脆弱性利用(漏洞利用、暴力?#24179;狻⑷我?#25991;件下载、拖库等等),权限维持(webshell、反弹shell、创建账户等等)、权限提升、实施攻击、消除痕迹。

攻击者在“攻击链模型”的大框架下,不断重复渗透过程并横向跳转,自外向内不断接近核心网络和?#20302;常?#26368;终达到控制整个内网以及使攻击目标拒绝服务、?#20302;潮?#25511;和敏感信息泄漏等效果。

在实际环境中,整个攻击过程漫长而复杂。为了便于观察和理解,需要对攻击过程进行抽象,作为态势感知的目标

二、安全态势是安全场景的具体展现

结合攻击过程,我们将态势感知的目标总结为事件减少和信息量增加两个过程,并通过多个安全视角进行具体展现。这是安全团队需要感知的对象。

(一)?大规模消除误报并实现事件分级

在体量庞大的攻击过程中,从监测视角来看,将会出现海量事件和告警。这些事件和告警的数量?#23545;?#36229;过人力能够处理的范畴。因此态势感知首先要实现的是事件减少,一般存?#30475;?#22788;理事件不超过10条。而其中最?#34892;?#30340;就是降低误报并统一告警分级标准。对于级别最高的告警事件,一定是确认存在拒绝服务、?#20302;?#21463;控、数据泄漏等现象或者实质性攻击造成了失陷,?#34892;?#21306;分于大量无目的扫描(使用高危漏洞攻击脚本但自身实际上不受此漏?#20174;?#21709;)、风?#25112;?#20302;的外联(如流氓推广)等“伪高风险”事件。

在安全运营过程中,监测只是第一步,后续还有处置、溯源、修复、优化等一系列过程,而这些后续过程不可避免地需要大量人工介入。为了避免人工成为整个流程中的瓶?#20445;?#38656;要对待处理事件区分优先级,形成小时?#19969;?#26085;?#19969;?#21608;?#19969;?#26376;?#27934;?#29702;梯队,让重要事件得到及时解决,同时兼顾全局。

小时级:实时发生的失陷事件,不断恶化的安全事件。

日级:存量高风险事件闭?#21453;?#32622;。

周级:资产管理、脆弱性扫描、基线核查、安全更新等周期性任务执行,中低风险和潜在风险?#27835;觶?#22806;部重要安全事件跟踪。

月级:整体攻防演练,安全运行演练和?#34892;?#24615;检验,事件回顾。

可以看出,其中最能够体现态势感知价值、?#34892;?#20943;少MTTD和MTTR的就是小时级事件处置。作为入侵过程中具有实质性影响的标志,失陷事件易于准确发现。因此,小时级事件以失陷事件为主,经过经验积累,可以形成安全场景知识库:

(二)?建设高阶威胁感知能力

高阶威胁发现是信息量增加的过程。这与事件减少并不矛盾。事件减少主要是去除大量误报和无实质性影响的告警,同时对事件进行整合和提?#19969;?#22312;这一过程中,信息量并?#25381;性?#21152;。而高阶威胁发现是对监测数据的进一步加工,进行因果关系的串联和相关关系的关联,从而挖掘出新的事件。

1、?定位入侵阶段和攻击过程还原

定位单体事件在渗透和攻击链中的所处阶段,结合溯源?#27835;觶?#36827;一步形成完整的证据链,还原攻击过程。通过还原攻击过程,有利于全面评估损失和安全风险,制定完善的解决方案。

定位入侵阶段:

在还原攻击过程?#20445;?#23588;其要注意前后证据间严谨的因果关系,否则由于监测的信息往往是零散且冗余的,很可能形成错误的推导逻辑。比如我们发现服务器受僵尸网络控制存在“挖矿”行为,进一?#38454;?#28335;通过进程关联到木马实体,是否可以确定该木马就是远控木马?不一定。实际上,清除进程和木马实体后,“挖矿”行为仍然存在,同时木马实体?#33756;?#28784;复燃。因此,该木马实体只能解释“挖矿”行为,但无法解释远控现象。也就是说,存在该木马实体是整个“挖矿”行为的必要条件,但不充分,需要补充其他证据解释远控现象。

