亚博全站APP登录

态势感知全景能力构建

时间: 2018年2月09日 作者:安天端点安全产品中心 来源:第五届安天网络安全冬训营内部报告文稿

【题记】

2018年1月11-12日,第(di)五届安(an)天(tian)(tian)网(wang)络安(an)全(quan)(quan)冬(dong)训营在哈尔(er)滨(bin)启幕,安(an)天(tian)(tian)监控(kong)预警产(chan)(chan)品中心的同(tong)事发(fa)表了题为(wei)《态(tai)(tai)势感(gan)知(zhi)(zhi)全(quan)(quan)景(jing)能力构(gou)建》的演讲。他(ta)指出面对飞(fei)速(su)变化的威胁(xie)(xie)形势,应(ying)立(li)足于实现全(quan)(quan)天(tian)(tian)候全(quan)(quan)方位态(tai)(tai)势感(gan)知(zhi)(zhi)有(you)效防护,采用(yong)快速(su)叠加演进(jin)的思路,构(gou)建真实有(you)效的态(tai)(tai)势感(gan)知(zhi)(zhi)能力全(quan)(quan)景(jing)。以敌情想定为(wei)前提,实现态(tai)(tai)势感(gan)知(zhi)(zhi)在未(wei)知(zhi)(zhi)威胁(xie)(xie)发(fa)现与(yu)响(xiang)(xiang)应(ying)、基于资产(chan)(chan)的威胁(xie)(xie)发(fa)现与(yu)响(xiang)(xiang)应(ying)、情报驱动的威胁(xie)(xie)发(fa)现与(yu)响(xiang)(xiang)应(ying)等具(ju)体(ti)场景(jing)下的实战化应(ying)用(yong)。

以下(xia)为报告全(quan)文:

威胁与挑战

背景

当前的(de)(de)网(wang)络环境日趋复杂,攻(gong)(gong)(gong)击(ji)模(mo)(mo)式(shi)逐步(bu)体系(xi)化、规模(mo)(mo)化,从近(jin)几年的(de)(de)“震网(wang)”、“乌克兰停电”、伪(wei)装“必加(jia)”等一系(xi)列(lie)事件来(lai)看,整个攻(gong)(gong)(gong)击(ji)过(guo)程(cheng)(cheng)已(yi)变得更(geng)加(jia)复杂。通过(guo)在(zai)系(xi)统(tong)内(nei)建立(li)多个据点(dian)逐步(bu)渗透的(de)(de)情况也(ye)越来(lai)越常(chang)见,攻(gong)(gong)(gong)击(ji)所使用的(de)(de)武器、装备、资源也(ye)日趋多样(yang)化。同(tong)时,包括Cobalt Strike在(zai)内(nei)的(de)(de)各种商(shang)业攻(gong)(gong)(gong)击(ji)平台,已(yi)打破了(le)传统(tong)的(de)(de)需要大规模(mo)(mo)成本投入才能(neng)(neng)形成的(de)(de)高级攻(gong)(gong)(gong)击(ji)作业。另外(wai),针对(dui)封(feng)闭的(de)(de)物理隔(ge)离网(wang)络,也(ye)出现了(le)针对(dui)性的(de)(de)攻(gong)(gong)(gong)击(ji)模(mo)(mo)式(shi),能(neng)(neng)够远程(cheng)(cheng)渗透入侵封(feng)闭的(de)(de)计算机网(wang)络或独立(li)的(de)(de)安全隔(ge)离网(wang)闸设备,因(yin)此,面对(dui)快速发展(zhan)变化的(de)(de)攻(gong)(gong)(gong)击(ji)形式(shi),单一的(de)(de)安全产(chan)品或是简(jian)单组(zu)合都不(bu)足以有效(xiao)应对(dui),需要更(geng)加(jia)体系(xi)化的(de)(de)防(fang)御体系(xi)。

2017年(nian)5月12日(ri)大规模爆发(fa)的(de)(de)“魔窟”WannaCry事件(jian)暴(bao)露出了我国企业在面(mian)对(dui)突发(fa)事件(jian)时缺乏(fa)响(xiang)应(ying)手段和(he)(he)应(ying)急响(xiang)应(ying)机(ji)制,例如缺乏(fa)人机(ji)协(xie)同的(de)(de)整体应(ying)急响(xiang)应(ying)能力和(he)(he)指挥协(xie)调能力导(dao)致无法及时止损(sun)(sun)。大多数的(de)(de)网络环境(jing)中部署了大量(liang)涵盖(gai)边界(jie)侧、流量(liang)侧、端点侧的(de)(de)安全产品,但在面(mian)对(dui)突发(fa)事件(jian)的(de)(de)时候,却不能在上层形(xing)成对(dui)单(dan)点安全能力的(de)(de)统筹与(yu)规划,即无法进行(xing)快速有(you)效的(de)(de)止损(sun)(sun)。

