當(dāng)前用戶獲得的告警能力和響應(yīng)能力都來(lái)自于安全設(shè)備的威脅以及脆弱性分析報(bào)告�,而對(duì)于安全系統(tǒng)自身的安全狀態(tài)和能力方面的檢測(cè)卻十分缺乏����。例如:關(guān)鍵業(yè)務(wù)系統(tǒng)和重要數(shù)據(jù)的安全狀態(tài),安全防護(hù)能力的執(zhí)行情況�����,以及內(nèi)部威脅違規(guī)的感知能力等�。
其次���,對(duì)于攻擊者來(lái)說(shuō)����,所采用的攻擊手段和攻擊戰(zhàn)術(shù)不能及時(shí)發(fā)現(xiàn)或者不了解���,或者不能及時(shí)更新�����,現(xiàn)有的安全技術(shù)���、安全管理手段無(wú)的放矢���,應(yīng)對(duì)失措導(dǎo)而致信息安全體系失效。
在這方面����,MITER發(fā)布的的ATT&CK知識(shí)庫(kù)是一個(gè)了解攻擊者采用何種戰(zhàn)術(shù)和技術(shù)攻陷企業(yè)信息系統(tǒng)的有效途徑。
構(gòu)建異常行為的線索發(fā)現(xiàn)能力
傳統(tǒng)基于關(guān)聯(lián)規(guī)則的威脅監(jiān)測(cè)手段是無(wú)法發(fā)現(xiàn)高級(jí)持續(xù)性威脅(APT����、未知威脅)等攻擊,因?yàn)锳PT攻擊的時(shí)間軸有可能長(zhǎng)達(dá)數(shù)年����,而每次的攻擊動(dòng)作需要長(zhǎng)時(shí)間的關(guān)聯(lián)才能被發(fā)現(xiàn)。但是����,從攻擊開(kāi)始到攻擊結(jié)束,整個(gè)攻擊過(guò)程會(huì)持續(xù)多個(gè)“動(dòng)作”�����,每個(gè)動(dòng)作一定區(qū)別于正常的用戶行為,如:尋找重要資產(chǎn)信息�����、大量訪問(wèn)系統(tǒng)和數(shù)據(jù)����,越權(quán)訪問(wèn)不經(jīng)常訪問(wèn)的敏感數(shù)據(jù),試圖獲取關(guān)鍵業(yè)務(wù)系統(tǒng)和數(shù)據(jù)��,掩蓋攻擊行為和操作痕跡���,以同一身份通過(guò)不同設(shè)備登錄等。那么對(duì)于已經(jīng)滲透到系統(tǒng)內(nèi)部的攻擊者而言��,異常行為檢測(cè)則成為識(shí)別該類威脅的唯一機(jī)會(huì)�����。因此����,對(duì)企業(yè)內(nèi)部用戶和設(shè)備行為異常的檢測(cè)和預(yù)警是發(fā)現(xiàn)高級(jí)安全威脅的關(guān)鍵。
利用各類數(shù)據(jù)源���,構(gòu)建的企業(yè)信息安全情報(bào)系統(tǒng)�����,感知“什么人���、什么設(shè)備(Who)���,在什么時(shí)間(When),什么地點(diǎn)(Where)����,通過(guò)什么應(yīng)用(How),訪問(wèn)或操作了哪些資產(chǎn)(What)”����,構(gòu)建以用戶和設(shè)備為基點(diǎn)的信息系統(tǒng)畫(huà)像,是發(fā)現(xiàn)異常行為——不論是自動(dòng)的機(jī)器學(xué)習(xí)方式�����,還是人工分析方式的基礎(chǔ)�����。
