藍鷗旗下品牌:鷗課學院
全國咨詢電話:13693348049
您的位置: 首頁 > 最新資訊 > 網絡安全建設與態勢感知

網絡安全建設與態勢感知

2019-08-21 藍鷗
1558人 瀏覽:

1-1.jpg

*全文為蕭觀瀾本人工作經驗總結,FreeBuf僅做整理,無任何修飾或故事化,原味呈現最真實的企業安全人心聲

作者簡介

      蕭觀瀾,現任華為終端云服務principal engineer,負責華為終端云服務全線業務的網絡安全。

前言

       網絡安全在今天越來越受重視,各類企事業單位也不斷加大安全投入,很多度過了安全建設初級階段(被動防御)的安全團隊開始做態勢感知。然而,市場很多聲稱具備安全態勢感知的產品大多是廠商站在乙方視角推出的SOC產品,在甲方發揮的主要作用是安全可視化,往往成為一個觀賞性的玩具。

       下面談一下筆者在安全建設中對態勢感知系統的思考和理解,望能拋磚引玉。

安全建設目標

        首先我們回顧一下為什么要有態勢感知系統?

       安全建設的三大驅動力之一是安全事件驅動,而不斷的“事后滅火”過于被動。顯然我們都希望在事中甚至事前就能對攻擊有了解。所以安全建設初期在IT基礎設施中部署各類威脅檢測/防護系統是構建縱深防御體系是首要目標。

2-1.jpg

數據來源:The Black Report 2017


        在其建設過程中,我們還需要量化指標,如TTD注1來度量系統的成熟度。如圖,如果我們能在2小時內檢測對業務造成實質影響的攻擊(TTD)并響應威脅(TTR)注2,就能大概率抵御80%以上的攻擊。要做到這一點,不僅僅需要廣泛部署先進的入侵檢測系統還需要專業的安全工程師持續運營。

       檢測能力的構建對于預算充足的團隊,可以通過采購注3來完成。如果安全設備的部署不影響業務或不需要和業務耦合,那么“堆盒子”這個工作雖然會有困難,但總是可以完成。

       完成了以上工作,安全挑戰從開始的沒有威脅感知能力變為真正的安全威脅被海量安全日志和告警淹沒。這時候安全團隊不僅疲憊不堪,而且也無法讓管理層感知到巨大的安全投入帶來的收益。此時安全主管一般將目光轉向SIEM(Security information and event management)。并期望SIEM具備強大的交互式分析能力,支撐安全團隊通過關聯分析,(安全告警)冒泡模型等方式來消減告警和進行事件調查,幫助團隊提升安全分析效率,縮短TTR。

       然而較短的TTR并不等同于業務(IT資產)是安全的,所以還傾向于SIEM具備安全可視化能力,讓管理層從資產的視角看到安全態勢,呈現安全價值。同時考慮到威脅情報,事件調查,UEBA(User and Entity Behavior Analytics)等場景的需要,安全團隊這時就希望有個全功能的統一作戰分析平臺來搞定一切,這時安全態勢感知系統(NG-SIEM注4)登場了,但如前所述,其落地不好,很容易淪為“玩具”。

態勢感知系統建設失敗原因和建議

        為什么會出現這樣的結果,一般認為有如下原因:

        1. 構建基礎錯誤

       鑒于NG-SIEM并不是一個新事物和小項目,一個相對簡單快捷的方式是直接購買成熟的商業產品,并在這個基礎上定制開發。這也是絕大多數安全團隊的優先選擇。然而購買的產品是傳統的偏向于告警聚合和展示的SOC注5還是安全分析的SIEM,效果截然不同。

       前者一般是乙方安全公司提供的產品,往往是該公司自己的全線產品管理和告警聚合平臺發展而來,側重于各類安全系統的運維管理和告警聚合,再加上一些對友商告警的解析支持和安全可視化模塊,如果用戶有辦公網安全需求,甚至還會加上所謂的APT檢測模塊(基于流量或終端安全的傳統檢測設備加強版)。

       而后者(SIEM)通常側重安全分析,但并不支持對安全設備的策略管理。典型代表可以參考Gartner的SIEMMagic Quadrant報告。該報告中第一陣營中的商業產品都比較成熟。用戶可以在這類產品上持續創建運營告警的冒泡模型和自定義報表,有足夠人力還可以做深入的數據挖掘,如根據User-agent識別爬蟲和掃描工具,并聯動WAF阻斷,統計分析DNS日志,識別DNSTunnel。根據報文大小,識別異常流量。限于篇幅這里不一一展開。

