网络安全态势感知技术和安天的实践分享

时间: 2017年5月22日 作者:王小丰 来源:安天

一、态势感知的前世今生

我认为需要澄清一个概念,态势感知技术并不是网络安全领域的一个率先发明和应用,准确地说,态势感知技术应该是从航天领域先开始的,然后扩展到军事领域以及其他多个业务领域。整个态势感知的发展也经历了一个从概念模型到理论模型,再到系统模型的过程。目前,大家普遍认为的网络安全领域的态势感知是,广泛采集和收集网络中的安全状态和事件信息,并加以处理、分析和展现,从而明确当前网络的安全状况,为预警和响应提供决策支持的技术和应用系统。同时,我们也应该看到,在网络安全领域,态势感知也正处于从理论模型到系统模型逐渐成熟的阶段。

对于态势感知,大家现在有不同方向和不同侧重的认知,实践效果也不相同,后续,我会着重分享安天的实践认知和相应的效果。

二、关键认知

从认知的角度来看,有三点观念认知需要澄清:

1.1 态势感知是安全能力叠加式演进的重要手段

安天和360企业安全共同推崇的安全能力演进模型——网络安全滑动标尺模型,其主要包括架构安全、被动防御(包括传统的安全设备、安全应用等)、积极防御、威胁情报和进攻。积极防御的主要核心意义是,与被动安全相比,积极防御更强调人参与到持续的检测和持续的响应中;威胁情报的主要核心意义是,更强调对各种情报信息的汇聚和应用(高阶情报也非常重要)。从应用领域上来看,前四个阶段更适用于机构安全和企业安全,而进攻阶段,可能在国家安全层面上会应用得更多。

1.2全天候、全方位是态势感知的建设目标

建立任何一个系统或者模型,都需要相应的目标。态势感知的建设应用于不同行业和不同领域,其也可以分为高、中、低三个档位。高位是国家的态势感知,中位是行业的态势感知,低位是具体一个企业或者机构的态势感知。但无论是哪个行业、哪个维度或者哪个方向的态势感知,最终的建设目标应该是:

第一,保证全天候。“全天候”更多的是指感知时间的持续性,以及应对各级威胁的可靠性。

第二,保证全方位。“全方位”是指针对被防护资产的全方位和应对各种类型威胁的全方位。

支持这种全天候和全方位的能力主要依赖于有效的防护能力和检测能力。

1.3应对威胁是系统的检验标准

在有了核心需求和目标之后,怎么评判一个态势感知是否是一个成功的、有效的态势感知?我认为应对威胁的效果是一个最好的校验方式。以最近的“魔窟(WannaCry)”事件为例,这次事件有几个比较幸运的地方:第一,该事件发生在周五的晚上八点,这给各个安全厂商进行联合研判和响应一个相对充分的时间;第二,对于这次事件,无论是同行,还是各级主管部门,都表现得非常给力;第三,发现了灭活域名。无论如何,这次事件已经基本上告一段落,各个安全厂商和主管部门也都付出了很多努力,包括先后发布了免疫工具、专杀工具、排查工具,以及我们为了对接内网用户快速分发专杀工具进行布防。

但是如果我们进行反思,对于已经做了监测预警或态势感知的系统而言,其真正的效果如何?之前在朋友圈中有一个段子“大家的监控预警系统和态势感知系统都监测感知到这次蠕虫了吗?有我的朋友圈监测感知得早吗?”这只是一个段子,这么说也有很多不客观的地方,第一个不客观之处在于,大量的隔离网超出了很多安全厂商的感知范围;第二个不客观之处在于,态势感知系统本身的目的并不是要比朋友圈感知得早,而是能把朋友圈中的信息当作一种威胁情报,进行利用。但是以这个段子为开端,它还是值得我们去思考当前态势感知系统的建设情况以及在后续的实践和规划过程中的一些迷失。这其中包括值得我们讨论的四个方向:

第一,如何把预警和情报做好?“影子经纪人”和维基的相关爆料信息已经有一段时间了,那么我们在这方面是不是已经做好工作了?