一般情况下,远控现象的充分条件可能包括漏洞攻击后的命令执行、口令爆破后命令执行或者存在其他远控木马实体和远控地址。经过进一步溯源,我们从流量日志中?#27835;?#20986;0 day漏洞攻击和下载“挖矿”木马的命令。至此,漏洞攻击命令执行+“挖矿”木马实体可以完全解释整个“挖矿”事件,互为充分必要条件。必要不充分的情报从本质上来说是证据不足、论证不充分,常见的还?#24418;?#25253;,或者存在漏洞扫描但?#25381;行?#25104;漏洞利用,等等。

相应地,充分不必要的情况本质上是证据冗余、存在干扰。比如,发现用户邮箱被盗用,并?#26131;?#28335;到账户口令暴力?#24179;?#21644;用户终端感染木马。理论上,这两种情况都可能导致邮箱被盗用。但从实际操作上,显然前者攻击成本要低很多。一般来说,攻击者总会采取最短路径进行攻击。因此,重点排查账户口令暴力?#24179;?#26356;容?#20934;?#25928;。实际上,该事件后续排查的结果也支持这一点。

综上,在串联证据链的过程中,应注意前后证据间形?#27801;?#20998;必要关系,否则应考虑补充必要证据或者去除冗余证据。

2、?深度挖掘异常行为

对于外部已发生但本地仍未知的高阶威胁,通过引入多源外部威胁情报,与自身安全?#38469;?#20307;系有机结合,具备检测和防护能力。目前,应用比较普遍是基于域名、IP地址、样本特征等进行失陷检测。需要注意的是,威胁情报的准确度不等同于命中情报后判定失陷的准确度。比如,一台终端存在解析恶意域名的情况,但是不一定建立连接,这可能是由于访问控制策略或者其他未知原因;即使建立连接,也不一定传输远控指令,还要视流量?#27835;?#24773;况而定;即使流量层面判断失陷,其样本特征也不一定命中。正如前文所说,监测的信息往往是零散且冗余的,而威胁情报基于监测进行判定,所以引入威胁情报绝不单纯只是引入一些高精度检测规则,而是需要配套完善的?#27835;?#21644;溯源体系。

对于仍未公开的未知威胁,通过建模?#27835;觶?#22522;于大数据?#38469;酰?#20174;海量日志中检测异常行为,具?#30422;?#22312;威胁发现能力。未知威胁一般基于0 day漏洞或者特种木马。应对这一类高阶威胁,主要从两方面考虑。一是“降维防御?#20445;?#39318;先要做好失陷准备,此类攻击具有?#38469;?#20248;势和高度隐蔽性,无法通过已知规则进行检测;这样,才能将视角从攻击特征转移到行为特征。二是?#26696;?#25200;思维?#20445;?#22312;具体操作层面,预置陷阱和诱饵有助于发现异常。

3、?预测风险态势

通过建模?#27835;觶?#22522;于大数据?#38469;酰?#23545;未来网络安全态势进?#24615;?#27979;。一方面,对威胁趋势进?#24615;?#27979;,评估应对能力和损失,有利于调配安全运营资源,更好地控制潜在风险。另一方面,对安全事件发展趋势进?#24615;?#27979;,有利于制定精准解决方案,更好地控制事态变化和安全投入成本。

(三)?基于运营业务划分安全视角

安全视角是对安全运营工作的分类。而安全运营工作服务于信息?#20302;?#21644;业务运行,?#27835;?#20027;体、客体和管道。其中主体主要是用户和终端,管道主要是网络环境和访问权限控制,客体主要是应用?#20302;场?#32780;应用?#20302;?#23433;全体系庞大、涉及面广,一般?#25351;?#25454;?#38469;跽环治低场?#24212;用和数据。