3-1.jpg

數據來源:Cisco 在BroCon 2014 上的OpenSOC主題演講

        商業產品的一個顯著缺點就是資金成本高,定制功能交付周期長,所以另一個選擇是參考OpenSOC自行開發NG-SIEM系統。需要注意,這個選擇仍然要較高的人力成本,好處是自由度高,團隊可以隨著產品的完善而不斷成長,小公司也能用其滿足關鍵需求。

        2.輸入數據質量低劣

       有了NG-SIEM這個“基座”,很多安全團隊往往迫不及待的不區分場景積極收集各類機器數據,試圖收集的大而全后再開始進行數據挖掘,構建分析模型。然而在輸入至SIEM時,很多數據就存在大量的無效告警注6和誤報,典型如NIPS和WAF的告警以及海量的Access。log日志,這給資源有限的安全分析工作帶來極大的挑戰。而當其試圖進行數據降噪(標記無效告警和失敗攻擊)時,由于SIEM對安全探針策略支持的不完善和詳情展示不足(很多安全設備通過syslog吐出來的數據和原生portal上展示的數據詳情有較大差異)會大概率再一次遭到挫折。最終變的garbage in,garbage out(垃圾數據進,垃圾數據出)。 

        因此筆者建議按照下面的思路來采集和處理安全數據更容易事半功倍。

        2.1 在安全設備上優化安全策略和檢測規則(Signature),消減誤報。

        2.2 在SIEM上對接CMDB(Configuration Management Database)以方便標記無效告警;并將同一威脅類別,同一時間窗口的不同安全探針的告警基于專家經驗關聯分析,標記失敗攻擊。

        2.3 在NG-SIEM平臺上使用機器學習進一步對安全告警進行降噪,典型如使用HMM算法對WAF告警進行降噪。

        3.資產畫像未能反映IT資產的真實安全狀況

       如前所述,很多國內的SOC產品都具備資產畫像安全可視化能力,基本原理是用公式來計算資產的安全風險程度并將資產安全評分以圖表方式呈現。如[不同威脅等級漏洞(A1)]*權重+[不同威脅等級告警(A2)]*權重+[不安全的配置(A3)]*權重+[資產敏感程度(A4)]*權重。而在日常的安全分析活動中,安全團隊也會把原始安全告警中的無效告警和誤報剔除,再對剩下的有效告警區分為成功的攻擊和失敗的攻擊。只有成功的攻擊才會對資產有實質的影響。

       遺憾的是,很多SOC產品大多是半成品,其安全評分一般以原始告警作為公式中的A2指標的來源,而非將有效告警作為數據來源。或者實時性很低,24小時一次。顯然,基于各類安全數據準實時(分鐘級)的描繪資產畫像,不斷減少[灰色]資產狀態的數量使其黑白分明注7,資產畫像才真正有價值。

      避免了以上問題,NG-SIEM基本不會失敗了,那么NG-SIEM可以在安全建設中做的更好嗎?

安全建設/態勢感知系統如何做的更好?

4-1.jpg

數據來源: SANS Institute 發布的白皮書《The Sliding Scale of Cyber Security》

        在The Sliding Scale of Cyber Security(網絡安全滑動標尺模型)中定義了安全建設的5個階段(成熟度模型)注8,一般態勢感知系統是在被動防御的階段較為成熟的時候啟動的,那么如何前進到主動防御乃至情報驅動的階段?NG-SIEM又應該怎樣做,才能發揮更大的作用呢?不同安全建設階段,有很多區別,但最核心的區別是做為防守方,掌握的主動權大小不同。

       那么如何在攻防對抗中掌握更大的主動權,盡可能打勝仗呢?