第二,基本的资产脆弱性检测有没有恢复到态势感知中?虽然脆弱性信息的范围是可以感知到的,但是还有很大一部分不可修复的脆弱性范围,在一些情况最严重的部门中,打不上补丁的终端数量占据50%。这是由于多种原因造成的,包括与业务系统相冲突、软硬件兼容等问题,即有大量的打不上补丁的情况存在。此外,经过事实校验证明,大量的专有终端的防护是偏弱的。

第三,威胁检测与防护。从本质上来看,本次事件是由网络军火的一次非受控使用以及勒索工具构成的,那么在整个非受控使用中,有没有在脆弱性利用和端点防护中检测出来?后续则是勒索行为的检测。

第四,响应和恢复。从这两个维度可以看到我们所做的一些工作,其中,恢复更多是指在后续怎样进行持续的弥补,怎样进行举一反三。

三、安天的有效态势感知实践

基于上述的几点认知,安天所理解的态势感知系统包括几点关键理解和基础:

第一个关键点是,从感知上来看,一定是基于态势的需求去设计感知能力,而不是单纯地把现有的安全设备和安全事件汇聚过来就能完成态势的功能。所谓“无感知,不态势”,事实证明,单纯的安全系统和安全设备的汇聚不足以满足态势的需求。

从具体应用上来看,比较强调三个方面:一,可靠的端点侧、流量侧的安全要素感知和检测能力;二,融入多种资产信息;三,融入多种安全数据。

第二个关键点是,如何基于深度分析,实现全局研判?我认为洞察状态是总览态势的基础,什么是洞察状态?是指深度分析;什么是总览态势?是指做到全局研判。在有效检测的基础之上,我们需要对威胁、脆弱性和资产信誉进行深度分析,然后才能形成全局的态势研判。

第三个关键点是,从态势应用和态势呈现的角度来看,态势感知系统必然不是一个“只能看不能摸”的地图炮,必须要做好“三化”,即操作化、流程化、协同化。在操作化和流程化方面,应对各种安全事件和安全状态的变化,无论是响应类还是恢复类的操作,包括告警、阻断、追溯、取证、恢复、加固等操作,是非常重要的;在协同化方面,随着IT资产的复杂化,出现了一个问题就是需要大家去协同。以一个简单的例子为例,任何一个安全事件出现后,或者任何一个终端出现问题后,并不是全部由安全管理人员去负责解决,还需要和资产管理人员等进行联合处理。因此将态势分享出来是非常关键的,我将其称为多维多角色多层级的安全态势可视化呈现。

基于这三个要点,所要做的基础包括:第一,内外部威胁情报的输入;第二,基于威胁认知的安全知识输出。

四、安天的解决方案

基于安天的理解,我们也做出了一个态势感知简化的应用框架。从“无感知、不态势”的角度来看,在数据源层面,除了现有的安全数据和资产数据之外,我们特别强调主动探测数据,包含了具有强大能力的网络探针、端点探针,也包含了新领域需要的蜜罐探针,甚至包含了各种离线的调查处置工具,以及威胁情报的汇入;从态势感知和理解的角度来看,必须先做好深度的分析,基于深度分析的基础之上,形成各种方向的态势,包含资产态势、脆弱性、威胁风险,甚至还包含了业务安全和内容安全态势;从态势应用的角度来看,关于态势呈现,包含了安全人员、业务人员、信息人员、网络管理人员、设备管理人员等。

图 1 态势感知应用框架简图

五、态势感知实践中的要点

基于这样的一个应用框架,来分享几个安天在态势感知实践中的要点:

5.1 可靠的检测与采集

5.1.1 细粒度、全要素的智能检测和采集:采集模式

可靠的检测和安全要素的采集能力。对此,我认为应该至少具备三个标准:一,基础采集,包括能采集场景信息、行为信息(包括端点的和网络的);二,按需采集,能够跳出非黑即白的逻辑,根据业务需要和异常情况进行更多量的采集,这样才能做到对历史的追溯,和对未来的蹲守;三,场景化采集,基于不同的威胁场景,采集不同的安全要素。

5.1.2 细粒度、全要素的安全检测与采集:端点侧

端点侧的探针需要具备的能力:

