當(dāng)前用戶獲得的告警能力和響應(yīng)能力都來自于安全設(shè)備的威脅以及脆弱性分析報告���,而對于安全系統(tǒng)自身的安全狀態(tài)和能力方面的檢測卻十分缺乏�����。例如:關(guān)鍵業(yè)務(wù)系統(tǒng)和重要數(shù)據(jù)的安全狀態(tài)�,安全防護(hù)能力的執(zhí)行情況���,以及內(nèi)部威脅違規(guī)的感知能力等����。
其次�����,對于攻擊者來說���,所采用的攻擊手段和攻擊戰(zhàn)術(shù)不能及時發(fā)現(xiàn)或者不了解��,或者不能及時更新�����,現(xiàn)有的安全技術(shù)�、安全管理手段無的放矢,應(yīng)對失措導(dǎo)而致信息安全體系失效��。
在這方面��,MITER發(fā)布的的ATT&CK知識庫是一個了解攻擊者采用何種戰(zhàn)術(shù)和技術(shù)攻陷企業(yè)信息系統(tǒng)的有效途徑����。
構(gòu)建異常行為的線索發(fā)現(xiàn)能力
傳統(tǒng)基于關(guān)聯(lián)規(guī)則的威脅監(jiān)測手段是無法發(fā)現(xiàn)高級持續(xù)性威脅(APT、未知威脅)等攻擊��,因?yàn)锳PT攻擊的時間軸有可能長達(dá)數(shù)年���,而每次的攻擊動作需要長時間的關(guān)聯(lián)才能被發(fā)現(xiàn)�。但是����,從攻擊開始到攻擊結(jié)束,整個攻擊過程會持續(xù)多個“動作”����,每個動作一定區(qū)別于正常的用戶行為,如:尋找重要資產(chǎn)信息�����、大量訪問系統(tǒng)和數(shù)據(jù)��,越權(quán)訪問不經(jīng)常訪問的敏感數(shù)據(jù)�����,試圖獲取關(guān)鍵業(yè)務(wù)系統(tǒng)和數(shù)據(jù)���,掩蓋攻擊行為和操作痕跡�,以同一身份通過不同設(shè)備登錄等����。那么對于已經(jīng)滲透到系統(tǒng)內(nèi)部的攻擊者而言,異常行為檢測則成為識別該類威脅的唯一機(jī)會�����。因此����,對企業(yè)內(nèi)部用戶和設(shè)備行為異常的檢測和預(yù)警是發(fā)現(xiàn)高級安全威脅的關(guān)鍵。
利用各類數(shù)據(jù)源����,構(gòu)建的企業(yè)信息安全情報系統(tǒng)����,感知“什么人��、什么設(shè)備(Who)�����,在什么時間(When)�����,什么地點(diǎn)(Where)����,通過什么應(yīng)用(How),訪問或操作了哪些資產(chǎn)(What)”�,構(gòu)建以用戶和設(shè)備為基點(diǎn)的信息系統(tǒng)畫像,是發(fā)現(xiàn)異常行為——不論是自動的機(jī)器學(xué)習(xí)方式����,還是人工分析方式的基礎(chǔ)。
在這個基礎(chǔ)上�,基于UEBA技術(shù),通過分析挖掘與“正?����!蹦J酱嬖谄畹漠惓P袨椋瑏頇z測具有威脅的用戶和實(shí)體��,使用機(jī)器學(xué)習(xí)��、算法和統(tǒng)計(jì)分析等手段來了解何時與已建立的模式存在偏差�����,通過與自身賬號原行為模型進(jìn)行比較��,結(jié)合其他維度的異常行為模型進(jìn)行分析�,發(fā)現(xiàn)哪些賬戶可能被不法分子盜取控制�,還可以對涉及的異常類型,異常情況明細(xì)�����、軌跡分布等信息進(jìn)行發(fā)現(xiàn)����,顯示哪些異常可能導(dǎo)致潛在的真實(shí)威脅�,是檢測內(nèi)部用戶的異常行為���、分析鑒別威脅的一件利器。系統(tǒng)還可以聚合報告和日志中的數(shù)據(jù)��,以及關(guān)聯(lián)文件�、流和數(shù)據(jù)包信息,在海量日志數(shù)據(jù)的噪聲中����,有效降低安全事件分析的工作量,提高告警的針對性和準(zhǔn)確率����。通過與SIEM類平臺,譬如安全運(yùn)營中心和態(tài)勢感知平臺的結(jié)合�����,可發(fā)揮更多有效價值���。
