當前用戶獲得的告警能力和響應能力都來自于安全設備的威脅以及脆弱性分析報告�����,而對于安全系統(tǒng)自身的安全狀態(tài)和能力方面的檢測卻十分缺乏��。例如:關(guān)鍵業(yè)務系統(tǒng)和重要數(shù)據(jù)的安全狀態(tài)����,安全防護能力的執(zhí)行情況����,以及內(nèi)部威脅違規(guī)的感知能力等。
其次�����,對于攻擊者來說�����,所采用的攻擊手段和攻擊戰(zhàn)術(shù)不能及時發(fā)現(xiàn)或者不了解����,或者不能及時更新����,現(xiàn)有的安全技術(shù)、安全管理手段無的放矢����,應對失措導而致信息安全體系失效�����。
在這方面���,MITER發(fā)布的的ATT&CK知識庫是一個了解攻擊者采用何種戰(zhàn)術(shù)和技術(shù)攻陷企業(yè)信息系統(tǒng)的有效途徑。
構(gòu)建異常行為的線索發(fā)現(xiàn)能力
傳統(tǒng)基于關(guān)聯(lián)規(guī)則的威脅監(jiān)測手段是無法發(fā)現(xiàn)高級持續(xù)性威脅(APT�、未知威脅)等攻擊,因為APT攻擊的時間軸有可能長達數(shù)年�����,而每次的攻擊動作需要長時間的關(guān)聯(lián)才能被發(fā)現(xiàn)��。但是�,從攻擊開始到攻擊結(jié)束,整個攻擊過程會持續(xù)多個“動作”���,每個動作一定區(qū)別于正常的用戶行為���,如:尋找重要資產(chǎn)信息、大量訪問系統(tǒng)和數(shù)據(jù)�,越權(quán)訪問不經(jīng)常訪問的敏感數(shù)據(jù)�����,試圖獲取關(guān)鍵業(yè)務系統(tǒng)和數(shù)據(jù)���,掩蓋攻擊行為和操作痕跡,以同一身份通過不同設備登錄等��。那么對于已經(jīng)滲透到系統(tǒng)內(nèi)部的攻擊者而言�,異常行為檢測則成為識別該類威脅的唯一機會。因此����,對企業(yè)內(nèi)部用戶和設備行為異常的檢測和預警是發(fā)現(xiàn)高級安全威脅的關(guān)鍵。
利用各類數(shù)據(jù)源��,構(gòu)建的企業(yè)信息安全情報系統(tǒng)�,感知“什么人���、什么設備(Who)��,在什么時間(When)�����,什么地點(Where)���,通過什么應用(How)��,訪問或操作了哪些資產(chǎn)(What)”����,構(gòu)建以用戶和設備為基點的信息系統(tǒng)畫像���,是發(fā)現(xiàn)異常行為——不論是自動的機器學習方式��,還是人工分析方式的基礎����。
在這個基礎上���,基于UEBA技術(shù)��,通過分析挖掘與“正?��!蹦J酱嬖谄畹漠惓P袨椋瑏頇z測具有威脅的用戶和實體,使用機器學習���、算法和統(tǒng)計分析等手段來了解何時與已建立的模式存在偏差����,通過與自身賬號原行為模型進行比較�����,結(jié)合其他維度的異常行為模型進行分析�,發(fā)現(xiàn)哪些賬戶可能被不法分子盜取控制,還可以對涉及的異常類型�,異常情況明細、軌跡分布等信息進行發(fā)現(xiàn)�,顯示哪些異常可能導致潛在的真實威脅���,是檢測內(nèi)部用戶的異常行為�、分析鑒別威脅的一件利器�����。系統(tǒng)還可以聚合報告和日志中的數(shù)據(jù)�,以及關(guān)聯(lián)文件����、流和數(shù)據(jù)包信息�,在海量日志數(shù)據(jù)的噪聲中���,有效降低安全事件分析的工作量����,提高告警的針對性和準確率�。通過與SIEM類平臺,譬如安全運營中心和態(tài)勢感知平臺的結(jié)合�����,可發(fā)揮更多有效價值��。
構(gòu)建關(guān)鍵事件的分析能力
異常行為就是安全事件的一條重要線索?����,F(xiàn)實場景中�����,用戶一線的安全分析師在發(fā)現(xiàn)可疑線索后,由于對線索研判的可信原始數(shù)據(jù)支持的條件制約�,很難實現(xiàn)對其事件定性及溯源,處于被動防御的局面�����。如果構(gòu)建異常行為的鉆取�����、關(guān)聯(lián)����、挖掘非常重要,能夠化被動防御為主動防御��。通過分析將一連串的線索穿起來���,由點及面進而逼近真相����。例如:從可疑IP�����、關(guān)聯(lián)到訪用戶,從可疑的用戶關(guān)聯(lián)到其使用應用�����、數(shù)據(jù)庫或相關(guān)敏感文件等��,以時間維度�����,確定出惡意行為的行為序列��,進一步可進行相關(guān)的威脅定位等����。對攻擊能力強的攻擊者IP和被攻擊次數(shù)最多的IP 進行流量溯源取證����,查看攻擊的原始流量包或內(nèi)部異常行為的原始流量包,確認是否已攻入內(nèi)網(wǎng)���。
