态势感知全景能力构建
时间: 2018年2月09日 作者:安天端点安全产品中心 来源:第五届安天网络安全冬训营内部报告文稿
【题记】
2018年1月11-12日,第五届安天网络安全冬训营在哈尔滨启幕,安天监控预警产品中心的同事发表了题为《态势感知全景能力构建》的演讲。他指出面对飞速变化的威胁形势,应立足于实现全天候全方位态势感知有效防护,采用快速叠加演进的思路,构建真实有效的态势感知能力全景。以敌情想定为前提,实现态势感知在未知威胁发现与响应、基于资产的威胁发现与响应、情报驱动的威胁发现与响应等具体场景下的实战化应用。
以下为报告全文:
威胁与挑战
背景
当前的网络环境日趋复杂,攻击模式逐步体系化、规模化,从近几年的“震网”、“乌克兰停电”、伪装“必加”等一系列事件来看,整个攻击过程已变得更加复杂。通过在系统内建立多个据点逐步渗透的情况也越来越常见,攻击所使用的武器、装备、资源也日趋多样化。同时,包括Cobalt Strike在内的各种商业攻击平台,已打破了传统的需要大规模成本投入才能形成的高级攻击作业。另外,针对封闭的物理隔离网络,也出现了针对性的攻击模式,能够远程渗透入侵封闭的计算机网络或独立的安全隔离网闸设备,因此,面对快速发展变化的攻击形式,单一的安全产品或是简单组合都不足以有效应对,需要更加体系化的防御体系。
2017年5月12日大规模爆发的“魔窟”WannaCry事件暴露出了我国企业在面对突发事件时缺乏响应手段和应急响应机制,例如缺乏人机协同的整体应急响应能力和指挥协调能力导致无法及时止损。大多数的网络环境中部署了大量涵盖边界侧、流量侧、端点侧的安全产品,但在面对突发事件的时候,却不能在上层形成对单点安全能力的统筹与规划,即无法进行快速有效的止损。
另外,面对快速发展变化的攻击形式,单一的安全产品或是简单组合可能无法有效应对,因此我们需要更加体系化的防御手段,将单点防御产品的能力进行组合、延展。基于上述背景,态势感知应运而生,态势感知作为整个安全监管和防御体系的枢纽与大脑,通过它的协调、管理与分析能力可以实现对网络流量、网络边界、业务系统、主机端点相关安全问题的感知防护。通过对安全事件的汇聚、分析、综合研判,设备的协调联动能力实现对高级持续性威胁的快速发现和响应处置,最终实现切实有效的安全防护。
挑战
目前我们所面临的网络安全挑战主要有三个方面。
第一个挑战是复杂多变的网络环境,主要体现在网络结构的多变性。现有网络结构相较传统网络结构增加了云平台架构、移动平台、工控网络、物联网等网络;同时由于计算能力与安全技术的飞速发展导致网络环境的多样性;网络结构内的信息资产的形式也变得多种多样,在传统的实体资产之外增加了虚拟资产、信息资产,这无疑增加了全面防护的难度。
第二个挑战是快速演化的网络威胁。当前主流攻击更有针对性,聚焦高价值资产;利用组合式的攻击方法,使用高级的攻击工具;具备更明确的攻击意图,为了成功达成攻击的意图往往可以在目标环境中长时间潜伏,以至于无法被安全设备及时检出。同时攻击还具备发起更加突然、攻击手段更加隐蔽、攻击过程更加迅速等特征;并且在攻击成功后对目标造成“毁灭性”的影响,不仅导致信息被窃取、数据遭篡改、服务拥塞、访问困难,系统崩溃、数据丢失和硬件永久性损害,甚至将对国家关键基础设施造成灾难性破坏或者对国家安全、社会公共安全和人民群众的切实利益构成严重威胁。
第三个挑战是防守方相对威胁滞后的检测能力。面对复杂的攻击,传统由安全产品简单叠加构成的安全防线很容易被绕过和规避;传统安全防线由于不具备完整防御体系能力,导致防御能力滞后,通常只能在事后阶段检测发现,而不能在事前或者事中阶段及时感知威胁,对于用户来讲只能止损,而没有办法预防。
什么是态势感知?