另外,面(mian)对(dui)快速发展(zhan)变化(hua)的(de)(de)(de)攻击形式,单一的(de)(de)(de)安(an)(an)全(quan)产(chan)品(pin)或是简单组合可能无法有(you)效应(ying)对(dui),因此(ci)我们(men)需要更加体系化(hua)的(de)(de)(de)防(fang)御(yu)(yu)手(shou)段,将单点(dian)防(fang)御(yu)(yu)产(chan)品(pin)的(de)(de)(de)能力进行组合、延展(zhan)。基于上述背景,态(tai)势感(gan)知(zhi)应(ying)运而生,态(tai)势感(gan)知(zhi)作为整(zheng)个安(an)(an)全(quan)监(jian)管和防(fang)御(yu)(yu)体系的(de)(de)(de)枢纽与大脑(nao),通过它的(de)(de)(de)协调、管理与分(fen)析能力可以实(shi)现对(dui)网(wang)络流量、网(wang)络边界、业(ye)务(wu)系统、主机端点(dian)相关安(an)(an)全(quan)问题的(de)(de)(de)感(gan)知(zhi)防(fang)护。通过对(dui)安(an)(an)全(quan)事件的(de)(de)(de)汇聚、分(fen)析、综(zong)合研判,设备的(de)(de)(de)协调联动(dong)能力实(shi)现对(dui)高级持(chi)续性威胁(xie)的(de)(de)(de)快速发现和响应(ying)处置,最终(zhong)实(shi)现切实(shi)有(you)效的(de)(de)(de)安(an)(an)全(quan)防(fang)护。

挑战

目(mu)前(qian)我们所面(mian)(mian)临(lin)的网络安(an)全挑战(zhan)主要有(you)三(san)个(ge)方面(mian)(mian)。

第一个(ge)挑(tiao)战是(shi)复(fu)杂多(duo)变(bian)的(de)(de)网(wang)(wang)(wang)(wang)(wang)络(luo)(luo)(luo)环境(jing),主(zhu)要体现在(zai)(zai)网(wang)(wang)(wang)(wang)(wang)络(luo)(luo)(luo)结(jie)构的(de)(de)多(duo)变(bian)性(xing)。现有网(wang)(wang)(wang)(wang)(wang)络(luo)(luo)(luo)结(jie)构相较传(chuan)统网(wang)(wang)(wang)(wang)(wang)络(luo)(luo)(luo)结(jie)构增加(jia)(jia)了云平(ping)台架构、移动(dong)平(ping)台、工控网(wang)(wang)(wang)(wang)(wang)络(luo)(luo)(luo)、物联网(wang)(wang)(wang)(wang)(wang)等(deng)网(wang)(wang)(wang)(wang)(wang)络(luo)(luo)(luo);同时(shi)由于计算能(neng)力与安全(quan)技术的(de)(de)飞速发展(zhan)导致(zhi)网(wang)(wang)(wang)(wang)(wang)络(luo)(luo)(luo)环境(jing)的(de)(de)多(duo)样性(xing);网(wang)(wang)(wang)(wang)(wang)络(luo)(luo)(luo)结(jie)构内的(de)(de)信(xin)息资产(chan)的(de)(de)形式也变(bian)得(de)多(duo)种多(duo)样,在(zai)(zai)传(chuan)统的(de)(de)实(shi)体资产(chan)之外增加(jia)(jia)了虚拟资产(chan)、信(xin)息资产(chan),这(zhei)无疑(yi)增加(jia)(jia)了全(quan)面防护的(de)(de)难度。

第二个挑战是快(kuai)速(su)演(yan)化(hua)的(de)网(wang)络威胁。当前(qian)主流攻击更(geng)(geng)有针对性,聚焦高价(jia)值资产;利(li)用组(zu)合式的(de)攻击方法(fa),使用高级的(de)攻击工具;具备(bei)更(geng)(geng)明确的(de)攻击意图,为(wei)了成(cheng)功达成(cheng)攻击的(de)意图往往可(ke)以在(zai)目(mu)标(biao)环境中长时间潜(qian)伏,以至于无法(fa)被(bei)安(an)全设(she)备(bei)及时检出。同时攻击还具备(bei)发起更(geng)(geng)加突然、攻击手段(duan)更(geng)(geng)加隐蔽、攻击过程(cheng)更(geng)(geng)加迅速(su)等特征;并且(qie)在(zai)攻击成(cheng)功后对目(mu)标(biao)造成(cheng)“毁灭性”的(de)影响,不仅(jin)导(dao)致(zhi)信息被(bei)窃取、数据遭篡(cuan)改、服(fu)务拥塞、访问(wen)困(kun)难,系统(tong)崩溃、数据丢失和(he)硬件永久性损害,甚至将对国家(jia)关键基础(chu)设(she)施(shi)造成(cheng)灾难性破坏或(huo)者对国家(jia)安(an)全、社会(hui)公共安(an)全和(he)人民群众的(de)切实利(li)益构成(cheng)严重威胁。