在這個(gè)基礎(chǔ)上,基于UEBA技術(shù)���,通過(guò)分析挖掘與“正?!蹦J酱嬖谄畹漠惓P袨?���,來(lái)檢測(cè)具有威脅的用戶和實(shí)體,使用機(jī)器學(xué)習(xí)����、算法和統(tǒng)計(jì)分析等手段來(lái)了解何時(shí)與已建立的模式存在偏差,通過(guò)與自身賬號(hào)原行為模型進(jìn)行比較�����,結(jié)合其他維度的異常行為模型進(jìn)行分析�,發(fā)現(xiàn)哪些賬戶可能被不法分子盜取控制���,還可以對(duì)涉及的異常類型�����,異常情況明細(xì)�、軌跡分布等信息進(jìn)行發(fā)現(xiàn),顯示哪些異?���?赡軐?dǎo)致潛在的真實(shí)威脅,是檢測(cè)內(nèi)部用戶的異常行為���、分析鑒別威脅的一件利器����。系統(tǒng)還可以聚合報(bào)告和日志中的數(shù)據(jù)����,以及關(guān)聯(lián)文件、流和數(shù)據(jù)包信息����,在海量日志數(shù)據(jù)的噪聲中,有效降低安全事件分析的工作量�����,提高告警的針對(duì)性和準(zhǔn)確率�����。通過(guò)與SIEM類平臺(tái),譬如安全運(yùn)營(yíng)中心和態(tài)勢(shì)感知平臺(tái)的結(jié)合��,可發(fā)揮更多有效價(jià)值��。
構(gòu)建關(guān)鍵事件的分析能力
異常行為就是安全事件的一條重要線索?,F(xiàn)實(shí)場(chǎng)景中,用戶一線的安全分析師在發(fā)現(xiàn)可疑線索后��,由于對(duì)線索研判的可信原始數(shù)據(jù)支持的條件制約�����,很難實(shí)現(xiàn)對(duì)其事件定性及溯源�����,處于被動(dòng)防御的局面��。如果構(gòu)建異常行為的鉆取���、關(guān)聯(lián)、挖掘非常重要����,能夠化被動(dòng)防御為主動(dòng)防御���。通過(guò)分析將一連串的線索穿起來(lái),由點(diǎn)及面進(jìn)而逼近真相�����。例如:從可疑IP�、關(guān)聯(lián)到訪用戶,從可疑的用戶關(guān)聯(lián)到其使用應(yīng)用����、數(shù)據(jù)庫(kù)或相關(guān)敏感文件等,以時(shí)間維度�����,確定出惡意行為的行為序列�����,進(jìn)一步可進(jìn)行相關(guān)的威脅定位等�。對(duì)攻擊能力強(qiáng)的攻擊者IP和被攻擊次數(shù)最多的IP 進(jìn)行流量溯源取證,查看攻擊的原始流量包或內(nèi)部異常行為的原始流量包�,確認(rèn)是否已攻入內(nèi)網(wǎng)。
通過(guò)機(jī)器學(xué)習(xí)算法量化出攻擊者的攻擊破壞性(攻擊武力值)和攻擊密集程度(攻擊值)����,對(duì)高危的IP進(jìn)行自動(dòng)封堵;
與私域情報(bào)庫(kù)進(jìn)行比對(duì)�����,對(duì)比成功的IP地址進(jìn)行自動(dòng)/手動(dòng)封堵(需要了解安全防護(hù)產(chǎn)品是否支持)���。
上述過(guò)程,必須依賴于一個(gè)專業(yè)的數(shù)據(jù)分析平臺(tái)�����,通過(guò)這個(gè)數(shù)據(jù)分析平臺(tái)����,可以整合豐富的數(shù)據(jù)源,通過(guò)數(shù)據(jù)挖掘構(gòu)建企業(yè)信息系統(tǒng)“畫(huà)像”�,刻畫(huà)各類用戶、設(shè)備的行為特征�����,對(duì)異常行為進(jìn)行自動(dòng)化檢測(cè)和預(yù)警��,能夠以異常行為線索按照時(shí)間序列關(guān)聯(lián)用戶��,設(shè)備�����,應(yīng)用��,數(shù)據(jù)����,結(jié)合威脅情報(bào),確定威脅指標(biāo)�,結(jié)合專業(yè)的安全分析師最終定位威脅。
構(gòu)建及時(shí)響應(yīng)處置的安全閉環(huán)