态势感知最初应用在军事时的经典定义是“在一定时间和空间内观察环境中的元素,理解这些元素的意义,并预测这些元素在近期未来的状态”。其中“时间”指不受外界条件影响、全天候、持续的,“空间”指网络空间地形形态,而“观察”、“理解”和“预测”构成了态势感知的阶段。
观察指有效记录网络空间的全要素信息。
理解,需要从微观、中观、中宏观、宏观等层面全方位理解采集的信息的真正意义。从微观层面我们要理解需要关注什么、做什么举措以及环境发生的问题;从中观层面我们要理解需要关注什么、做什么举措以及安全事件的动作、行为、意图、目标;从中宏观我们要理解需要关注什么,并结合之前的认知和理解,结合网络空间地形信息对整体情况进行感知;从宏观层面我们要对战略意图、攻击组织进行理解。
在理解之后需要对事件进行预测,即根据以往同类事件的经验,猜测短期内可能发生的下一步动作。
因此,态势感知是从微观、中观到宏观的,不单单是像传统的地图炮一样只进行自由宏观的统计。态势感知应该是包含观察、理解、预测下一步动作以及响应和处置的上层体系化防御系统。
态势感知能力全景
叠加演进的建设思路
在体系化的防护模式中态势感知位于中上游环节,向下它需要依托于一定的基础防护能力。在此之上,向上需要广泛收集情报并有效利用。对应网络安全滑动标尺模型,基础结构安全和被动防御阶段是基础能力保障,通过后面积极防御阶段和情报阶段能对基础能力进行反馈,从而进行有效提升。因此,采用网络安全叠加演进思路才能使态势感知真正发挥效果并且有效落地。
图 1 叠加演进的建设思路
态势感知基础
态势感知必须依靠一定的基础防护能力,才能最大化地发挥作用,才能真正的实现有效防护,它对应着滑动标尺模型的前两个阶段——基础结构安全和被动防御。为了保障态势感知的基础防护能力,在基础结构安全方面,我们需要合理规划网络空间地形,也就是做好分网络的分区分层、为设备设立相应的安全域,在每个分区的出口部署对应的安全设备;同时设定合理的安全策略,为每个终端安装防护软件,定期进行主机加固,漏洞修复,并设置主机的边界防御策略,并为关键目标和重要业务系统设置白名单,关停与业务无关的服务和端口。在被动防御方面,则需要具备全线的防御体系,在没有人员介入的情况下,可以通过防火墙、反病毒、反恶意软件、入侵检测等传统安全系统或设备提供持续的威胁防御或威胁洞察力,保护资产并阻止或限制已知漏洞被恶意利用,降低被入侵的风险。
在合理的网络地形之上,构建态势感知防护体系全景的态势感知能力包括7大部分:全要素采集、多层次按需检测、资产测绘、场景化分析、情报消费与生产、协同联动、常态化响应。网络对抗最终还是人与人的对抗,进攻方拥有充足的人员和信息支撑,相应的防守一方不可能只依赖平台系统自动作业就可以有效的防御。在防御的过程中不能没有人的参与,同时系统需要提供必要的自动化支持以辅助人的作业。
全要素采集能力
全要素采集是有效感知的数据基础,全要素不是指采集的设备数量多,而是能够全面完整的采集数据。全要素采集可以完整呈递安全信息数据,避免遗漏重要信息,为全面感知和分析提供数据支持。现有的很多安全设备并不适用于态势感知的采集设备,只是边界、流量、终端、web等单点的威胁检测设备,采集的数据不足以支撑态势感知对于网络安全全局化的观察需求。
在网络层面,主要依托协议对包、流、会话进行有效的信息提取,对传输内容按需还原;在终端层面,针对主机的信息和状态提取主机的各种行为,包括进程、文件及注册表的访问、网络的行为信息,同时数据采集的位置和方式也对数据的结果有重要影响,比如流量检测设备在关口和在各交换机处检测效果是完全不同的;或者比如想检测到内网蠕虫传播和横向移动的话,仅依靠于部署在流量关口的数据是不够的,还需要部署在内网关键交换机的安全设备采集的数据作为支撑。
多层次、按需检测能力
态势感知掌握全局的网络安全状态,因此需要覆盖所有安全单品的检测能力点,从而形成从点到面的全景检测能力。从检测位置可以分为流量、端点、网关等;从分析对象可以分为文件、流量、主机行为等;从威胁捕获与取证角度可以分为威胁诱捕和终端取证。
同时,态势感知不只是被动的接收设备上报的采集数据,同时还需要具备对新兴威胁、未知威胁及时发现与检测的能力,不能仅依赖于传统安全设备的定期规则更新,还需要不断的对设备进行用户私有化检测能力的升级。通过有效利用IOC、TTP情报、分析调查对于事件的认知,按需形成并更新安全产品检测规则,实现同类未知威胁发现以及潜在风险的挖掘。