第三个挑战是防(fang)(fang)(fang)守方相对(dui)威胁滞后(hou)的(de)检测能(neng)力。面对(dui)复杂的(de)攻(gong)击,传统由安全(quan)产品简单(dan)叠加构成的(de)安全(quan)防(fang)(fang)(fang)线很容易(yi)被绕(rao)过和(he)规避;传统安全(quan)防(fang)(fang)(fang)线由于不具(ju)备完整防(fang)(fang)(fang)御(yu)体(ti)系能(neng)力,导致防(fang)(fang)(fang)御(yu)能(neng)力滞后(hou),通常(chang)只(zhi)能(neng)在(zai)事后(hou)阶段(duan)检测发现,而不能(neng)在(zai)事前(qian)或者事中阶段(duan)及时感知威胁,对(dui)于用(yong)户来讲只(zhi)能(neng)止损,而没有办法(fa)预(yu)防(fang)(fang)(fang)。

什么是态势感知?

态(tai)势(shi)(shi)感(gan)(gan)知(zhi)最初应用在军事(shi)时的经典定(ding)义(yi)是“在一(yi)定(ding)时间和空(kong)间内(nei)观察(cha)(cha)环境(jing)中的元(yuan)(yuan)素,理解这(zhei)些元(yuan)(yuan)素的意义(yi),并(bing)预测(ce)这(zhei)些元(yuan)(yuan)素在近期未来的状(zhuang)态(tai)”。其(qi)中“时间”指(zhi)不受(shou)外界条(tiao)件影响、全天候、持续的,“空(kong)间”指(zhi)网络空(kong)间地形形态(tai),而“观察(cha)(cha)”、“理解”和“预测(ce)”构成了态(tai)势(shi)(shi)感(gan)(gan)知(zhi)的阶段(duan)。

观察指有效(xiao)记录网络空间(jian)的全要素(su)信息(xi)。

理(li)(li)(li)(li)(li)解(jie)(jie)(jie),需(xu)要(yao)(yao)(yao)(yao)从微观(guan)、中观(guan)、中宏观(guan)、宏观(guan)等层面(mian)全方位理(li)(li)(li)(li)(li)解(jie)(jie)(jie)采集的(de)(de)信息的(de)(de)真(zhen)正意义。从微观(guan)层面(mian)我(wo)(wo)(wo)们(men)要(yao)(yao)(yao)(yao)理(li)(li)(li)(li)(li)解(jie)(jie)(jie)需(xu)要(yao)(yao)(yao)(yao)关(guan)(guan)注什(shen)么(me)、做什(shen)么(me)举措以及(ji)(ji)环境发生的(de)(de)问(wen)题;从中观(guan)层面(mian)我(wo)(wo)(wo)们(men)要(yao)(yao)(yao)(yao)理(li)(li)(li)(li)(li)解(jie)(jie)(jie)需(xu)要(yao)(yao)(yao)(yao)关(guan)(guan)注什(shen)么(me)、做什(shen)么(me)举措以及(ji)(ji)安全事件的(de)(de)动(dong)作(zuo)、行(xing)(xing)为、意图、目标(biao);从中宏观(guan)我(wo)(wo)(wo)们(men)要(yao)(yao)(yao)(yao)理(li)(li)(li)(li)(li)解(jie)(jie)(jie)需(xu)要(yao)(yao)(yao)(yao)关(guan)(guan)注什(shen)么(me),并结(jie)合(he)之前的(de)(de)认知和理(li)(li)(li)(li)(li)解(jie)(jie)(jie),结(jie)合(he)网络空间(jian)地形信息对(dui)整体情(qing)况(kuang)进行(xing)(xing)感知;从宏观(guan)层面(mian)我(wo)(wo)(wo)们(men)要(yao)(yao)(yao)(yao)对(dui)战略意图、攻击组织进行(xing)(xing)理(li)(li)(li)(li)(li)解(jie)(jie)(jie)。