安全以“檢測(cè)”為始�����,以“響應(yīng)”為終�。在攻擊者對(duì)企業(yè)信息系統(tǒng)造成最終損害之前,制止損害或降低損失是信息安全體系的最終防線����,也是及時(shí)響應(yīng)的目標(biāo)。當(dāng)檢測(cè)到威脅后��,及時(shí)響應(yīng)則依賴于安全生態(tài),現(xiàn)在安全人員的工作強(qiáng)度和壓力非常之高��,能降低工作量并提高效率的產(chǎn)品肯定會(huì)廣受歡迎�����,例如:SOAR�。采用了自動(dòng)化的安全編排 (Security Orchestration)技術(shù),使得不同的系統(tǒng)或者單個(gè)系統(tǒng)內(nèi)部不同組件可以通過(guò)應(yīng)用編程接口(Application Programming Interface���,API)和人工檢查點(diǎn)按照一定的邏輯關(guān)系組合到一起���,用以完成某個(gè)特定安全運(yùn)營(yíng)的過(guò)程,使得在告警事件在被觸發(fā)時(shí)可以按照預(yù)定義的邏輯進(jìn)行多業(yè)務(wù)系統(tǒng)���、多設(shè)備���、多層級(jí)的聯(lián)動(dòng),實(shí)現(xiàn)了安全事件響應(yīng)的半自動(dòng)化�����。
未來(lái)展望
未來(lái)���,啟明星辰認(rèn)為安全運(yùn)營(yíng)中心一項(xiàng)重要任務(wù)是結(jié)合全國(guó)各地的個(gè)性化安全運(yùn)營(yíng)中心的實(shí)戰(zhàn)化場(chǎng)景�����,在三級(jí)不同運(yùn)營(yíng)中心匯總和輸出不同的安全能力�,在落地的過(guò)程中深度結(jié)合人工智能技術(shù)和安全分析技術(shù)��,不斷提升安全運(yùn)營(yíng)的管理水平�,并通過(guò)行業(yè)標(biāo)準(zhǔn)來(lái)規(guī)范化輸出安全運(yùn)營(yíng)中心運(yùn)營(yíng)腳本、ATT&CK攻擊模型和私域情報(bào)���。精準(zhǔn)定位安全事件�,提升安全事件響應(yīng)和處置速度�����。
安全攻防人員的工作環(huán)境將從被動(dòng)實(shí)戰(zhàn)化變?yōu)橹鲃?dòng)實(shí)戰(zhàn)化
以前安全廠商的安全攻防人員研究都是被動(dòng)式的實(shí)戰(zhàn)化處置安全問(wèn)題���,客戶只有出現(xiàn)問(wèn)題才能去找到原廠去解決�����,發(fā)現(xiàn)一些攻擊事件���。而廠商構(gòu)建頂部運(yùn)營(yíng)中心后�����,省級(jí)和地市級(jí)將會(huì)構(gòu)建出基于不同業(yè)務(wù)的實(shí)戰(zhàn)化攻擊場(chǎng)景�����。所以��。未來(lái)廠商的安全攻防人員很有可能隸屬于原廠安全運(yùn)營(yíng)中心�����,進(jìn)行實(shí)戰(zhàn)化分析���,發(fā)現(xiàn)高危安全威脅、APT攻擊����、輸出ATT&CK攻擊模型和安全情報(bào)等。
圍繞業(yè)務(wù)產(chǎn)生的個(gè)性化安全運(yùn)營(yíng)中心