资产测绘能力
通过资产测绘,可以全面掌握当前网络空间情况,比如网络设备的种类、网络的连接关系、节点的硬件信息、节点系统或者软件的种类和版本、开放的服务、承载的业务以及节点上已知的漏洞情况。这样在未知威胁的挖掘中,我们就能够根据有限的信息快速定位资产,缩小分析范围,比如某个漏洞只存在于操作系统低于Windows 10的版本中,我们就可以通过该特征进行快速缩小风险资产的范围;在获取外部情报或者发生突发事件时,能够完成短时间内对存在风险的资产的筛查。
资产的获取主要有四种方式:主动扫描、被动监测、端点上报、人工上报。前三种方式都需要配套的设备,可能存在获取的信息量不全情况,这时我们就可以通过主机行为限制等手段间接获取资产行为;最后一种获取方式人工上报,则需要用户侧配合。
场景化分析能力
在态势感知过程中观察到的元素或者动作,可以通过套用场景化的情境模型,对下一步攻击动作进行短期预测,基于历史数据结合多种分析方法对预测的动作进行验证,通过对线索的不断寻找和拓展,逐步形成符合该模型行为模式的攻击路径。通过情报消费、知识利用、经验积累等途径,配合机器学习、知识图谱、人工智能的技术手段,结合实际攻击场景,建立并优化情境模型。
构建情境模型需要依托于多种安全分析工具,主要包括以下三类:
1、统计分析工具,主要用于数据层面特征分析、数据趋势分析;
2、可视化分析工具,通过与实际网络环境对应,直观清晰的呈现分析过程;
3、交互式分析工具即BI工具,具备交互性强的特征,在分析中能够将分析过程与结果自由切换与对应,实现搜索、过滤、关联、聚合多种分析方式相互组合。
情报消费与生产能力
态势感知系统是如何实现有效的积极防御的呢?它的关键在于针对攻击者的情报消费的能力,实现情报驱动在环境中的威胁发现、安全响应。分析人员要能够通过多种途径获取情报,完成情报的分拣、分析、安全要素提取,通过对情报进行综合的评级与分类,最终实现情报的统一管理。情报在态势感知过程中可以作为未知威胁挖掘的线索,也可以经分析形成为安全设备赋能的检测规则、可以帮助安全决策人员制定系统加固策略、可以帮助分析人员建立对于敌情分析的知识体系等等。态势感知本身也具备情报生产的能力,经过对安全事件的分析,可以形成对其更深层次的理解,最终生成可共享、可利用的新的情报信息。
常态化响应能力
态势感知系统不仅具备安全监测、分析研判的能力,同时也具备常态化的响应能力,针对不同的攻击场景,形成流程化的响应模式,通过人机结合的协同响应及联动各类设备实现主动的威胁对抗。
态势感知能力全景
基于上述的七种能力,我们可以构建出态势感知系统的能力全景,涵盖以全要素数据采集作为的底层数据支撑;通过多层次、按需检测对网络空间数据进行全方位能力覆盖;通过情报消费与生产能力结合的场景化分析能力对攻击战略、战术、方法进行分析,以此追本溯源;辅以具有常态化响应能力的设备进行协同联动,保障了安全防护体系的积极防御能力,提高威胁对抗的实战化能力;网内态势进行多角度、多层级的全面呈现等。
实战化态势感知
实战化态势感知的任务与人员配置
基于上面讲述的全景态势感知,我们讲一下态势感知系统在实际网络对战中的应用。网络对抗最终还是人与人的对抗,进攻方拥有充足的人员支撑,作为防守方不可能只依赖平台系统的自动作业就实现有效的防御,防御过程是离不开人工操作、判断和分析的,同时为辅助人工作业提供自动化支持也是必要的。
在实际场景下,态势感知主要配合用户完成四项主要任务:演示、常态安全对抗、突发应急、战略决策。并相应配备六种不同的用户角色:安全指挥员、安全值守员、安全演示员、设备操作员、安全分析员、样本分析员。
图 2 实战化态势感知的人员配置
实战化态势感知的流程
在实际的作业中,每种安全人员具备相应的职责,我们以态势感知能力逐步提升的三种场景为例,来说明实战中态势感知的有效价值落地。
首先,基于资产的威胁发现和响应场景。态势感知的基础能力能够有效应对资产上发生的已知威胁,其前提是:完善的基础防护、全局资产信息的有效掌握、大量安全事件分析积累、全线的安全检测能力、流程化响应作业模式。在此之上,进行有效的情报叠加,就转换到情报驱动的威胁发现与响应场景。进一步地,如果态势感知拥有了丰富成熟的情境模型,配备了高级安全分析人员,则针对不同攻击场景,能够进行未知威胁的有效发现与响应。
最终实战化态势感知要达到的效果就是:感攻击于须臾,定源头于一瞬;拢态势于眼底 挫威胁于指尖。