構(gòu)建關(guān)鍵事件的分析能力
異常行為就是安全事件的一條重要線索?����,F(xiàn)實(shí)場景中��,用戶一線的安全分析師在發(fā)現(xiàn)可疑線索后���,由于對線索研判的可信原始數(shù)據(jù)支持的條件制約�,很難實(shí)現(xiàn)對其事件定性及溯源�����,處于被動防御的局面��。如果構(gòu)建異常行為的鉆取�����、關(guān)聯(lián)����、挖掘非常重要��,能夠化被動防御為主動防御�����。通過分析將一連串的線索穿起來���,由點(diǎn)及面進(jìn)而逼近真相���。例如:從可疑IP����、關(guān)聯(lián)到訪用戶�,從可疑的用戶關(guān)聯(lián)到其使用應(yīng)用、數(shù)據(jù)庫或相關(guān)敏感文件等����,以時間維度,確定出惡意行為的行為序列���,進(jìn)一步可進(jìn)行相關(guān)的威脅定位等���。對攻擊能力強(qiáng)的攻擊者IP和被攻擊次數(shù)最多的IP 進(jìn)行流量溯源取證,查看攻擊的原始流量包或內(nèi)部異常行為的原始流量包����,確認(rèn)是否已攻入內(nèi)網(wǎng)。
通過機(jī)器學(xué)習(xí)算法量化出攻擊者的攻擊破壞性(攻擊武力值)和攻擊密集程度(攻擊值)��,對高危的IP進(jìn)行自動封堵;
與私域情報庫進(jìn)行比對,對比成功的IP地址進(jìn)行自動/手動封堵(需要了解安全防護(hù)產(chǎn)品是否支持)��。
上述過程��,必須依賴于一個專業(yè)的數(shù)據(jù)分析平臺���,通過這個數(shù)據(jù)分析平臺�����,可以整合豐富的數(shù)據(jù)源���,通過數(shù)據(jù)挖掘構(gòu)建企業(yè)信息系統(tǒng)“畫像”,刻畫各類用戶����、設(shè)備的行為特征��,對異常行為進(jìn)行自動化檢測和預(yù)警�,能夠以異常行為線索按照時間序列關(guān)聯(lián)用戶,設(shè)備��,應(yīng)用���,數(shù)據(jù)�,結(jié)合威脅情報,確定威脅指標(biāo)�,結(jié)合專業(yè)的安全分析師最終定位威脅。
構(gòu)建及時響應(yīng)處置的安全閉環(huán)
安全以“檢測”為始���,以“響應(yīng)”為終���。在攻擊者對企業(yè)信息系統(tǒng)造成最終損害之前,制止損害或降低損失是信息安全體系的最終防線����,也是及時響應(yīng)的目標(biāo)。當(dāng)檢測到威脅后���,及時響應(yīng)則依賴于安全生態(tài)���,現(xiàn)在安全人員的工作強(qiáng)度和壓力非常之高,能降低工作量并提高效率的產(chǎn)品肯定會廣受歡迎�����,例如:SOAR����。采用了自動化的安全編排 (Security Orchestration)技術(shù)�����,使得不同的系統(tǒng)或者單個系統(tǒng)內(nèi)部不同組件可以通過應(yīng)用編程接口(Application Programming Interface����,API)和人工檢查點(diǎn)按照一定的邏輯關(guān)系組合到一起���,用以完成某個特定安全運(yùn)營的過程��,使得在告警事件在被觸發(fā)時可以按照預(yù)定義的邏輯進(jìn)行多業(yè)務(wù)系統(tǒng)���、多設(shè)備、多層級的聯(lián)動�����,實(shí)現(xiàn)了安全事件響應(yīng)的半自動化�。
未來展望