同类安全工作在安全?#38469;?#19978;具有相同的特征,比如终端安全侧重补丁和杀毒,而应用安全侧重应用漏洞攻击和木马检测。科学的安全视角划分,有利于制定统一日志格式和结构化数据处理,更好地进行?#27835;?#21644;展示。

三、数据处理和?#27835;?#26159;态势感知的核心能力

我们在《基于通用?#38469;?#30340;企业安全运营架构》中提出了安全运营?#38469;?#26550;构,基于安全防护体?#21040;?#34892;数据采集,基于基础?#38469;?#24179;台建立数据?#27835;?#33021;力。但是从数据源、数据处理能力到前文提到的目标效果,还需要数据处理过程。这就是安全团队建立态势感知的行动路?#19969;?/strong>

(一)?建立日志处理生命周期

采集到的日志种类繁多、数据?#30475;螅?#19988;存在分布采集的情况,一般需要进?#24615;?#22788;理才能用于进一步?#27835;觶?#24182;建立覆盖采集、预处理、传输、存储、清理、使用的日志处理生命周期,以形成高质量、稳定的数据源。

1、?种类繁多

日志一般?#27835;?#24773;报类、溯源取证类(DPI、EDR)、告警类和监测类,每一类日志又通过多种?#38469;?#25163;?#20301;?#35774;?#35206;?#38598;,需要进?#24615;?#22788;理。通过设计过滤、拆分、合并、替换等基本处理方法,以及对上述方法进行组合和选用,经过验证形成结构化数据。

2、?数据?#30475;?/strong>
1)?增量控制

通过预处理,还需要去除数据冗余信息,只保留具有?#27835;?#20215;值的核心字段,?#34892;?#32553;减数据体量,减轻数据传输过程中的链路带宽压力。

2)?存量控制

定期对存量数据进行清理,避免增量数据不断输入对存储造成压力。

3、?分布采集

对于具有多级子机构和?#27801;?#26426;构的大型企业,机构本地一般不具有大数据处理能力,需要将日志上传至数据中心进?#22411;?#19968;建模?#27835;觥?#29978;至大型数据中心内部,由于物理环境和网络条件的限制,也存在分布采集的情况。需要在采集本地部署日志处理前置模块,实现采集、预处理和传输等功能,满足有限本地计算资源和传输带宽资源情况下,结构化数据的及时高效上传需求。

(二)? 基于机器学习建立?#27835;?#27169;型

?1、概述

机器学习的核心是“使用算法解析数据,从中学习,然后对世界上的某件事情做出决定或预测”。具体来说,主要?#27835;?#30417;督学习、非监督学习和强化学习。其中监督学习需要使用标签对样本进行标记,主要有分类和回归两种类型?#29615;?#30417;督学?#23433;?#23545;数据使用标签,主要有聚类和降维两种类型。每种具体类型又有多种不同算法实现方式。

另外,深度学习和卷积神经网络也逐步用于安全态势感知建模?#27835;觥?/p>

?2、基于安全场景建立?#27835;?#27169;型

结合前文所述目标效果,一般可以对具体需求采用的建模方法进行初步规划:

1)?事件分级

通过分类,将事件标记为不同风险级别。

2)?入侵阶段

通过分类,将事件标记为不同入侵阶段;通过聚类,关联还原成完整入侵过程。

3)?异常行为

通过聚类,根据属性和行为对象进行分组,?#27835;?#24322;常行为。

4)?态势预测

通过回归,使用先前的标记的数据对未来态势进?#24615;?#27979;。

实现安全场景?#27835;?#21644;高阶威胁感知是?#27835;?#30340;目标,而模型选择和建模过?#35752;?#26159;手段。理论上,只要能实现目标,具体手段的选择?#37096;?#20197;不?#24515;?#20110;机器学习的范畴。
(三)? 基于控制对象实现?#34892;?#31649;控

