我們真的需要態(tài)勢感知嗎��?
2017年08月25日
態(tài)勢感知是目前網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)��,然而面對撲面而來的態(tài)勢感知熱潮���、混亂的概念和良莠不齊的方案��,無論是需求方還是建設(shè)方都還有點(diǎn)“消化不良”��。以下內(nèi)容試圖撥亂反正��,幫助大家更準(zhǔn)確的理解和把握態(tài)勢感知�����。
態(tài)勢感知是什么?
態(tài)勢感知的概念最早是由美國空軍提出��,是為提升空戰(zhàn)能力��,分析空戰(zhàn)環(huán)境信息����、快速判斷當(dāng)前及未來形勢�����,以作出正確反應(yīng)而進(jìn)行的研究探索。
上世紀(jì)90年代這個(gè)概念被引入了信息安全領(lǐng)域����,最知名的2003年開始的美國的愛因斯坦計(jì)劃(正式名稱國家網(wǎng)絡(luò)空間安全保護(hù)系統(tǒng)The National Cybersecurity Protection System),2013年已經(jīng)開始第三期的建設(shè)���,美國CERT及后續(xù)DHS(國土安全部)對態(tài)勢感知進(jìn)行了不斷探索����。
美國國家安全系統(tǒng)委員會(huì)對態(tài)勢感知的定義是:“在一定的時(shí)間和空間范圍內(nèi)�,企業(yè)的安全態(tài)勢及其威脅環(huán)境的感知。理解這兩者的含義以及意味的風(fēng)險(xiǎn)����,并對他們未來的狀態(tài)進(jìn)行預(yù)測?�!睉B(tài)勢感知是偏重于檢測和響應(yīng)分析能力的建設(shè)�����,這確實(shí)是現(xiàn)實(shí)最迫切的安全需要�����。
為什么需要態(tài)勢感知?
面對新的安全形勢,傳統(tǒng)安全體系遭遇瓶頸���,需要進(jìn)一步提升安全運(yùn)營水平的同時(shí)積極的開展主動(dòng)防御能力的建設(shè)。
從美國對愛因斯坦計(jì)劃的持續(xù)不斷投入����,可以看到網(wǎng)絡(luò)空間安全的態(tài)勢感知,對于國家���、行業(yè)有多么重要的意義��。我國的網(wǎng)絡(luò)安全形勢非常嚴(yán)峻�,截止2016年底�,僅360公司就累計(jì)監(jiān)測到針對中國境內(nèi)目標(biāo)發(fā)動(dòng)攻擊的APT組織36個(gè),最近仍處于活躍狀態(tài)的APT組織至少有13個(gè)�����,這些組織的攻擊目標(biāo)涵蓋了政府機(jī)關(guān)�����、高校、科研機(jī)構(gòu)以及關(guān)鍵基礎(chǔ)設(shè)施的行業(yè)/企業(yè)��。今年爆發(fā)的WannaCry勒索蠕蟲�����,更讓我們看到了網(wǎng)絡(luò)武器民用化之后可能造成的巨大災(zāi)害���。
從現(xiàn)實(shí)中的網(wǎng)絡(luò)安全建設(shè)看�����,多年來我們一直偏重于架構(gòu)安全(漏洞管理���、系統(tǒng)加固、安全域劃分等)和被動(dòng)防御能力(IPS���、WAF��、AV等)的建設(shè)���,雖取得了一定的成果,也遇到發(fā)展瓶頸��。簡單通過購買更多的安全設(shè)備已經(jīng)不能使安全能力有提升,需要進(jìn)一步提升安全運(yùn)營水平的同時(shí)積極的開展主動(dòng)防御能力的建設(shè)�����。在之前建立了一定自動(dòng)化防御能力的基礎(chǔ)上��,開始增加在非特征技術(shù)檢測能力上的投入���,以及事件響應(yīng)分析能力的建設(shè);并通過對事件的深度分析及信息情報(bào)共享,建立預(yù)測預(yù)警并針對性改善安全系統(tǒng)�����,最終達(dá)到有效檢測�����、防御新型攻擊威脅之目的����。
正是因?yàn)檫@些現(xiàn)實(shí)的問題,習(xí)總書記才會(huì)在4.19講話中明確提出建設(shè)“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢 ”���。
態(tài)勢感知能干什么?
