浅谈安全管理和态势平台关键能力建设要点
2020-07-08
近年来,SOC、SIEM、态势感知和安全运营平台等网络安全热词成为企业安全建设的重点业务。与此同时,国家相关法规政策相继出台,对企业侧应该建设的平台提出了新的要求和目标,下表简要列举了部分相关法律法规对于态势感知、安全管理平台等的要求:
随着安全态势感知平台的兴起,企业侧建设的平台既希望完成对安全事件的感知和理解,也期望能够通过大数据、机器学习等技术加深对安全趋势的预测,将态势感知作为智能安全运营的载体,通过服务、运维、设备等串联起来,使得企业的整个安全业务流程更加规范和有序。
一个能真正有效帮助客户实现安全态势的全面监控、安全威胁的实时预警、企业安全生命周期管理及安全自动化的应急响应、安全闭环管理的安全管理中心或态势平台需要具备哪些关键能力?
架构/部署的稳定性
此部分应考虑解决方案或平台的体系结构及其模块部署方案和水平、垂直可伸缩性。方案或平台架构需支持企业环境要求,从单一节点解决方案的小型企业到需要分布式N层复杂组织结构的集团性企业,未来也需要考虑云交付和自主可控要求的部署方式。架构具备开放性,通过横向扩展、稳定的技术架构适应企业多变高速发展的业务,支持更多安全领域,如数据安全、应用安全、终端安全等。
如随着安全监测管理范围的扩大,数据量的翻倍增长,需要一个具备大数据处理和计算能力的架构应对各种规模组织的数据量、时效性和多样性存储增长的变化;当资源不足以支撑业务运转时,可添加新节点扩展集群规模。随着IT业务的变化和安全生态圈的建立,需要考虑与安全性或非安全性业务系统、平台的集成、开放也变得尤为重要。
数据治理能力
数据治理能力是基于大数据平台将流量、日志、情报、脆弱性和资产等数据集中收集,并在平台上做处理和分类,以支撑各类上层安全业务的开发。数据治理首先需要考虑数据采集、接入与预处理和数据存储等能力,能正确或方便快捷的采集数据,从异构安全设备的标准日志、流量、NetFlow包、漏洞、外部数据。外部数据包括机器可读的威胁情报(MRTI)或用户、资产数据(AD或CMDB)等。
从本地的数据到云计算数据,从安全数据到非安全数据,从结构化数据到非结构数据,考虑采集管理,采集协议的适配,如syslog、FTP、TCP/UDP、SNMP、API等多种方式完成数据采集,覆盖主动,被动采集方式,具备采集调度管理、运行管理和状态监测。
收集到的数据可以以原始形式存储,也可以范式化、富化或上下文化等形式存储,或以组合形式存储,并提供压缩功能,以最小化存储,保证数据健全的同时完成数据管理生命周期,从具有不可抵赖性的数据源的安全传输到具有每个事件和事件序列的保证完整性的安全存储。考虑为日志提供细粒度访问控制(通常是RBAC)的功能,以及模糊化和匿名化特性以及提供多种保留策略的灵活性。
分析和情报能力
数据采集完成后,需要进行实时、多源、多维度的关联分析,快速发现威胁,为了达到较高的精准度,多种分析方法可以并行运行,从简单的模式匹配到复杂的、有监督或无监督的机器学习,从建模到图谱分析等。分析能力也具备开放性,可理解和自定义、修改分析并重建新模型,灵活强大的分析能力不仅能覆盖威胁检测,还可发现异常行为、数据泄漏、欺诈等,并且能干提供基于攻击场景的分析研判,不止基于特征监测,运用威胁情报,结合专家经验构建基于场景的分析系统。
一些平台将分析映射到7步攻击链或MITRE ATT&CK框架,以更好的理解正在发生的威胁,有效的平台一般会提供典型的安全分析场景。威胁情报对于降低大量事件和告警中的垃圾数据或降噪,帮助更快速高效地发现攻击行为和攻击者十分关键,威胁情报的质量也是平台的关键能力,主要从四个方面判断质量,相关性、及时性、精确性、决策性。威胁情报的获取方式也是需要考虑的,外部威胁情报的订阅和系统内部的威胁情报是当前比较常见的方式,随着威胁情报源不断丰富和不同厂商威胁情报的提供,平台需要能有效的整合各厂商,各类威胁情报数据,可参考威胁情报的标准格式STIX。
响应和安全编排(行动和自动化)