在理解之(zhi)后需要(yao)对事件进行预(yu)测,即(ji)根据以往同类(lei)事件的(de)经验,猜测短期(qi)内(nei)可能发生的(de)下一步动作(zuo)。

因此,态(tai)势感知(zhi)是(shi)从微观、中(zhong)观到宏观的,不单单是(shi)像传统的地图(tu)炮一(yi)样只进行自由宏观的统计。态(tai)势感知(zhi)应该(gai)是(shi)包含观察、理解、预测(ce)下一(yi)步动作以及响应和处置的上层体系(xi)化防御(yu)系(xi)统。

态势感知能力全景

叠加演进的建设思路

在体系化的防(fang)(fang)(fang)护(hu)模式中(zhong)态势感知位于中(zhong)上(shang)游环(huan)节,向(xiang)下(xia)它(ta)需(xu)要(yao)依托于一(yi)定的基础(chu)(chu)防(fang)(fang)(fang)护(hu)能力。在此之上(shang),向(xiang)上(shang)需(xu)要(yao)广泛收集(ji)情报(bao)并有(you)效(xiao)利用。对(dui)应网络(luo)安(an)(an)全滑动标尺模型,基础(chu)(chu)结构安(an)(an)全和被动防(fang)(fang)(fang)御(yu)阶段(duan)是基础(chu)(chu)能力保(bao)障(zhang),通过(guo)后面积极防(fang)(fang)(fang)御(yu)阶段(duan)和情报(bao)阶段(duan)能对(dui)基础(chu)(chu)能力进行(xing)反(fan)馈,从而(er)进行(xing)有(you)效(xiao)提升。因此,采用网络(luo)安(an)(an)全叠加(jia)演进思路才能使态势感知真正发挥效(xiao)果并且有(you)效(xiao)落(luo)地。

图 1 叠加(jia)演进(jin)的建设思(si)路

态势感知基础

态势感知(zhi)(zhi)必须依靠一(yi)定的基础(chu)(chu)(chu)防(fang)护(hu)能(neng)(neng)力(li),才能(neng)(neng)最大化地(di)发挥作(zuo)用(yong),才能(neng)(neng)真正的实现有效防(fang)护(hu),它对(dui)应着滑动标尺(chi)模型的前两个(ge)阶段——基础(chu)(chu)(chu)结构(gou)(gou)安(an)(an)(an)全(quan)(quan)和(he)被动防(fang)御(yu)。为了保(bao)障态势感知(zhi)(zhi)的基础(chu)(chu)(chu)防(fang)护(hu)能(neng)(neng)力(li),在(zai)基础(chu)(chu)(chu)结构(gou)(gou)安(an)(an)(an)全(quan)(quan)方(fang)面,我们需要合理规划网络(luo)空(kong)间地(di)形,也(ye)就是(shi)做好分(fen)网络(luo)的分(fen)区(qu)(qu)分(fen)层(ceng)、为设(she)(she)(she)备设(she)(she)(she)立相应的安(an)(an)(an)全(quan)(quan)域(yu),在(zai)每(mei)个(ge)分(fen)区(qu)(qu)的出口(kou)部署对(dui)应的安(an)(an)(an)全(quan)(quan)设(she)(she)(she)备;同时(shi)设(she)(she)(she)定合理的安(an)(an)(an)全(quan)(quan)策(ce)略,为每(mei)个(ge)终(zhong)端安(an)(an)(an)装防(fang)护(hu)软件,定期(qi)进行主机加固,漏(lou)(lou)洞(dong)(dong)修复,并设(she)(she)(she)置(zhi)主机的边(bian)界(jie)防(fang)御(yu)策(ce)略,并为关键目标和(he)重要业务系(xi)统设(she)(she)(she)置(zhi)白(bai)名单,关停与业务无(wu)关的服务和(he)端口(kou)。在(zai)被动防(fang)御(yu)方(fang)面,则需要具备全(quan)(quan)线的防(fang)御(yu)体系(xi),在(zai)没有人员(yuan)介(jie)入(ru)的情(qing)况下,可以通(tong)过防(fang)火墙、反病毒、反恶意(yi)软件、入(ru)侵(qin)检(jian)测(ce)等传统安(an)(an)(an)全(quan)(quan)系(xi)统或设(she)(she)(she)备提供持续的威(wei)胁防(fang)御(yu)或威(wei)胁洞(dong)(dong)察(cha)力(li),保(bao)护(hu)资产并阻止或限制(zhi)已知(zhi)(zhi)漏(lou)(lou)洞(dong)(dong)被恶意(yi)利用(yong),降低被入(ru)侵(qin)的风(feng)险(xian)。