網(wǎng)絡(luò)安全與戰(zhàn)爭一樣���,本質(zhì)是攻防雙方的對抗����,攻防之戰(zhàn)�����,速度為王����,作為防守方的目標(biāo)是縮短攻擊者的自由攻擊時(shí)間。態(tài)勢感知系統(tǒng)的作用就是分析安全環(huán)境信息����、快速判斷當(dāng)前及未來形勢,以作出正確響應(yīng)����。
“全天候全方位感知網(wǎng)絡(luò)安全態(tài)勢”對態(tài)勢感知的建設(shè)目標(biāo)做出了準(zhǔn)確描述。全天候全方位����,可以理解為時(shí)間維度和檢測內(nèi)容維度。
在時(shí)間維度上�,需要利用已有實(shí)時(shí)或準(zhǔn)實(shí)時(shí)的檢測技術(shù)�����,還需要通過更長時(shí)間數(shù)據(jù)來分析發(fā)現(xiàn)異常行為特別是失陷情況�。
在內(nèi)容維度上����,也需要覆蓋網(wǎng)絡(luò)流量、終端行為�����、內(nèi)容載荷三個(gè)方面��。要完整提供以下5類檢測能力���,或者說至少4類(參照Gartner:Five Styles of Advanced Threat Defense ):
基于流量特征的實(shí)時(shí)檢測(WAF、IPS��、NGFW等)
基于流量日志的異常分析機(jī)制(流量傳感器�、Hunting、UEBA)
針對內(nèi)容的靜態(tài)�����、動(dòng)態(tài)分析機(jī)制(沙箱)
基于終端行為特征的實(shí)時(shí)檢測(ESP)
基于終端行為日志的異常分析機(jī)制(EDR、Hunting����、UEBA)
“態(tài)”指是從全局角度看到的現(xiàn)狀,包括組織自身的威脅狀態(tài)和整體的安全環(huán)境�����,需要基于之前提到的5種檢測能力盡可能的發(fā)現(xiàn)攻擊事件或攻擊線索�����,同時(shí)需要對涉及到的報(bào)警提供進(jìn)一步的分析����,回答以下的問題:
無法正確的回答這些問題,只是簡單的將報(bào)警在地圖上呈現(xiàn)就無法體現(xiàn)有現(xiàn)實(shí)價(jià)值的“態(tài)”�,無法確定是否可以進(jìn)入處置流程。
“勢”�����,即未來的狀態(tài)�。要能預(yù)測組織未來的安全狀態(tài),需要對現(xiàn)階段所面臨的攻擊事件特別是定向攻擊事件有深入的了解:
了解這些信息���,同時(shí)通過信息和情報(bào)共享���,對同行業(yè)或相似部門的相關(guān)此類信息也有所了解���,就能夠預(yù)測未來可能處于的安全狀態(tài)以及需要防御的重點(diǎn),即預(yù)測預(yù)防能力�。
誰能做態(tài)勢感知?
要完成態(tài)勢感知的建設(shè)目標(biāo),需要具備以下三大核心要素:流量數(shù)據(jù)采集���、威脅情報(bào)和安全分析師���。
流量數(shù)據(jù)采集相對而言實(shí)施難度較小,同時(shí)還有著不可替代的價(jià)值:通過流量日志進(jìn)行安全狩獵或者異常檢測�����、分析攻擊事件的影響范圍�����、回溯完整的攻擊鏈和TTP(戰(zhàn)術(shù)����、技術(shù)和過程)。因此流量數(shù)據(jù)是態(tài)勢感知中必須考慮的一環(huán)�����。
威脅情報(bào)是隨著新型威脅防御快速成長的一個(gè)領(lǐng)域��,在態(tài)勢感知建設(shè)中有著決定性的作用��。最經(jīng)常被提到的一類是可機(jī)讀情報(bào)(MRTI)�����,主要是賦能給安全產(chǎn)品���,增強(qiáng)或升級其安全能力�。
為了幫助安全分析師完成對事件的分析�����,威脅情報(bào)領(lǐng)域內(nèi)提供了專業(yè)的情報(bào)分析工具(情報(bào)分析平臺/關(guān)聯(lián)分析平臺)�,分析師通過這樣的平臺可以方便的完成過去付出極大體力和腦力也難以進(jìn)行的工作:
威脅情報(bào)中還有一類TTP類型的情報(bào)���,屬于人讀的情報(bào)���,主要針對已發(fā)生的重要安全事件��,分析攻擊者的攻擊范圍����、攻擊目的����、具體的技戰(zhàn)術(shù)手法和攻擊過程,并提煉出防御建議�。
流量數(shù)據(jù)和威脅情報(bào)都很重要,但它們能發(fā)揮多大作用��,最終還是要依賴與人的力量�,其中最重要的是安全分析師,是安全運(yùn)營中的高級人才����。安全分析師的成長需要較好的環(huán)境(如數(shù)據(jù)和情報(bào))、以及大量的實(shí)戰(zhàn)機(jī)會(huì)���,難以大批量培養(yǎng)。安全分析師是態(tài)勢感知必須倚重的重要部分��,是確定態(tài)勢感知項(xiàng)目成敗的又一個(gè)關(guān)鍵因素。成功的態(tài)勢項(xiàng)目必須考慮到如何引入或培養(yǎng)這樣的人才�����,并通過提供好的工具和流程來支撐他們高效的完成任務(wù)��。
態(tài)勢感知是綜合性的安全能力建設(shè)�����,流量數(shù)據(jù)�����、威脅情報(bào)以及安全分析師是影響項(xiàng)目成敗的關(guān)鍵因素���,另外大數(shù)據(jù)平臺��、可視化�����、資產(chǎn)管理等也很重要�����。
如何建設(shè)態(tài)勢感知?