企业在任何时刻都必须快速针对发现的威胁进行响应处置,围绕威胁判断的完整上下文,加速完成时间的响应封堵或隔离,改善整体的安全状况。对于面临海量安全事件处理的企业或组织,需要结合安全专家或安全运营的能力进行分配,对于复杂事件,会涉及到多个分析师或安全专家协助处置或研判,平台应支持此种场景下正确的分配事件,通过更改事件的状态(预配置或自定义)、说明和注释等,将事件分配其它用户,并可通过企业已有的IT工作台或IT服务管理(OA、ITSM)系统的集成,与安全之外的业务单元交互。并将每个事件或案例中执行的所有操作步骤记录并妥善保管,作为证据留存,保证每个事件的完整性和事件序列的完整性。
具备较强能力的平台还会提供深入取证或威胁捕获功能的接口方便企业根据上下文随时采取措施。随着能力的演进,平台还应具备自动化的编排能力,从数据源的收集、解析、完整用例,用于分析的规则和模型,以及响应和具备功能。
以上这些企业可随时配置、管理和执行,最小化访问、修改和部署的操作成本。多数平台会内置案例和脚本,企业最初依赖于平台的内置内容,但也会通过更新、管理来丰富企业的案例和脚本库,为更好的满足个性化业务要求。
取证和威胁狩猎
调查能力包括通过平台或方案搜索特定证据以调查事件、用于取证或支持威胁搜索的能力。搜索是基础要求,可灵活的适配运营或安全专家的使用习惯,基于描述分类或固定分类进行搜索,通过正则表达式或布尔型或SQL语句等特定语言进行自由流动的搜索查询。能基于查询条件快速响应,通过直观可视化的形式让运营人员或安全专家能获取有效信息,并能在搜索查询过程中随时进行案例配置操作。
用户体验和用户界面
由于平台或方案的复杂性,需要以提升企业各类角色的效率为目标,考虑用户体验,提供简化操作管理,具备深入专业知识流和操作模型的同时,通过操作指导降低使用者成本。安全可视化,可视化数据和威胁的能力是平台的另一个关键性能力要求,可以方便客户了解企业自身资产安全情况,借助多个可视化图表、图形化识、数据表格化、安全评分、趋势图、柱状图、分布图等直观图形等形式,支撑宏观的全局可视,辅助决策,比如全网安安全态势、全网风险监控大屏等,支撑微观层面可视,简化运维,支撑中层可视,可了解安全效能,安全度量执行情况等,从宏观到微观,横、纵向可视视角。
安全管理制度与持续化的安全运营团队
随着复杂且快速的环境变化,在具备安全管理和态势平台的同时,也需要完善的信息化运营及安全管理制度。2020年RSA大会上也提到了基于GQIM模型参考制定企业的安全度量各个阶段内容。企业的安全度量指标是风险管理的基础,以始为终,从业务安全为起点,细化安全度量指标并执行,明确制定业务安全目标,运营目标,考核指标,度量方式和度量细则,为更有效和完善的落地安全管理制度,企业需要考虑专业的安全运营和攻防团队的建立,运营团队完成7/24小时的事件分类管理处理、事件升级控制等实际事件闭环运营管理,攻防团队会通过攻防演练的实战对抗下,提升企业的整体的攻防能力,安全管理视野及方法论,工程化能力和业务影响范围等。
体系化的安全管理制度和流程、专业的安全运营和攻防团队是企业安全建设可持续监控运营的核心三要素。在实际的企业团队建设中,很多企业的安全运营和攻防团队都是考核引入安全厂商的人员力量,提升整个企业的安全攻防能力和实战化能力。安全管理制度体系、安全团队都是一个随业务扩张和逐渐完善的过程,需要根据企业的安全建设阶段和情况逐步调整。
在洞察网络安全态势后,绿盟科技全面推进智慧安全2.0战略,帮助企业安全建设升级,发布以运营为中心,智能化、全场景的统一安全管理平台——绿盟智能安全运营平台(ISOP)。
绿盟智能安全运营平台(ISOP)是以资产为核心、风险为导向的安全运营解决方案,能够通过多源异构的日志数据、流量数据采集和大数据分析,利用场景关联分析、机器学习、异常行为分析等先进技术,协助企业IT运维人员和安全分析人员快速发现资产面临的威胁和脆弱性。并且以情报为驱动,针对企业IT资产情况进行全方位的监控和告警,协助用户进行安全闭环管理。绿盟智能安全运营平台(ISOP)具备以下特性:
分层异构大数据自适应接入,降低各类日志接入技术&人力成本
针对各种层出不穷的数据源类型,绿盟科技提出了交互式日志语义解析的实现思路,保证了多厂家、多层次数据免插件、自动柔性接入,大幅降低后期各类数据接入的技术及人力成本。不仅可实时采集不同厂商的安全设备、网络设备、主机、操作系统以及各种应用系统产生的多源异构的日志信息,还使用大数据技术,在并发内存的内处理机制方面能够带来数倍于采用磁盘访问方式的解决方案,借助离线计算引擎在小时级别内,实现百亿秒级查询、百万每秒数据接入分析。