在合理的(de)网络地形之上,构建态(tai)势(shi)感知(zhi)防(fang)(fang)护(hu)体(ti)系(xi)全景(jing)的(de)态(tai)势(shi)感知(zhi)能力包括7大部分:全要素采集、多层次按需检测(ce)(ce)、资(zi)产测(ce)(ce)绘、场景(jing)化(hua)分析、情报消(xiao)费与(yu)生产、协同联动(dong)(dong)、常态(tai)化(hua)响应。网络对抗最(zui)终(zhong)还是人(ren)与(yu)人(ren)的(de)对抗,进攻(gong)方拥有充足的(de)人(ren)员和信息支(zhi)撑,相应的(de)防(fang)(fang)守一(yi)方不(bu)可能只依赖平台(tai)系(xi)统(tong)自动(dong)(dong)作业就可以有效的(de)防(fang)(fang)御。在防(fang)(fang)御的(de)过程中不(bu)能没(mei)有人(ren)的(de)参(can)与(yu),同时(shi)系(xi)统(tong)需要提供必要的(de)自动(dong)(dong)化(hua)支(zhi)持(chi)以辅助人(ren)的(de)作业。

全要素采集能力

全(quan)(quan)(quan)要(yao)素(su)采(cai)集(ji)(ji)(ji)是有效感(gan)(gan)知(zhi)的(de)(de)(de)(de)数(shu)(shu)(shu)据(ju)基础,全(quan)(quan)(quan)要(yao)素(su)不是指采(cai)集(ji)(ji)(ji)的(de)(de)(de)(de)设(she)备(bei)(bei)数(shu)(shu)(shu)量(liang)多,而是能够全(quan)(quan)(quan)面完(wan)整(zheng)的(de)(de)(de)(de)采(cai)集(ji)(ji)(ji)数(shu)(shu)(shu)据(ju)。全(quan)(quan)(quan)要(yao)素(su)采(cai)集(ji)(ji)(ji)可以完(wan)整(zheng)呈递(di)安全(quan)(quan)(quan)信(xin)息数(shu)(shu)(shu)据(ju),避免遗漏(lou)重要(yao)信(xin)息,为全(quan)(quan)(quan)面感(gan)(gan)知(zhi)和分(fen)析提供数(shu)(shu)(shu)据(ju)支(zhi)持。现有的(de)(de)(de)(de)很多安全(quan)(quan)(quan)设(she)备(bei)(bei)并(bing)不适用于态(tai)势感(gan)(gan)知(zhi)的(de)(de)(de)(de)采(cai)集(ji)(ji)(ji)设(she)备(bei)(bei),只是边(bian)界(jie)、流量(liang)、终(zhong)端、web等(deng)单(dan)点的(de)(de)(de)(de)威胁检(jian)测设(she)备(bei)(bei),采(cai)集(ji)(ji)(ji)的(de)(de)(de)(de)数(shu)(shu)(shu)据(ju)不足以支(zhi)撑(cheng)态(tai)势感(gan)(gan)知(zhi)对于网络安全(quan)(quan)(quan)全(quan)(quan)(quan)局(ju)化的(de)(de)(de)(de)观察需求。

在网(wang)络(luo)层面,主(zhu)要(yao)依托协(xie)议对包、流、会话(hua)进(jin)(jin)行有(you)效(xiao)的(de)信息(xi)提取,对传输内容按需还(hai)原(yuan);在终端(duan)层面,针(zhen)对主(zhu)机(ji)的(de)信息(xi)和状态提取主(zhu)机(ji)的(de)各(ge)种行为(wei),包括(kuo)进(jin)(jin)程(cheng)、文件及注册表的(de)访(fang)问、网(wang)络(luo)的(de)行为(wei)信息(xi),同(tong)时(shi)数(shu)据(ju)采(cai)集(ji)的(de)位置和方(fang)式也对数(shu)据(ju)的(de)结(jie)果有(you)重要(yao)影响,比如流量检测设(she)备在关(guan)(guan)口和在各(ge)交换机(ji)处检测效(xiao)果是完全不同(tong)的(de);或者(zhe)比如想检测到内网(wang)蠕虫(chong)传播(bo)和横向移动的(de)话(hua),仅依靠于部署(shu)在流量关(guan)(guan)口的(de)数(shu)据(ju)是不够(gou)的(de),还(hai)需要(yao)部署(shu)在内网(wang)关(guan)(guan)键(jian)交换机(ji)的(de)安全设(she)备采(cai)集(ji)的(de)数(shu)据(ju)作为(wei)支撑。