根據(jù)客戶業(yè)務(wù)的需求不同將會(huì)產(chǎn)生個(gè)性化的安全運(yùn)營(yíng)中心����,基于駐場(chǎng)形式的重量級(jí)安全運(yùn)營(yíng)服務(wù)���,構(gòu)建個(gè)性化安全運(yùn)營(yíng)中心,以客戶需求為導(dǎo)向�����,根據(jù)用戶現(xiàn)狀及安全目標(biāo)為基準(zhǔn)進(jìn)行定制化安全服務(wù)�����,提供覆蓋客戶信息系統(tǒng)規(guī)劃�����、設(shè)計(jì)����、建設(shè)和運(yùn)行的全生命周期的專業(yè)安全服務(wù)解決方案和最佳實(shí)踐服務(wù)�,并且在用戶現(xiàn)場(chǎng)持續(xù)運(yùn)營(yíng)。
其中基于駐場(chǎng)形式的重量級(jí)安全運(yùn)營(yíng)服務(wù)涵蓋綜合安全監(jiān)管服務(wù)���、綜合安全運(yùn)營(yíng)服務(wù)�、數(shù)據(jù)安全專項(xiàng)運(yùn)營(yíng)服務(wù)����、工控安全專項(xiàng)運(yùn)營(yíng)服務(wù)和云安全專項(xiàng)運(yùn)營(yíng)服務(wù)五大類����,其中包含多個(gè)服務(wù)子項(xiàng)��,針對(duì)安全運(yùn)營(yíng)服務(wù)進(jìn)行了全覆蓋��,為用戶提供全方位的安全服務(wù)���、全程無(wú)憂的安全運(yùn)營(yíng)交付��。
三級(jí)安全運(yùn)營(yíng)中心將匯集和輸出不同的安全能力
運(yùn)營(yíng)中心按照規(guī)?�?梢苑譃榈厥屑?jí)和行業(yè)級(jí)安全運(yùn)營(yíng)中心�����、省級(jí)安全運(yùn)營(yíng)中心及廠商頭部安全運(yùn)營(yíng)中心共三級(jí)運(yùn)營(yíng)中心���。
地市級(jí)和行業(yè)級(jí)安全運(yùn)營(yíng)中心輸出實(shí)戰(zhàn)化安全場(chǎng)景,省級(jí)運(yùn)營(yíng)中心輸出實(shí)戰(zhàn)化安全分析師��,而廠商級(jí)安全運(yùn)營(yíng)中心將輸出APT發(fā)現(xiàn)����、ATT&CK攻擊模型���、高危漏洞、安全運(yùn)營(yíng)工作腳本等攻擊發(fā)現(xiàn)能力和運(yùn)營(yíng)能力���。
地市級(jí)和行業(yè)級(jí)安全運(yùn)營(yíng)中心充分構(gòu)建可視化網(wǎng)絡(luò)態(tài)勢(shì)感知能力����,用不同的邏輯空間發(fā)現(xiàn)網(wǎng)絡(luò)空間事件�����、事件影響和關(guān)聯(lián)動(dòng)作�。打造實(shí)戰(zhàn)安全攻防場(chǎng)景�����,及時(shí)掌握威脅態(tài)勢(shì)�,進(jìn)而做出更快速、更明智的行動(dòng)決策���,為上游運(yùn)營(yíng)中心提供實(shí)戰(zhàn)化安全場(chǎng)景�����,地市級(jí)和行業(yè)級(jí)運(yùn)營(yíng)中心將會(huì)構(gòu)建三大能力:
1����、實(shí)現(xiàn)“看見(jiàn)自己的威脅”階段;
2、實(shí)現(xiàn)“看見(jiàn)攻擊場(chǎng)景的能力”階段;
3�����、實(shí)現(xiàn)“感知攻防態(tài)勢(shì)的能力”階段�。
省級(jí)運(yùn)營(yíng)中心輸出實(shí)戰(zhàn)化安全分析師,由于地市級(jí)安全運(yùn)營(yíng)中心在當(dāng)?shù)厝狈I(yè)的安全運(yùn)營(yíng)人才和安全分析師����,省級(jí)運(yùn)營(yíng)中心將會(huì)作為安全運(yùn)營(yíng)資源池,積極服務(wù)安全運(yùn)營(yíng)人才�,如安全運(yùn)營(yíng)人員,一線分析師����、二線分析師等等。另外����,不同的運(yùn)營(yíng)中心輸出不同的安全運(yùn)營(yíng)人才�,如:數(shù)據(jù)安全方向�����、云安全方向���、工業(yè)安全方向等���。