一,基于黑白双控的终端防护。对于专有终端而言,非黑即白的模式并不一定合适。

二,采用基于黑白双控的并结合典型场景的关键信息采集方法。

三,采取主机行为建立档案。

5.1.3 全要素+载荷向量+威胁场景的按需数据采集

流量侧的探针需要具备的能力:

一,具备基于元数据构建三大类信息的能力。包括资产识别和漏洞利用发现、利用元数据构成各种全安全要素(类似五元组),以及基于五元组或者协议解析等去形成部分标签。

二,提取载荷向量。在态势感知和流量检测中仅仅提取出哈希还是远远不够的,以WannaCry事件为例,关于变种业内已是众说纷纭,包括卡巴斯基也先后发布和删除了相关消息。所以要做好检测,只有哈希是不够的,还需要进行载荷向量和信标的提取。

三,按需采集,基于信标条件和应用场景进行按需采集,在应用方面,可能是检测到威胁,也可能是需要我们进一步深入分析某些触发点的检测。

5.2 深度分析和研判

5.2.1 人机结合的深度分析

深度分析的最终校验标准是,能产生内部威胁情报。我们不能仅仅依赖于观点分析,还需要把采集到的哈希和样本放到沙箱中自动运行,或者通过养殖的方式,进一步进行大数据的关联分析,这样就可以找到更多的威胁线索,包括C2、URL等。基于样本可以解析出更多的动态向量和静态向量,以及威胁的装备、资源的标签等。

5.2.2 基于行为向量和标签的人工交互式分析

大多数情况下,异常都是需要去主动发现的,我们也做了很多方向的探索,包括模型的探索等,但是我觉得这些方法永远不能替代人工的分析。而人工分析的最有效方式是标签组合。

5.2.3 基于威胁认知的全局安全态势研判

经过深度分析之后,如何进行威胁研判?即基于威胁认知进行安全态势研判。我们做了两大类主要的应用方式:第一种是威胁研判,第二种是脆弱性研判。

基于我们的理解,威胁主要分为六大类:载荷(主要指功能代码)行为(包括网络行为和主机行为)目标资产、资源(C2等)装备体系(利用脆弱性等)攻击者信息。我们会发现,基于关键性威胁以及我们已知的脆弱性应用,基于威胁的认知,我们能够对所有的威胁和脆弱性进行知识化,基于知识化,我们就可以针对一个已知威胁进行相关关联,从而发现后续的需要应对的威胁。

5.2.4 分析与研判示例

有人说“态势感知的预测比较难做”,但我认为预测也没有那么难做,以一个例子为例:当我们发现恶意代码时,经过深度分析能够发现C2信息,那么在微观上的预测是,监测这个C2的活动;在宏观上的预测是,如果我们监测到这个恶意代码,我们会分析相关的脆弱性利用事件是什么,是不是存在其他的脆弱性利用,是不是同样需要我们去重点防护和加固。这就是我们认为的对态势的两种预测,一种是微观上的预测,另一种是基于深度和认知层面上宏观的预测。

一般的态势感知情况是,在发现可疑哈希值时,通常是对哈希进行采集,之后进行全网追溯。但是经过深度分析和综合研判后,通过哈希能够解析出域名,然后根据样本的同源性分析,在全网进行追溯,找到其他可能的攻击目标。

5.3 内外部情报的利用

对于“朋友圈感知得快”的说法,我认为好的态势感知从来不是要跑赢朋友圈,而是要用好朋友圈,朋友圈就是其需要感知的源之一。那么怎么用好威胁情报:

第一,外部威胁情报(朋友圈就是典型的外部威胁情报)。对于WannnaCry事件,很多安全厂商在年报中也做出过相关的预测,安天在2017年4月14日发布的《2016年网络安全威胁的回顾与展望》[ 安天:《2016年网络安全威胁的回顾与展望》:http://www.antiy.com/response/2016_Antiy_Annual_Security_Report.html]中就提出了一个观点“网络军火的非受控使用和蠕虫结合,有可能会带来蠕虫的回潮”。很不幸,这个预测被言中了。那么这种重要的威胁情报有没有被大家利用并指导相应的行动?如何去指导行动?把情报与资产、脆弱性相关联是一件很难的事情,这也是态势感知所要发挥的作用——必须把情报和资产的脆弱性以及资产评估相关联,然后才能转换为行动