通過機器學習算法量化出攻擊者的攻擊破壞性(攻擊武力值)和攻擊密集程度(攻擊值)�����,對高危的IP進行自動封堵;
與私域情報庫進行比對��,對比成功的IP地址進行自動/手動封堵(需要了解安全防護產(chǎn)品是否支持)�����。
上述過程�,必須依賴于一個專業(yè)的數(shù)據(jù)分析平臺,通過這個數(shù)據(jù)分析平臺���,可以整合豐富的數(shù)據(jù)源�����,通過數(shù)據(jù)挖掘構(gòu)建企業(yè)信息系統(tǒng)“畫像”�,刻畫各類用戶��、設備的行為特征���,對異常行為進行自動化檢測和預警��,能夠以異常行為線索按照時間序列關(guān)聯(lián)用戶����,設備,應用���,數(shù)據(jù)����,結(jié)合威脅情報���,確定威脅指標,結(jié)合專業(yè)的安全分析師最終定位威脅��。
構(gòu)建及時響應處置的安全閉環(huán)
安全以“檢測”為始�,以“響應”為終。在攻擊者對企業(yè)信息系統(tǒng)造成最終損害之前���,制止損害或降低損失是信息安全體系的最終防線��,也是及時響應的目標��。當檢測到威脅后�����,及時響應則依賴于安全生態(tài)����,現(xiàn)在安全人員的工作強度和壓力非常之高,能降低工作量并提高效率的產(chǎn)品肯定會廣受歡迎���,例如:SOAR����。采用了自動化的安全編排 (Security Orchestration)技術(shù)�,使得不同的系統(tǒng)或者單個系統(tǒng)內(nèi)部不同組件可以通過應用編程接口(Application Programming Interface,API)和人工檢查點按照一定的邏輯關(guān)系組合到一起�����,用以完成某個特定安全運營的過程�,使得在告警事件在被觸發(fā)時可以按照預定義的邏輯進行多業(yè)務系統(tǒng)、多設備��、多層級的聯(lián)動����,實現(xiàn)了安全事件響應的半自動化。
未來展望
未來��,啟明星辰認為安全運營中心一項重要任務是結(jié)合全國各地的個性化安全運營中心的實戰(zhàn)化場景�����,在三級不同運營中心匯總和輸出不同的安全能力,在落地的過程中深度結(jié)合人工智能技術(shù)和安全分析技術(shù)����,不斷提升安全運營的管理水平,并通過行業(yè)標準來規(guī)范化輸出安全運營中心運營腳本����、ATT&CK攻擊模型和私域情報��。精準定位安全事件��,提升安全事件響應和處置速度�����。
安全攻防人員的工作環(huán)境將從被動實戰(zhàn)化變?yōu)橹鲃訉崙?zhàn)化
以前安全廠商的安全攻防人員研究都是被動式的實戰(zhàn)化處置安全問題��,客戶只有出現(xiàn)問題才能去找到原廠去解決�����,發(fā)現(xiàn)一些攻擊事件����。而廠商構(gòu)建頂部運營中心后���,省級和地市級將會構(gòu)建出基于不同業(yè)務的實戰(zhàn)化攻擊場景。所以����。未來廠商的安全攻防人員很有可能隸屬于原廠安全運營中心,進行實戰(zhàn)化分析�,發(fā)現(xiàn)高危安全威脅、APT攻擊���、輸出ATT&CK攻擊模型和安全情報等��。
圍繞業(yè)務產(chǎn)生的個性化安全運營中心
根據(jù)客戶業(yè)務的需求不同將會產(chǎn)生個性化的安全運營中心�����,基于駐場形式的重量級安全運營服務����,構(gòu)建個性化安全運營中心��,以客戶需求為導向,根據(jù)用戶現(xiàn)狀及安全目標為基準進行定制化安全服務�����,提供覆蓋客戶信息系統(tǒng)規(guī)劃�����、設計�����、建設和運行的全生命周期的專業(yè)安全服務解決方案和最佳實踐服務����,并且在用戶現(xiàn)場持續(xù)運營�����。