多层次、按需检测能力

态势感知(zhi)掌(zhang)握全局的网(wang)络安(an)全状态,因此需要覆盖所有安(an)全单品(pin)的检(jian)测能力(li)点(dian),从(cong)(cong)而(er)形(xing)成从(cong)(cong)点(dian)到面的全景检(jian)测能力(li)。从(cong)(cong)检(jian)测位置可以(yi)分(fen)为(wei)(wei)流(liu)量、端(duan)(duan)点(dian)、网(wang)关等(deng)(deng);从(cong)(cong)分(fen)析对象可以(yi)分(fen)为(wei)(wei)文件、流(liu)量、主机行(xing)为(wei)(wei)等(deng)(deng);从(cong)(cong)威胁捕获(huo)与取证(zheng)角度可以(yi)分(fen)为(wei)(wei)威胁诱(you)捕和终端(duan)(duan)取证(zheng)。

同时(shi),态(tai)势感(gan)知(zhi)(zhi)不(bu)只是被动的(de)(de)(de)接收设(she)备上报的(de)(de)(de)采集数据(ju),同时(shi)还需要具备对新(xin)兴威胁、未(wei)知(zhi)(zhi)威胁及时(shi)发(fa)(fa)现与(yu)检测的(de)(de)(de)能(neng)力,不(bu)能(neng)仅依赖于(yu)传统安全(quan)设(she)备的(de)(de)(de)定期规则更新(xin),还需要不(bu)断的(de)(de)(de)对设(she)备进行用户私有(you)化检测能(neng)力的(de)(de)(de)升(sheng)级。通过(guo)有(you)效(xiao)利用IOC、TTP情(qing)报、分析调(diao)查对于(yu)事(shi)件的(de)(de)(de)认(ren)知(zhi)(zhi),按(an)需形成并更新(xin)安全(quan)产(chan)品(pin)检测规则,实现同类未(wei)知(zhi)(zhi)威胁发(fa)(fa)现以(yi)及潜在风险的(de)(de)(de)挖掘。

资产测绘能力

通过资(zi)产(chan)测绘,可(ke)以全(quan)面掌握(wo)当前网络(luo)空(kong)间(jian)情(qing)况,比如(ru)网络(luo)设备的(de)(de)(de)种(zhong)类、网络(luo)的(de)(de)(de)连接关系、节(jie)点的(de)(de)(de)硬件信(xin)息、节(jie)点系统(tong)或者软件的(de)(de)(de)种(zhong)类和版本、开放的(de)(de)(de)服务、承载的(de)(de)(de)业务以及(ji)节(jie)点上已(yi)知(zhi)的(de)(de)(de)漏(lou)洞情(qing)况。这样在未(wei)知(zhi)威胁的(de)(de)(de)挖掘中(zhong)(zhong),我(wo)们就能够根据有限的(de)(de)(de)信(xin)息快速(su)定位资(zi)产(chan),缩小分析范围(wei),比如(ru)某个漏(lou)洞只存在于(yu)操作(zuo)系统(tong)低于(yu)Windows 10的(de)(de)(de)版本中(zhong)(zhong),我(wo)们就可(ke)以通过该特征进行(xing)快速(su)缩小风险(xian)资(zi)产(chan)的(de)(de)(de)范围(wei);在获取(qu)外部(bu)情(qing)报或者发生突(tu)发事件时,能够完(wan)成短时间(jian)内对存在风险(xian)的(de)(de)(de)资(zi)产(chan)的(de)(de)(de)筛查。

资(zi)产(chan)的(de)(de)获取主(zhu)要有(you)四(si)种方(fang)式:主(zhu)动(dong)扫描、被动(dong)监测、端点上报、人工(gong)上报。前三种方(fang)式都需(xu)要配(pei)套(tao)的(de)(de)设备(bei),可能(neng)存在获取的(de)(de)信息量不全(quan)情况,这时我(wo)们(men)就可以通过主(zhu)机行(xing)为(wei)限制等手段间接获取资(zi)产(chan)行(xing)为(wei);最后一种获取方(fang)式人工(gong)上报,则(ze)需(xu)要用户(hu)侧配(pei)合。