第二,内部威胁情报。内部情报是指把已经发生的攻击行为和异常行为转化为情报,然后进行情报的相关操作,包括追溯、防护等。

实际上,情报的目的不仅仅是为了交换,也是为了指导行动(情报多采用TTP进行描述)。指导的行动包括,采取相应的响应行动及了解受害者的受损信息(受损资产、危害影响等)

5.4 安全可视化

5.4.1 多级多层的多维安全态势可视化

对于态势感知,我还是强调不同的用户需要不同的维度。什么是好的态势感知?我认为最好的态势感知可能就是“生产线大同”,把销量增加了多少、生产增加了多少等信息分享出来最为关键。

5.4.2 多维多层多角色态势呈现示例

通过几个示例可以看到,不仅仅是基于资产的态势,我们还强调针对业务系统的态势,因为从威胁的复杂程度来看,一个单点的威胁对于业务系统有什么影响是非常关键的。

六、安天态势感知实践总结

6.1 核心价值

我们希望态势感知所能达到的几个核心价值是:

第一,提升风险发现能力,提升风险响应速度。全局感知各类资产的网络安全状况,分级评估和快速处置资产的网络风险,支持设备联动和调查处置工具。

第二,提升潜在风险的研判能力(研判能力能够指导我们行动),建立威胁的预警能力,通过深度分析和关联分析,建立微观层面的预警能力;利用内外部威胁情报,建立中观层面的预警能力。

第三,提升协同响应能力。多维多层级的安全可视化呈现和交互分析。

第四,为业务运行安全、数据安全等提供数据支撑。独乐乐不如众乐乐,态势感知一定不是管理者独自领导和安全管理人员独占的系统,一定要分享给业务人员和其他相关的分析人员。

6.2 完善和优化防护体系

下图是我比较推崇的一个防护体系,其中包括识别、防护、检测审计、响应和恢复。基于这样的一个框架,态势感知所能发挥的主要作用是:

图 2 防护体系框图

第一,在识别阶段,能够更好地管理资产,解决资产管理等识别体系欠缺的问题;

第二,在检测审计层面上,必须要做好威胁情报的汇入,做好对高阶情报的搜集、分析、使用;

第三,要做好响应和恢复工作;

第四,目前的防护体系主要保障物理安全、系统安全、网络安全、数据安全、业务安全,但是我觉得还需要保障行为安全,态势感知必须要关注行为安全。

七、用潜在风险(情报)检验态势感知系统的有效落地姿势

WannaCry事件已经过去了,大家也很关注WannaCry的变种,但是我觉得还是需要举一反三、未雨绸缪,还需要重视一些其他的风险:

第一,已经有很长一段时间很少出现大规模爆发型的病毒了,这并不是因为网络变得更加安全了,而是因为威胁变得更加隐蔽了。

第二,除了WannaCry以外,还有“影子经济人”爆料的其它NSA装备。在这些安全事件发生之前,我们要做好准备,也希望如果再有安全事件发生时,态势感知系统能够感知到。

第三,对于目前已经曝光的信息,如果用一枚导弹来形容,所曝光的信息相当于是导弹的运载工具,但对于其背后的支撑导弹的预警雷达、数据链等体系我们知之甚少,这也需要我们警醒。

我们绘制了一张《NSA网络军火装备的漏洞利用关系图》,通过这张图可以发现,除了“永恒之蓝”以外,还有其他的NSA工具。我们应该思考一下,对于我们已经服务的用户而言,在解决“永恒之蓝”之后,针对其他的脆弱性利用,我们是否已经做好了相应的准备?主要包括情报预警、预防措施、检测防护和响应恢复几个方面的准备。

图 3 2017年4月14日泄露的NSA网络军火装备的漏洞利用关系图

八、结束语

态势感知无论应用于什么领域、什么方向,还是应该回归到总书记所说的目标上——“全天候、全方位”。要做到全天候、全方位需要大量的技术工作,需要客户提升自己的防护能力,也需要各位同行、各位甲方意识到我们当前“重感知、轻恢复”的偏颇倾向。希望今后安天能与各位有更多的沟通和碰撞。谢谢!