其中基于駐場形式的重量級安全運營服務涵蓋綜合安全監(jiān)管服務���、綜合安全運營服務��、數(shù)據(jù)安全專項運營服務���、工控安全專項運營服務和云安全專項運營服務五大類��,其中包含多個服務子項,針對安全運營服務進行了全覆蓋��,為用戶提供全方位的安全服務、全程無憂的安全運營交付����。
三級安全運營中心將匯集和輸出不同的安全能力
運營中心按照規(guī)?���?梢苑譃榈厥屑壓托袠I(yè)級安全運營中心����、省級安全運營中心及廠商頭部安全運營中心共三級運營中心����。
地市級和行業(yè)級安全運營中心輸出實戰(zhàn)化安全場景��,省級運營中心輸出實戰(zhàn)化安全分析師���,而廠商級安全運營中心將輸出APT發(fā)現(xiàn)��、ATT&CK攻擊模型�����、高危漏洞�����、安全運營工作腳本等攻擊發(fā)現(xiàn)能力和運營能力���。
地市級和行業(yè)級安全運營中心充分構(gòu)建可視化網(wǎng)絡態(tài)勢感知能力���,用不同的邏輯空間發(fā)現(xiàn)網(wǎng)絡空間事件��、事件影響和關(guān)聯(lián)動作。打造實戰(zhàn)安全攻防場景�����,及時掌握威脅態(tài)勢,進而做出更快速����、更明智的行動決策,為上游運營中心提供實戰(zhàn)化安全場景��,地市級和行業(yè)級運營中心將會構(gòu)建三大能力:
1��、實現(xiàn)“看見自己的威脅”階段;
2�����、實現(xiàn)“看見攻擊場景的能力”階段;
3、實現(xiàn)“感知攻防態(tài)勢的能力”階段����。
省級運營中心輸出實戰(zhàn)化安全分析師,由于地市級安全運營中心在當?shù)厝狈I(yè)的安全運營人才和安全分析師�����,省級運營中心將會作為安全運營資源池,積極服務安全運營人才�,如安全運營人員�,一線分析師���、二線分析師等等。另外��,不同的運營中心輸出不同的安全運營人才����,如:數(shù)據(jù)安全方向、云安全方向���、工業(yè)安全方向等。
啟明星辰安全運營中心���,作為主要技術(shù)能力輸出資源池��,積極構(gòu)建安全運營中心管理資源池,安全工具開發(fā)能力資源池����,結(jié)合地市級和省級安全運營中心提供的實戰(zhàn)化攻防場景����,結(jié)合頭部專業(yè)的三線安全分析師��,持續(xù)輸出APT發(fā)現(xiàn)�、ATT&CK攻擊模型�、高危漏洞��、安全運營工作腳本等攻擊發(fā)現(xiàn)能力和運營能力��,持續(xù)為省級和地市級各個運營中心輸出威脅感知能力和安全運營管理能力����。
私域情報的誕生
個性化的運營中心一定衍生出符合自己運營中心業(yè)務的私域情報。
目前�,公有威脅情報這一安全數(shù)據(jù)源擺在企業(yè)安全團隊面前的應用難題主要有三個:
多�����,威脅情報數(shù)據(jù)源多、數(shù)量多�,數(shù)量的龐大加上情報本身的置信度問題�����,會帶來大量的檢出誤報��,安全人員疲于應對;
雜���,威脅情報種類雜,應用場景復雜����,不同的情報可能位于攻擊鏈的不同階段���,不同的場景側(cè)重的是不同的攻擊者����,例如云平臺的情報應用關(guān)注外部攻擊者��,企業(yè)側(cè)的情報應用主要關(guān)注的是內(nèi)網(wǎng)有無受感染的主機或者對外的惡意行為��。不同場景中應用威脅情報的種類也是有差異的;
快���,威脅情報更新快����,在前面兩個問題“多”和“雜”的映襯下��,更新速度可能成為壓倒安全管理人員的最后一根稻草��。如果沒有合適的情報自動化運營流程����,這一系列的情報檢測、事件跟蹤�����、事件確認和威脅溯源將會是人力投入產(chǎn)出比極低的工作���。
所以���,構(gòu)建安全運營中心自己的私域情報尤為重要,私域情報是根據(jù)個性化安全運營中心的攻擊場景,進行實戰(zhàn)化分析����,確定攻擊動作��、攻擊手法����、攻擊工具和使用的攻擊漏洞��,尤其是在不同的業(yè)務領(lǐng)域,如大數(shù)據(jù)領(lǐng)域、數(shù)據(jù)安全領(lǐng)域�����、云安全領(lǐng)域���,這些攻擊動作���、手法、漏洞和工具都是不同的����。構(gòu)建私域情報將會為不同的個性化安全運營中心快速定位安全事件的攻擊過程,快速應急和響應攻擊事件的影響范圍��,積極提供修復建議�,這也是未來衡量安全運營中心能力的可量化指標。
(轉(zhuǎn)自科技狗)