场景化分析能力

在态势(shi)感知(zhi)(zhi)过(guo)(guo)程中(zhong)观察到的元(yuan)素或者动作(zuo),可以通过(guo)(guo)套用场(chang)(chang)景(jing)化的情(qing)境(jing)模型,对(dui)(dui)下一(yi)步攻(gong)击动作(zuo)进行短期预(yu)测(ce),基于历史(shi)数据结(jie)合(he)多(duo)种分析方法对(dui)(dui)预(yu)测(ce)的动作(zuo)进行验证(zheng),通过(guo)(guo)对(dui)(dui)线索的不断寻找和拓(tuo)展,逐步形成符(fu)合(he)该模型行为(wei)模式的攻(gong)击路(lu)径(jing)。通过(guo)(guo)情(qing)报消费、知(zhi)(zhi)识利用、经验积累等途径(jing),配合(he)机器学习(xi)、知(zhi)(zhi)识图谱、人工智(zhi)能的技(ji)术手段(duan),结(jie)合(he)实际攻(gong)击场(chang)(chang)景(jing),建立并优化情(qing)境(jing)模型。

构建情(qing)境(jing)模型需(xu)要(yao)依托(tuo)于多种安全分(fen)析工具(ju),主(zhu)要(yao)包括以下(xia)三(san)类:

1、统计分析工具,主要用于数据层面特征分析、数据趋势分析;
2、可视化分析工具,通过与实际网络环境对应,直观清晰的呈现分析过程;
3、交互式分析工具即BI工具,具备交互性强的特征,在分析中能够将分析过程与结果自由切换与对应,实现搜索、过滤、关联、聚合多种分析方式相互组合。

情报消费与生产能力

态(tai)势(shi)(shi)感知系统(tong)(tong)是如何实现(xian)有效的(de)(de)(de)积极防御的(de)(de)(de)呢?它的(de)(de)(de)关键在于(yu)针对攻击者的(de)(de)(de)情(qing)报(bao)(bao)(bao)消费的(de)(de)(de)能力,实现(xian)情(qing)报(bao)(bao)(bao)驱动在环境中(zhong)的(de)(de)(de)威胁发现(xian)、安全(quan)(quan)响应。分(fen)析(xi)人(ren)员要(yao)能够通(tong)过多种(zhong)途径获取(qu)情(qing)报(bao)(bao)(bao),完成(cheng)(cheng)情(qing)报(bao)(bao)(bao)的(de)(de)(de)分(fen)拣、分(fen)析(xi)、安全(quan)(quan)要(yao)素提(ti)取(qu),通(tong)过对情(qing)报(bao)(bao)(bao)进行综合(he)的(de)(de)(de)评级与分(fen)类,最终(zhong)实现(xian)情(qing)报(bao)(bao)(bao)的(de)(de)(de)统(tong)(tong)一管理。情(qing)报(bao)(bao)(bao)在态(tai)势(shi)(shi)感知过程中(zhong)可(ke)(ke)以(yi)作为未知威胁挖掘的(de)(de)(de)线索,也可(ke)(ke)以(yi)经分(fen)析(xi)形(xing)成(cheng)(cheng)为安全(quan)(quan)设(she)备赋(fu)能的(de)(de)(de)检(jian)测规则、可(ke)(ke)以(yi)帮助安全(quan)(quan)决策人(ren)员制定系统(tong)(tong)加(jia)固策略、可(ke)(ke)以(yi)帮助分(fen)析(xi)人(ren)员建立对于(yu)敌情(qing)分(fen)析(xi)的(de)(de)(de)知识体系等(deng)等(deng)。态(tai)势(shi)(shi)感知本身也具(ju)备情(qing)报(bao)(bao)(bao)生产的(de)(de)(de)能力,经过对安全(quan)(quan)事(shi)件(jian)的(de)(de)(de)分(fen)析(xi),可(ke)(ke)以(yi)形(xing)成(cheng)(cheng)对其(qi)更深层次的(de)(de)(de)理解,最终(zhong)生成(cheng)(cheng)可(ke)(ke)共享(xiang)、可(ke)(ke)利用的(de)(de)(de)新(xin)的(de)(de)(de)情(qing)报(bao)(bao)(bao)信(xin)息(xi)。

常态化响应能力

态(tai)(tai)势感知系(xi)统不仅具备(bei)安全监测、分(fen)析研(yan)判的(de)(de)能(neng)力,同时也具备(bei)常态(tai)(tai)化的(de)(de)响应(ying)能(neng)力,针对(dui)不同的(de)(de)攻击场景,形成流程化的(de)(de)响应(ying)模式(shi),通(tong)过(guo)人机(ji)结合的(de)(de)协(xie)同响应(ying)及联动(dong)各(ge)类设(she)备(bei)实现主动(dong)的(de)(de)威胁对(dui)抗。