啟明星辰安全運(yùn)營(yíng)中心,作為主要技術(shù)能力輸出資源池���,積極構(gòu)建安全運(yùn)營(yíng)中心管理資源池���,安全工具開(kāi)發(fā)能力資源池���,結(jié)合地市級(jí)和省級(jí)安全運(yùn)營(yíng)中心提供的實(shí)戰(zhàn)化攻防場(chǎng)景����,結(jié)合頭部專業(yè)的三線安全分析師���,持續(xù)輸出APT發(fā)現(xiàn)�����、ATT&CK攻擊模型�����、高危漏洞���、安全運(yùn)營(yíng)工作腳本等攻擊發(fā)現(xiàn)能力和運(yùn)營(yíng)能力�����,持續(xù)為省級(jí)和地市級(jí)各個(gè)運(yùn)營(yíng)中心輸出威脅感知能力和安全運(yùn)營(yíng)管理能力����。
私域情報(bào)的誕生
個(gè)性化的運(yùn)營(yíng)中心一定衍生出符合自己運(yùn)營(yíng)中心業(yè)務(wù)的私域情報(bào)�����。
目前����,公有威脅情報(bào)這一安全數(shù)據(jù)源擺在企業(yè)安全團(tuán)隊(duì)面前的應(yīng)用難題主要有三個(gè):
多,威脅情報(bào)數(shù)據(jù)源多、數(shù)量多�,數(shù)量的龐大加上情報(bào)本身的置信度問(wèn)題,會(huì)帶來(lái)大量的檢出誤報(bào)�,安全人員疲于應(yīng)對(duì);
雜,威脅情報(bào)種類雜��,應(yīng)用場(chǎng)景復(fù)雜��,不同的情報(bào)可能位于攻擊鏈的不同階段���,不同的場(chǎng)景側(cè)重的是不同的攻擊者���,例如云平臺(tái)的情報(bào)應(yīng)用關(guān)注外部攻擊者,企業(yè)側(cè)的情報(bào)應(yīng)用主要關(guān)注的是內(nèi)網(wǎng)有無(wú)受感染的主機(jī)或者對(duì)外的惡意行為�����。不同場(chǎng)景中應(yīng)用威脅情報(bào)的種類也是有差異的;
快����,威脅情報(bào)更新快����,在前面兩個(gè)問(wèn)題“多”和“雜”的映襯下,更新速度可能成為壓倒安全管理人員的最后一根稻草。如果沒(méi)有合適的情報(bào)自動(dòng)化運(yùn)營(yíng)流程��,這一系列的情報(bào)檢測(cè)����、事件跟蹤、事件確認(rèn)和威脅溯源將會(huì)是人力投入產(chǎn)出比極低的工作�。
所以,構(gòu)建安全運(yùn)營(yíng)中心自己的私域情報(bào)尤為重要���,私域情報(bào)是根據(jù)個(gè)性化安全運(yùn)營(yíng)中心的攻擊場(chǎng)景���,進(jìn)行實(shí)戰(zhàn)化分析,確定攻擊動(dòng)作�����、攻擊手法��、攻擊工具和使用的攻擊漏洞����,尤其是在不同的業(yè)務(wù)領(lǐng)域,如大數(shù)據(jù)領(lǐng)域���、數(shù)據(jù)安全領(lǐng)域�、云安全領(lǐng)域,這些攻擊動(dòng)作����、手法、漏洞和工具都是不同的��。構(gòu)建私域情報(bào)將會(huì)為不同的個(gè)性化安全運(yùn)營(yíng)中心快速定位安全事件的攻擊過(guò)程�,快速應(yīng)急和響應(yīng)攻擊事件的影響范圍,積極提供修復(fù)建議��,這也是未來(lái)衡量安全運(yùn)營(yíng)中心能力的可量化指標(biāo)�����。
(轉(zhuǎn)自科技狗)