区别于安全视角,控制对象主要是对安全运营工作的控制要素和“抓手”。通过对控制对象的管理和操作,完成事件闭?#21453;?#32622;。

1、?资产

资产管理是安全治理工作的重要基础,对于事件定位、统一防护具有重要意义。资产信息收集一般可以通过以下3个方面着手:

1)?基础台账

基于资产管理生命周期,从采购到上线、维修、报废;基于网络环境建设,从网络拓扑结构到地址分配、地?#32439;?#25442;和访问控制;基于信息?#20302;臣际?#26550;构,从基础计算环境到操作?#20302;场?#20013;间件、应用的?#38469;?#36873;型。

2)?主动采集

通过全地址扫描和主机Agent收集资产信息。

3)?被动采集

通过流量?#27835;?#21644;访问控制被动感知存活资产。

2、事件

事件是安全运营的主线内容。数据经过?#27835;?#24418;成事件,汇总到统一处理平台,进行响应、处置和知识库建立。

3、策略

策略是事件处置和安全防护的主要控制手段。对策略进?#22411;?#19968;管理,从建立、审核、下发、修改、废除进行全生命周期管理,并验证策?#26434;行?#24615;。

4、情报

收集外部多源情报,建立威胁情报库,统一分发到监测和防护设备。

四、自动化安全运营是态势感知的高级目标

为加快上述?#27835;?#36895;度,快速分发防护和响应策略,节约人工成本,?#34892;?#25552;升安全运营效率和规模,需要将运营工作自动化。目前主要有SOAR模型(Security Orchestration, Automationand Response,安全编排、自动化和响应)和OODA模型(Observe, Orient, Decide, Act,观察,调整,决策以及行动)。在具体落地方面,前者主要是基于Splunk的Phantom平台,后者主要是IACD框架(Integrated Adaptive Cyber Defense, 集成的自适应网络防御框架)。

在实施IACD的过程中,首先要制定剧本(Playbooks)。基于前文场景?#27835;觶?#32467;合实践中的事件处置知识积累,可以形成事件?#27835;?#22788;置流程:

进一步,对攻击和响应的流程进行?#27835;?#35774;计形成工作流(Workflows),结合本地实际环境形成本地实例(Local ?Instances)进行试点和部署。

五、拓展企业网络安全?#38469;?#26550;构

基于上述需求,对企业网络安全?#38469;?#26550;构进?#22411;?#23637;,将安全建设的工作重心由工具集积累转向运营平台和底层架构搭建,实现安全资源标准化、池化。

(一)? 工具集

这一层实际上是对已有安全手段的梳理和整合。各类安全?#20302;常?#26080;论是商业采购的“盒子?#20445;?#36824;是基于开源或者自研的软件,都具有明确的工具属性:一是部署在“一线?#20445;?#21457;挥最直接的安全防护效果;二是具有独立性,功能特点明确;三是具有可替代性,同类产品原则上可以“即插?#20174;謾保?#22235;是要接受统一管理。

这些安全手段整合起来,形成了基本的纵深防御体系。我们形容为“全家桶套餐?#34987;?#32773;“大拌?#24605;?#21010;”。安全措施嵌入信息化建设的各个阶段,形成标准化防护措施。也就是说,只要上线新的端点,默认安装全套基于Agent的端点防护手段;只要是存在边界、业务流或者数据流等链路,就牵引到流量清洗资源池,进?#22411;?#19968;防护和监测。另外,对于在线业务、服务、?#20302;?#21644;设备,接入各类网关实现统一访问控制;通过主动探测实现脆弱性检测和资产管理,引入威胁情报。