绿盟智能安全运营平台(ISOP)采用高可扩展性的组件化架构,从底层为模块快速加入调整提供基础,组件设计遵循高内聚、低耦合原则,对外接口稳定。架构分层上,水平和垂直拉伸扩展,越底层通用性越强,越上层业务性越强。同时也支持分布式集群部署,级联部署。
安全数据智能分析,完整复盘整个攻击过程,为安全事件的准确响应提供依据
面向不同安全业务场景,绿盟科技构建多种智能安全分析引擎,包括多源数据关联分析引擎、攻击链分析引擎、安全态势理解及推理引擎、威胁情报分析引擎、机器学习引擎、用户行为分析引擎等。对攻击行为、用户异常行为进行猎捕和追溯,快速定位攻击背后的黑手。
通过深度的网络会话关联分析、数据包解码分析、载荷内容还原分析、特征分析和日志分析,攻击过程可视化(攻击特征及高亮、流量上下文及会话日志、情报命中及扩展调查、攻击链模型、ATT&CK),对网络安全事件进行精准的定性分析,快速提取多维度的网络元数据进行异常行为建模,为后续异常数据挖掘、分析、取证建立扎实的基础。
通过UEBA分析,完成账号失陷检测,主机失陷检测,数据泄漏检测,内部用户滥用,提供事件调查的上下文。通过可视化威胁狩猎能力,覆盖IP、资产、MD5及URL的线索式狩猎能力,并内置攻击者、攻击路径、攻击目标、攻击类型等。
高效的情报关联分析,缩短应对新生威胁时间
绿盟智能安全运营平台将本地告警数据、网络资产数据、漏洞数据与绿盟威胁情报数据按照多个维度进行关联分析,实时感知资产的威胁和脆弱性,通过平台安全规则的筛选和过滤最终形成漏斗效应,保证告警的更加精准和有效,并洞察新的威胁动向。
自动化安全编排,提升运维效率,缩短响应时间
通过可视化编排将人、安全技术、流程进行深度融合;通过Playbook剧本串并联构建安全事件处置的工作流,自动化触发不同安全设备执行响应动作。基于对安全事件上下文有更全面、端到端的理解,有助于将复杂的事件响应过程和任务转换为一致的、可重复的、可度量的和有效的工作流,变被动应急响应为自动化持续响应。通过高级分析和工单流转系统,自动化分析威胁和响应处置,攻击源头一键秒封,提升客户安全运营整体效率,缩短运维响应时间。
威胁态势感知全面呈现,三重视角,管理落地
绿盟智能安全运营平台态势感知可以针对整体范围或某一特定时间与环境进行因素理解与分析,最终形成历史的整体态势分析以及对未来短期的预测。通过综合态势、威胁态势、运维响应、脆弱态势和环境感知等态势进行多维度分析,能够洞察企业内部整体安全状态,并通过量化的评判指标直观的理解当前态势情况,帮助高层管理者掌握企业全网安全状况,帮助中层管理者落地安全管理和技术体系,帮助运维人员精准攻击发现,减轻运维工作量,提高工作效率。
融合安全运营服务,减轻安全运营负担
绿盟科技此次将安全运营服务融入到智能安全运营解决方案中,全运营服务是采用一体化集成的方式为企业提供端到端的服务。借助这种新的服务模式,企业可以规避信息安全建设项目人员、技术、流程和管理的风险,有效避免投资浪费。另外一方面,企业无需为安全运营投入大量精力进行规划、设计、部署和运维,可大幅度降低安全运营带来的负担,使企业可以集中资源和精力再自有业务上创造价值。从部署角度,MDR支持云端安全专家提供远程服务,也支持本地安全专家提供驻场服务,或者两者的组合,灵活方便,方便各种使用场景。
随着“互联网+”的全面推进,信息技术在国家社会经济建设中的应用也越来越广泛,新型的网络安全威胁也更加突出,传统以“防护”为主的安全体系将面临极大挑战。未来网络安全防御体系将更加看重网络安全的监测和响应能力,充分利用网络全流量、大数据分析及预测技术,大幅提高安全事件监测预警和快速响应能力,应对大量未知安全威胁。
作为业务、场景和数据三驱动的自适应安全综合管控平台,绿盟智能安全运营平台(ISOP)将原本分散的各种安全信息予以整合提炼,不但使运维效率大幅度的提高,而且使运维人员的安全分析视角在广度和深度方面得到全面的突破,进而推动了以人为安全运营主体向以平台为安全运营主体的安全运营思路进行跃变,可逐步降低运维人员在安全运营中的投入比重,最大程度的实现智能化的安全自运营治理生态体系。