态势感知能力全景

基(ji)于上述的(de)七种能力(li),我们可以(yi)构建出态(tai)(tai)势感知(zhi)系(xi)统的(de)能力(li)全(quan)景(jing),涵盖(gai)以(yi)全(quan)要素(su)数据采集作为的(de)底(di)层数据支(zhi)撑;通(tong)过多(duo)(duo)层次、按(an)需(xu)检(jian)测对网络(luo)空间数据进行全(quan)方位能力(li)覆盖(gai);通(tong)过情报消(xiao)费与(yu)生产能力(li)结合(he)的(de)场(chang)景(jing)化分(fen)析能力(li)对攻击(ji)战略、战术、方法(fa)进行分(fen)析,以(yi)此追本(ben)溯源(yuan);辅以(yi)具有常态(tai)(tai)化响应能力(li)的(de)设备(bei)进行协同(tong)联动,保(bao)障了安全(quan)防(fang)护体系(xi)的(de)积极防(fang)御能力(li),提高威胁对抗的(de)实战化能力(li);网内态(tai)(tai)势进行多(duo)(duo)角度、多(duo)(duo)层级的(de)全(quan)面呈现等。

实战化态势感知

实战化态势感知的任务与人员配置

基于上面讲述的(de)(de)全(quan)景态势感知(zhi),我们讲一(yi)下态势感知(zhi)系统在实际网(wang)络对战(zhan)中的(de)(de)应用。网(wang)络对抗(kang)最终还是人(ren)(ren)与人(ren)(ren)的(de)(de)对抗(kang),进(jin)攻方拥(yong)有充足(zu)的(de)(de)人(ren)(ren)员支(zhi)撑,作为(wei)防守方不(bu)可能只依赖平台系统的(de)(de)自动(dong)作业就实现有效的(de)(de)防御(yu),防御(yu)过程是离(li)不(bu)开人(ren)(ren)工(gong)操作、判断和分析的(de)(de),同时为(wei)辅助(zhu)人(ren)(ren)工(gong)作业提(ti)供自动(dong)化支(zhi)持也是必要的(de)(de)。

在实际(ji)场景下(xia),态势感知主要(yao)配合用(yong)户完成(cheng)四(si)项(xiang)主要(yao)任务(wu):演(yan)示(shi)(shi)、常态安(an)全对抗、突(tu)发应(ying)急、战略决策。并(bing)相应(ying)配备六种不同的(de)用(yong)户角色:安(an)全指挥员、安(an)全值守员、安(an)全演(yan)示(shi)(shi)员、设备操作员、安(an)全分析员、样本分析员。

图 2 实战化态势感知的人员(yuan)配(pei)置(zhi)

实战化态势感知的流程

在(zai)实(shi)际的(de)作(zuo)业中(zhong)(zhong),每种(zhong)安全人员(yuan)具备相应(ying)的(de)职(zhi)责,我们以态势(shi)(shi)感知能力逐步提(ti)升的(de)三种(zhong)场景(jing)为例,来说明实(shi)战(zhan)中(zhong)(zhong)态势(shi)(shi)感知的(de)有效(xiao)价值落地。

首先,基于资产(chan)的(de)威(wei)(wei)胁(xie)(xie)发(fa)现和(he)响应(ying)(ying)场景(jing)。态势感知的(de)基础(chu)能(neng)力(li)能(neng)够(gou)有(you)(you)(you)效应(ying)(ying)对资产(chan)上发(fa)生的(de)已知威(wei)(wei)胁(xie)(xie),其前提是(shi):完(wan)善的(de)基础(chu)防护、全局资产(chan)信息的(de)有(you)(you)(you)效掌握、大量安全事件分析积累、全线的(de)安全检测能(neng)力(li)、流程(cheng)化响应(ying)(ying)作业模式。在此之上,进行(xing)有(you)(you)(you)效的(de)情(qing)报(bao)叠加,就转换到情(qing)报(bao)驱动(dong)的(de)威(wei)(wei)胁(xie)(xie)发(fa)现与响应(ying)(ying)场景(jing)。进一(yi)步地,如果态势感知拥有(you)(you)(you)了丰富成熟的(de)情(qing)境模型,配(pei)备了高级(ji)安全分析人员,则针对不同攻击场景(jing),能(neng)够(gou)进行(xing)未知威(wei)(wei)胁(xie)(xie)的(de)有(you)(you)(you)效发(fa)现与响应(ying)(ying)。

最终实战(zhan)化态势感知(zhi)要达到的效(xiao)果就是:感攻击(ji)于(yu)须臾,定源头于(yu)一瞬(shun);拢(long)态势于(yu)眼底(di) 挫威胁(xie)于(yu)指尖。