      “知己知彼,百戰不殆”——《孫子·謀攻》

       這句名言在網絡安全中同樣適用。

       1.完善IT治理,構建應用指紋庫

       NG-SIEM對接CMDB對告警降噪有一定幫助,但很多組織的IT成熟度較低,在事件調查中,安全團隊會發現需要的很多信息和數據,CMDB都無法自動化提供,只能讓安全團隊在業務主機上手工提取(一般要進行權限申請)或委托運維團隊提供。

       更合適的做法是,DFIR(Digital Forensics & Incident Response)團隊需要的任何數據NG-SIEM均可從對接的運維IT系統自助提取。

       但這樣仍然是不夠的,漏洞預警是DFIR團隊一個重要場景,為盡快確定Nday漏洞受影響范圍和修復效果,最佳實踐是構建一個應用指紋庫(主機,端口,應用,代碼指紋)來提高效率,而這個系統一般需要安全團隊自行開發并集成到NG-SIEM中。此外,考慮軟件供應鏈安全,業務版本發布規范的組織還可以考慮將第三方開源組件的使用記錄下來也一并集成。

       2. 構建威脅阻斷和安全編排能力,支撐分析識別對手技術水平

       安全告警在NG-SIEM中消減為有效告警后,無論成功的攻擊還是持續進行的失敗攻擊,一般我們需要進行ThreatHunting(威脅追蹤)注9,判斷對手的技術水平,分析其攻擊意圖和可造成威脅的機會(業務的脆弱性)。那么如何判斷對手的技術水平呢?

       一個常見的做法是,對某類攻擊施加干擾,然后根據對手調整攻擊手法的變化頻率,干擾措施繞過水平和攻擊資源投入的強度、時間來判斷。這就需要安全設備具備阻斷能力,如WAF根據不同響應碼(200和404)分布比例攔截web掃描,或攔截特定User-agent的請求報文,甚至特定payload的請求報文。

       同時,有了阻斷能力,構建安全編排能力,讓不同安全探針/設備之間的檢測和響應聯動將能進一步提升TTR,典型場景如WAF和掃描器聯動,HIPS和AV集群,Sandbox聯動。 

       總而言之,威脅阻斷能力對威脅追蹤非常關鍵,也許對縱深檢測體系的團隊來說,這可能要花很大精力調整,但是非常值得的。

       3.輸出威脅情報,強化威脅追蹤

       擁有應用指紋庫和安全編排后,安全團隊在知己方面就建設的比較完善了,而為提高對攻擊者的了解,一般還會適時引入威脅情報,最常見的威脅情報是C2情報(Command and Control服務器的域名或IP),這類Detection Indicators(檢測指標)往往是第三方安全服務商提供的。但更好的做法是安全團隊不僅使用情報還能輸出情報,即對每個告警背后的含義進行分析:這次攻擊到了KillChain的哪個環節?

5-1.jpg


       每個環節上,攻擊工具有哪些特征?能否被安全工具捕獲到?其攻擊源是否是在持續攻擊?能否將提取出來的Indicators(威脅指標)按照用途注10分類并標記相關告警。

       這樣一方面完成了威脅情報的輸出,方便繪制攻擊者畫像,強化威脅追蹤的能力,另一方面帶有標記的數據也方便在威脅檢測中使用用于機器學習技術。

       4.制定運維操作規范,使用UEBA技術提升威脅檢測能力

6-1.jpg

       NG-SIEM經過前面的努力,CMDB在安全場景中提供的數據應該比較全面了,但往往僅到服務器這個粒度,很少會細粒度到服務器內部的業務進程實例的程度。這就難以自動化識別出是攻擊導致還是正常業務行為導致敏感文件(認證文件,系統配置等)的變化。

       合適的做法是,在運維流程和制度上對運維活動的執行用戶,操作路徑,運維腳本名稱都加以規范,同時使用OSQuery這類運維工具獲取活動進程信息(pid,name,path,cmdline,state,cwd,root,uid,euid,ppid)和其對應的openfile(活動進程打開的文件),活動端口等信息,建立對運維角色和業務進程的正常模型,來消減無效告警和提高異常發現率,這也是UEBA理念的一個很好的實踐。

       5. 使用Deception(欺騙防御)技術進行攻擊預警

7-1.jpg

      傳統的蜜罐一般是部署在互聯網上搜集木馬樣本和監測僵尸網絡,但如果將蜜罐架設在業務環境內部,并將蜜罐告警同步給NG-SIEM,就可以關聯攻擊源IP的數據進行攻擊預警。進一步可以在業務數據庫中插入業務不使用的臟數據并做數據庫審計,來監測內網的攻擊。

       6. 構建紅藍對抗機制,回歸到人和人的對抗

8-1.jpg


      做了以上幾點,NG-SIEM(態勢感知)系統已經較為完善了,但究竟“行不行”還需要建立紅藍對抗機制實際檢驗。這就要求BlueTeam(防守方)定期對各類威脅攻擊針對性的進行技術驗證,確認各安全設備均可實際有效檢出相應攻擊,并持續優化。