未來����,啟明星辰認(rèn)為安全運(yùn)營中心一項(xiàng)重要任務(wù)是結(jié)合全國各地的個性化安全運(yùn)營中心的實(shí)戰(zhàn)化場景,在三級不同運(yùn)營中心匯總和輸出不同的安全能力,在落地的過程中深度結(jié)合人工智能技術(shù)和安全分析技術(shù)���,不斷提升安全運(yùn)營的管理水平���,并通過行業(yè)標(biāo)準(zhǔn)來規(guī)范化輸出安全運(yùn)營中心運(yùn)營腳本、ATT&CK攻擊模型和私域情報����。精準(zhǔn)定位安全事件,提升安全事件響應(yīng)和處置速度�。
安全攻防人員的工作環(huán)境將從被動實(shí)戰(zhàn)化變?yōu)橹鲃訉?shí)戰(zhàn)化
以前安全廠商的安全攻防人員研究都是被動式的實(shí)戰(zhàn)化處置安全問題,客戶只有出現(xiàn)問題才能去找到原廠去解決���,發(fā)現(xiàn)一些攻擊事件�����。而廠商構(gòu)建頂部運(yùn)營中心后�,省級和地市級將會構(gòu)建出基于不同業(yè)務(wù)的實(shí)戰(zhàn)化攻擊場景���。所以。未來廠商的安全攻防人員很有可能隸屬于原廠安全運(yùn)營中心����,進(jìn)行實(shí)戰(zhàn)化分析����,發(fā)現(xiàn)高危安全威脅�、APT攻擊、輸出ATT&CK攻擊模型和安全情報等��。
圍繞業(yè)務(wù)產(chǎn)生的個性化安全運(yùn)營中心
根據(jù)客戶業(yè)務(wù)的需求不同將會產(chǎn)生個性化的安全運(yùn)營中心���,基于駐場形式的重量級安全運(yùn)營服務(wù)�����,構(gòu)建個性化安全運(yùn)營中心���,以客戶需求為導(dǎo)向,根據(jù)用戶現(xiàn)狀及安全目標(biāo)為基準(zhǔn)進(jìn)行定制化安全服務(wù)����,提供覆蓋客戶信息系統(tǒng)規(guī)劃、設(shè)計(jì)��、建設(shè)和運(yùn)行的全生命周期的專業(yè)安全服務(wù)解決方案和最佳實(shí)踐服務(wù)�����,并且在用戶現(xiàn)場持續(xù)運(yùn)營�。
其中基于駐場形式的重量級安全運(yùn)營服務(wù)涵蓋綜合安全監(jiān)管服務(wù)、綜合安全運(yùn)營服務(wù)�����、數(shù)據(jù)安全專項(xiàng)運(yùn)營服務(wù)��、工控安全專項(xiàng)運(yùn)營服務(wù)和云安全專項(xiàng)運(yùn)營服務(wù)五大類����,其中包含多個服務(wù)子項(xiàng),針對安全運(yùn)營服務(wù)進(jìn)行了全覆蓋�����,為用戶提供全方位的安全服務(wù)����、全程無憂的安全運(yùn)營交付。
三級安全運(yùn)營中心將匯集和輸出不同的安全能力
運(yùn)營中心按照規(guī)??梢苑譃榈厥屑壓托袠I(yè)級安全運(yùn)營中心、省級安全運(yùn)營中心及廠商頭部安全運(yùn)營中心共三級運(yùn)營中心��。
地市級和行業(yè)級安全運(yùn)營中心輸出實(shí)戰(zhàn)化安全場景,省級運(yùn)營中心輸出實(shí)戰(zhàn)化安全分析師�����,而廠商級安全運(yùn)營中心將輸出APT發(fā)現(xiàn)��、ATT&CK攻擊模型�、高危漏洞、安全運(yùn)營工作腳本等攻擊發(fā)現(xiàn)能力和運(yùn)營能力����。
地市級和行業(yè)級安全運(yùn)營中心充分構(gòu)建可視化網(wǎng)絡(luò)態(tài)勢感知能力,用不同的邏輯空間發(fā)現(xiàn)網(wǎng)絡(luò)空間事件�、事件影響和關(guān)聯(lián)動作。打造實(shí)戰(zhàn)安全攻防場景��,及時掌握威脅態(tài)勢�,進(jìn)而做出更快速、更明智的行動決策����,為上游運(yùn)營中心提供實(shí)戰(zhàn)化安全場景,地市級和行業(yè)級運(yùn)營中心將會構(gòu)建三大能力:
1�����、實(shí)現(xiàn)“看見自己的威脅”階段;
2、實(shí)現(xiàn)“看見攻擊場景的能力”階段;
3���、實(shí)現(xiàn)“感知攻防態(tài)勢的能力”階段。
省級運(yùn)營中心輸出實(shí)戰(zhàn)化安全分析師�����,由于地市級安全運(yùn)營中心在當(dāng)?shù)厝狈I(yè)的安全運(yùn)營人才和安全分析師���,省級運(yùn)營中心將會作為安全運(yùn)營資源池����,積極服務(wù)安全運(yùn)營人才���,如安全運(yùn)營人員��,一線分析師�、二線分析師等等��。另外�,不同的運(yùn)營中心輸出不同的安全運(yùn)營人才����,如:數(shù)據(jù)安全方向�����、云安全方向�����、工業(yè)安全方向等�����。
啟明星辰安全運(yùn)營中心�����,作為主要技術(shù)能力輸出資源池,積極構(gòu)建安全運(yùn)營中心管理資源池���,安全工具開發(fā)能力資源池�,結(jié)合地市級和省級安全運(yùn)營中心提供的實(shí)戰(zhàn)化攻防場景�����,結(jié)合頭部專業(yè)的三線安全分析師,持續(xù)輸出APT發(fā)現(xiàn)�����、ATT&CK攻擊模型、高危漏洞��、安全運(yùn)營工作腳本等攻擊發(fā)現(xiàn)能力和運(yùn)營能力����,持續(xù)為省級和地市級各個運(yùn)營中心輸出威脅感知能力和安全運(yùn)營管理能力����。
私域情報的誕生
個性化的運(yùn)營中心一定衍生出符合自己運(yùn)營中心業(yè)務(wù)的私域情報。
目前��,公有威脅情報這一安全數(shù)據(jù)源擺在企業(yè)安全團(tuán)隊(duì)面前的應(yīng)用難題主要有三個:
多����,威脅情報數(shù)據(jù)源多、數(shù)量多����,數(shù)量的龐大加上情報本身的置信度問題,會帶來大量的檢出誤報�,安全人員疲于應(yīng)對;
雜,威脅情報種類雜�,應(yīng)用場景復(fù)雜,不同的情報可能位于攻擊鏈的不同階段����,不同的場景側(cè)重的是不同的攻擊者,例如云平臺的情報應(yīng)用關(guān)注外部攻擊者��,企業(yè)側(cè)的情報應(yīng)用主要關(guān)注的是內(nèi)網(wǎng)有無受感染的主機(jī)或者對外的惡意行為�����。不同場景中應(yīng)用威脅情報的種類也是有差異的;
快�����,威脅情報更新快�����,在前面兩個問題“多”和“雜”的映襯下�,更新速度可能成為壓倒安全管理人員的最后一根稻草。如果沒有合適的情報自動化運(yùn)營流程�,這一系列的情報檢測、事件跟蹤��、事件確認(rèn)和威脅溯源將會是人力投入產(chǎn)出比極低的工作���。
所以�����,構(gòu)建安全運(yùn)營中心自己的私域情報尤為重要,私域情報是根據(jù)個性化安全運(yùn)營中心的攻擊場景����,進(jìn)行實(shí)戰(zhàn)化分析,確定攻擊動作����、攻擊手法、攻擊工具和使用的攻擊漏洞�����,尤其是在不同的業(yè)務(wù)領(lǐng)域�����,如大數(shù)據(jù)領(lǐng)域、數(shù)據(jù)安全領(lǐng)域�����、云安全領(lǐng)域����,這些攻擊動作、手法�����、漏洞和工具都是不同的��。構(gòu)建私域情報將會為不同的個性化安全運(yùn)營中心快速定位安全事件的攻擊過程����,快速應(yīng)急和響應(yīng)攻擊事件的影響范圍,積極提供修復(fù)建議�����,這也是未來衡量安全運(yùn)營中心能力的可量化指標(biāo)��。
(轉(zhuǎn)自科技狗)