態(tài)勢感知建設(shè)是個(gè)復(fù)雜的系統(tǒng)工程�,分階段建設(shè)是一種必要、穩(wěn)妥的方法���。
以下綜合態(tài)勢感知中涉及的主要方面��,給出一些階段性的劃分意見:
1. 基于特定組織��,完成內(nèi)部態(tài)勢感知基本建設(shè)
這個(gè)階段的建設(shè)內(nèi)容主要包括:數(shù)據(jù)和報(bào)警的收集���、威脅情報(bào)平臺、事件分析研判平臺����、內(nèi)部處置管理平臺以及呈現(xiàn)、輔助完成這些工作的可視化應(yīng)用���。這樣在一個(gè)單位內(nèi)部可以支撐完整的安全運(yùn)營�。其中需要的安全分析師可以通過購買外部服務(wù)的方式獲得�����。
2. 建立縱向支撐體系以及情報(bào)數(shù)據(jù)共享體系
這個(gè)階段的建設(shè)包括縱向的惡意代碼分析中心、增強(qiáng)的事件分析中心�、以及情報(bào)分享機(jī)制和縱向威脅情報(bào)中心���。惡意代碼分析和重大事件分析是需要高水平的安全分析師的��,利用縱向的建設(shè)��,集中使用這些資源��,可以更快的提升整體運(yùn)營水平����,也有利于安全分析師的培養(yǎng)��。情報(bào)分享機(jī)制保障信息在行業(yè)內(nèi)部以及和公安�、網(wǎng)信等部門的同步,同時(shí)通過縱向威脅情報(bào)中心收集��、處理�、分發(fā)內(nèi)部情報(bào)信息,對整個(gè)行業(yè)或組織面臨的威脅有一個(gè)更精準(zhǔn)����、全面的掌控,讓關(guān)鍵性情報(bào)可以更迅速、有效的使用��。
3. 建立整體性自動(dòng)化防御能力
到了這個(gè)階段�,隨著縱向支撐體系和整體情報(bào)分析能力的增強(qiáng),遇到關(guān)鍵事件可以進(jìn)行整體化防護(hù)����,如自動(dòng)化配置相關(guān)的NGFW、IPS或郵件網(wǎng)關(guān)設(shè)備�,再如利用內(nèi)部的DNS系統(tǒng)對特定的DNS解析進(jìn)行重定向(Sinkhole)等,利用這些手段更快速��、高效的進(jìn)行遏抑攻擊事件�,為清除攻擊爭取時(shí)間。
一個(gè)安全體系尤其是態(tài)勢感知這樣的復(fù)雜體系��,在體系建設(shè)前���,建議先和專業(yè)的咨詢機(jī)構(gòu)和專業(yè)的安全服務(wù)商一起進(jìn)行咨詢�、規(guī)劃�����,作為前期的配合工作��。
選擇什么合作伙伴?
態(tài)勢感知的建設(shè)需要明確建設(shè)目標(biāo)、掌控好關(guān)鍵性因素����、分階段開展相關(guān)的建設(shè)。這個(gè)過程中選擇適合的伙伴就特別重要�。
和什么樣的伙伴合作能夠獲得最重要的威脅情報(bào)��、安全分析師資源����,得到成熟的流量數(shù)據(jù)解決方案,是需要仔細(xì)考量的問題�。但我們可以樂觀的看到,早年曾經(jīng)制約態(tài)勢感知能力建設(shè)的數(shù)據(jù)平臺和威脅情報(bào)能力����、高級別的安全分析師資源,在近幾年都有了快速的發(fā)展���,有相應(yīng)的優(yōu)質(zhì)資源可以獲得����。相信通過一段時(shí)期的態(tài)勢感知建設(shè)���,我國的網(wǎng)絡(luò)空間安全水平會(huì)有一個(gè)整體的提升�,有足夠的能力去更好面對來自網(wǎng)絡(luò)犯罪團(tuán)伙、意識形態(tài)黑客以及國家級別的攻擊威脅����。
在9月13日舉行的中國互聯(lián)網(wǎng)安全大會(huì)(ISC 2017)的大數(shù)據(jù)與威脅分析論壇上,來自全球的網(wǎng)絡(luò)安全專家的專家將進(jìn)一步討論態(tài)勢感知在新安全運(yùn)營體系中的價(jià)值���。
轉(zhuǎn)載自:http://netsecurity.51cto.com/art/201708/548857.htm
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運(yùn)維平臺建設(shè)、動(dòng)漫設(shè)計(jì)���、軟件研發(fā)�、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀���。公司遵循信息安全整體性的IATF模型�����,從“人員素養(yǎng)”�、“制度流程”����、“技術(shù)產(chǎn)品”三個(gè)視角提供全面�、可信的方案�����,業(yè)務(wù)涵蓋咨詢�、評估、規(guī)劃�����、管控����、建設(shè)�、培訓(xùn)等。