基于此,安全形成了标准化业务,可?#26434;行?#36991;免防护力度参差不齐、安全产品更新换代困难,有利于横向扩展、规模化对外输出安全能力。

(二)? 运营平台

建设运营平台,主要实现对安全资源的管理、调度,以及进行?#27835;?#21644;展现以对接运营工作。通过数据?#27835;黽际酰?#23454;现安全监控、响应、预警能力,对抗外部威胁,保障业务安全稳定运行。

1、? 接口驱动

对外提供安全资源统一接口,主要包括端点Agent下发、流量防护和监测接入、网关接入、主动探测扫描等资源的调用和释放,使业务能够自动化使用池化的安全资源。

2、? 集群管理

对全部安全资源进?#22411;?#19968;管理,进行策略下发和更新,收集日志并进行实时处理。

3、? 业务总线

对于收集的海量日志,建立消息队列和缓存,基于大数据?#38469;?#36827;行实时?#27835;?#22788;理、存储和检索。

4、? 统一展现

积累安全?#27835;?#26696;例,形成安全场景和?#27835;?#35268;则,对数据处理结果进?#22411;?#19968;展现。根据安全运营架构,建立响应处置流程,控制安全风险。

(三)? 底层架构

1、? 安全?#38469;?/strong>

尽管搭建了较大规模的安全?#38469;?#26550;构提升安全防护能力,攻防?#38469;?#36824;是?#27835;?#21644;防护的重要基础和出发点,风险控制是贯穿整个工作的主线和目标。

2、? 高可用

安全?#38469;?#26550;构要满足高可用需求。一方面,性能需求决定了管理平台需要进行集群化部署,需要?#24418;?#23450;可靠的计算基础设施保障。另一方面,安全保障业务这一工作目标决定了安全资源需要在物理上贴近业务?#20302;?#37096;署。除了数据中心自身为实现高可用而采取的多中心部署外,即使在同一数据中心内部,安全资源也需要在多个物理位置部署。因此安全?#38469;?#26550;构需要考虑分?#38469;?#37096;署?#38469;酢?/p>

3、? 高并发

对于海量流量和日志,单一安全工具无法满足性能需求,需要集群化部署。通过负载均衡?#38469;酰?#23454;现安全资源的业务压力调度。

4、? 大数据

对于海量日志,具备实时处理、快速检索和存储能力。

(?#27169;? 部署示例及业务处理流程

1、??采用LVS/Nginx为集群化部署的工具进行负载均衡。

2、??采用Kubernetes为安全平台提供基础计算环?#22330;?/p>

3、??采用ZooKeeper对安全工具策略进?#22411;?#19968;管理。

4、??采用FileBeat采集并传输日志。

5、??采用Kafka作为消息队列接收日志。

6、??采用Flink对日志进行实时处理。

7、??采用Hive作为大数据存储。

8、??采用Logstash接收日志实时处理结果。

9、??采用ElasticSearch存储实时处理结果,并提供全文检索。

10、采用Kibana对ElasticSearch中的数据进行展现。

11、采用Redis作为缓存数据库,MySql作为主要存储。

12、采用Jira进行工单管理,对日志?#27835;?#32467;果进行后续处置,与ZooKeeper对接,进行策略调整和下发。

13、本文主要对于企业安全?#38469;?#26550;构转型进行讨论,故不进行工具层面的具体选型。

六、数据处理流程

安全事件处理按照预警、保护、检测、响应、恢复、反击(WPDRRC)等流程形成闭环。通过数据处理流程,落地安全事件生命周期。

(一)? 基础数据分类

工具层面采集的数据主要可以归为以下几类:

情报类:主要是通过各种渠道收集的外部威胁情报。

溯源取证类:链路流量DPI(深度包解析)工具和EDR(端点检测响应)工具产生的大?#22353;?#20110;溯源和取证的日志,以及基础设施运行日志。

告警类:各类安全工具检测到的威胁告警情况。

监测类:各类安全工具业务?#20302;?#36827;行监控和扫描的情况。

(二)? 数据处理模块

处理层面主要包括以下几个模块:

威胁情报库:筛选可信度、?#35270;?#24230;高的情报类数据建立成威胁情报库,形成预警信息,以供比对?#27835;觥?/p>

关联?#27835;?#24341;擎:基于告警类数据,结合监测类数据,判断威胁告警的准确性、严重性和紧迫性,以供响应处置。其中准确度高的威胁告警作为内部情报数据,输入威胁情报库。

溯源取证模块:将威胁情报库信息与溯源取证类数据进行比对,判断失陷情况,确定影响范围和严重程度,以供响应处置。

响应处置平台:对于需要处置的情况,?#20174;?#20808;级形成工单,以供调整工具层面策略。

(三)? 数据流转过程

1、???情报类数据输入威胁情报库。

2、??溯源取证类数据输入日志接收模块,进一步输入全文检索引擎。

3、??新情报类数据与溯源取证类数据比对,进行失陷检测;检测结果输入关联?#27835;?#24341;擎。

4、??新溯源取证类数据与存量威胁情报库比对,进行失陷检测;检测结果输入关联?#27835;?#24341;擎。

5、??告警类、监测类数据输入关联?#27835;?#24341;擎,?#27835;?#23454;质性高风险事件。

6、??关联?#27835;?#24341;擎综合评估事件的准确性、严重性和紧迫性,形成优先级,并输入响应处置平台,执?#24615;?#26696;防止事态恶化,同时输入溯源取证模块。

7、??溯源取证模块通过全文检索引擎,对事件进行详细?#27835;觶?#21028;断影响范围和事态发展情况;制定完?#24179;?#20915;方案并输入响应处置平台根除风险;形成内部威胁情报输入威胁情报平台。

8、??响应处置平台形成告警日志和安全工具策略,通过工单?#20302;?#19979;发执行。

综上,对态势感知建设的本质问题和内在联?#21040;?#34892;了思考,形成了相对完整的逻辑和路径,作为项目设计阶段的参考依据。正如RSA2019大会上IBM Security的标语:“We don’t need more tools. We need new rules.”

 

 

参考资料

  1. 基于通用?#38469;?#30340;企业安全运营架构
  2. ?#31243;?#32593;络攻防中的战术对抗
  3. IACD 集成的自适应网络防御框架
  4. 十种深度学习算法要点及代码解析?https://www.cnblogs.com/sthu/p/8690723.html
  5. 基于可视化配置的日志结构化转换实现http://dbaplus.cn/news-134-1860-1.html
  6. 这可能是最简单易懂的机器学习入门

获取本文清晰大图,请微信关注“仙人掌情报站?#20445;?#28857;击“发布”菜单,查看下载方式。


作者简介:董祎铖 资深网络安全工程师,就职于中国人民银行金融信息中心信息安全部,CISP,银行科技发展?#34987;?#24471;者。负责开展互联网安全防护体?#21040;?#35774;和安全运营工作,专注于渗?#35206;?#35797;、WEB安全、PKI/CA领域。


更多好?#27169;?#26469;自仙人掌情报站

OSQUERY学习?#22987;恰?#29702;论研究

欧阳昕:终端安全运营的实践和思考

吕毅:从攻击视角构建弹性信息安全防御体系


长按识别二维码,获取更多原创文章

?#38431;?#36716;载并联系仙人掌情报站

发表评论

电子?#22987;?#22320;址不会?#36824;?#24320;。 必填项已用*标注

Time limit exceeded. Please complete the captcha once again.

广告赞助

网球比分格式怎么看
排列三已出号码和未出号码查询 极速飞艇网站 体育彩票7星彩开奖结果 双色求坐标 下载广西十一选五 围棋tv网 二分彩开奖结果 pK10冠亚对对刷的方法 时时彩投注技巧 安徽时时彩平台注册送钱