      還要給RedTeam(攻擊方)充分的授權和支持,允許其在公司辦公網絡外部自由進行滲透測試,以模擬黑客拿到高價值數據或獲取控制權為目標。BlueTeam在NG-SIEM上根據實際演練結果,同RedTeam共同復盤和改進。

總結

       安全建設的后期,NG-SIEM系統的建設是重中之重,作為整個安全系統的統一作戰平臺,它的成熟度甚至可以衡量整個安全團隊的建設水平,行文至此,我們做一下總結

       1.工具:NG-SIEM不是檢測系統,降低安全設備/探針本身的誤報率和無效告警能大幅提高NG-SIEM的效率,并降低傳輸及存儲成本。

       2.數據:NG-SIEM不是一個獨立的IT系統,更有可能是多個安全分析系統的集合,且嚴重依賴運維系統的支撐。IT成熟度的高低和提供數據的全面性對NG-SIEM的效果有重大影響。

       3.流程:NG-SIEM特別是其中的UEBA模塊,不僅僅是一個技術問題,完善的運維流程和操作規范會讓其事半功倍。

       4.人:安全的的本質是人和人的攻防對抗,在建設安全系統的過程中不要忘記對安全人才的培養和重視。高素質的安全工程師才是安全建設的根本。


20190328.jpg

【招生專業】:網絡安全

【招生人數】:40人

【開班時間】:2019-8-21

【推薦崗位】:等保測試工程師、安全測試工程師、安全服務工程師、滲透測試工程師、安全運維工程師、代碼審計工程師等

【授課老師】:波波老師、先鋒老師、阿南老師

      【波波老師簡介】

       15年IT從業經驗,8年企業ERP軟件開發經驗。他開發過大型國企的ERP管理軟件和電廠ERP軟件,熟悉企業管理的業務流程;2年移動互聯網產品經理。

       國內最早接觸iOS開發和從事iOS教學的工程師。6年以來,一直致力于蘋果應用軟件及驅動的開發和研究及專業人才的培養工作。不僅如此,而且波波老師產品經驗豐富,對C、C++、Java、JavaScript、Cocos游戲引擎非常精通。

       參與過哈票網站產品設計,主導手機WAP網站設計和iOS客戶端產品設計,開發過多款iOS平臺項目和Android項目,如:yoyokvknowlege、寺庫(iPad)、航旅縱橫、團寶網、繪本等。

      【授課特點】

       在課堂上他能從行業及產品方面引導學生。比較注重學習方法的引導。而且,他經常結合生活的案例把復雜的知識點講清楚,注重設計模式方面的教學。

      【先鋒老師簡介】

       曾就職于安全公司和知名IT培訓擔任華北區技術經理和高級講師.任職期間參加湖北國家電網、中石油錦西石化、石景山公安局、呼和浩特鐵路總局等項目的網絡改造、網絡安全評估以及內網安全架構實施。精通TCP/IP協議;熟悉網絡應用中主流廠家的網絡產品(思科華為)。熟練掌握windows 系統安裝、系統管理以及各種服務的搭建及運維熟練操作Redhat以及centos系統的系統安裝、系統管理以及服務搭建及運維;

      【授課特點】

       多年授課經驗和項目經驗.授課幽默風趣,平易近人,善于將復雜的知識點轉換為簡單的生活,讓學生學會分析和總結;

      【阿南老師簡介】

       參加過中美黑客大戰,擅長代碼審計,滲透測試與漏洞挖掘技術;精通php,java,.net,c++等編程語言,開發過C++遠程控制系統;精通MySql、Mssql數據庫,多年滲透測試攻防經驗、對waf繞過有深入研究;

      【授課特點】

       授之以漁而非授之以魚,擅長引導學生學習,鍛煉學生思維擴展能力,注重學生自主學習能力的培養。

      【班級介紹】

       1、本班型從零基礎開始授課,迭代式教學,由淺入深。 

       2、小班制授課,每個班級人數20人,保障教師上課效果,讓學員學會、學精。 

       3、入學簽訂就業協議,確保合格畢業學員獲得高薪工作。


3.jpg

1.jpg

2.jpg

  1. 廣告1
  2. 廣告2
  3. 廣告3
  4. 廣告4
快乐12历史大奖