在新的網(wǎng)絡安全形勢下,網(wǎng)絡安全態(tài)勢感知變得炙手可熱,已經(jīng)成為政府、企業(yè)宣傳網(wǎng)絡安全的高頻詞。但是,對于網(wǎng)絡安全態(tài)勢感知的內容、針對不同用戶需求如何感知等具體問題卻缺乏清晰的認識。在詳細分析感知內容即網(wǎng)絡資產、資產脆弱性、安全事件、網(wǎng)絡威脅、網(wǎng)絡攻擊和網(wǎng)絡風險的基礎上,針對不同種類用戶即政府部門或企業(yè)、企業(yè)集團或行業(yè)主管部門、政府監(jiān)管機構的不同網(wǎng)絡安全保障需求和網(wǎng)絡安全監(jiān)管需求,提出了微觀、中觀和宏觀網(wǎng)絡安全態(tài)勢感知的功能架構和部署方式,為不同用戶建設網(wǎng)絡安全態(tài)勢感知平臺提供參考。
一、態(tài)勢感知的內容
1、感知網(wǎng)絡資產
IT系統(tǒng)越來越復雜,從而產生大量的無主資產、僵尸資產,且這些資產長時間無人維護,存在大量的漏洞和配置違規(guī),為用戶網(wǎng)絡安全帶來了極大隱患。因此,首先要摸清資產家底。任何網(wǎng)絡入侵和攻擊都是以資產為載體或目標,如果網(wǎng)絡資產是一筆糊涂賬,那么網(wǎng)絡安全狀況將無法保障。
感知資產的方法主要有主動探測和被動分析。主動探測主要用于對未知網(wǎng)絡下的資產發(fā)現(xiàn)探測,被動分析主要用于7×24小時持續(xù)性的監(jiān)聽已知網(wǎng)絡下的未發(fā)現(xiàn)資產。通過強大的資產指紋庫建立各類型資產的特征,包括網(wǎng)絡設備、安全設備、各類操作系統(tǒng)、數(shù)據(jù)庫和應用中間件等,進行識別資產并完成資產屬性的補全,最終實現(xiàn)未知資產的發(fā)現(xiàn)、識別與管理。同時,需要通過有代理或無代理方式監(jiān)控資產的運行狀態(tài),包括主機CPU、內存、磁盤占用率變化情況、網(wǎng)絡帶寬的占用變化情況和交換機每個端口的流量情況。更進一步,可采集服務進程、線程數(shù)據(jù)、CPU和內存占用率等[2],為安全檢測分析提供數(shù)據(jù)支撐。
2、感知資產脆弱性
網(wǎng)絡安全脆弱性主要包括資產漏洞和弱密碼等配置不當。脆弱性已經(jīng)成為網(wǎng)絡攻擊者入侵網(wǎng)絡竊取信息或者破壞系統(tǒng)的重要入口。因此,“摸清家底”的一個重點就是要摸清資產的脆弱性。如果資產漏洞和不合理配置不明確,將無法進行資產安全加固并采取防護措施。
對于資產漏洞,感知方法是基于已知的漏洞信息,采用端口探測等手段,對網(wǎng)絡中指定的主機、網(wǎng)絡設備等資產進行漏洞檢測,發(fā)現(xiàn)網(wǎng)絡資產存在的漏洞;資產配置脆弱性感知方法是采用基線安全配置檢測工具,深度獲取主機、服務器和網(wǎng)絡設備等資產的配置信息,并與配置基線進行比較,發(fā)現(xiàn)資產配置的脆弱性。最終,在發(fā)現(xiàn)脆弱性基礎上,維護所有資產脆弱性的生命周期信息,并分析可能的攻擊面和攻擊路徑。
3、感知安全事件
隨著網(wǎng)絡技術的發(fā)展,網(wǎng)絡安全威脅的方式層出不窮。病毒、蠕蟲、后門和木馬等網(wǎng)絡攻擊方式越來越多,逐漸受到人們的廣泛關注。為了保證網(wǎng)絡系統(tǒng)的安全運行,網(wǎng)絡中廣泛使用了防火墻、入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)和安全審計系統(tǒng)等安全設備。這些安全設備會產生大量違反安全策略和安全規(guī)則的告警事件。但是,這些安全告警事件信息中含有大量的重復報警和誤報警,且各類安全事件之間分散獨立,缺乏聯(lián)系,無法給安全管理員提供在攻擊時序上和地域上真正有意義的指導。
實際中,大部分的安全告警事件并不是孤立產生的,它們之間存在一定的時序或因果聯(lián)系。結合安全告警事件的運行環(huán)境,對原來相對孤立的低層網(wǎng)絡安全事件數(shù)據(jù)集進行關聯(lián)整合,并通過過濾、聚合等手段去偽存真,發(fā)掘隱藏在這些數(shù)據(jù)之后的事件之間的真實聯(lián)系[3],確定事件的時間、地點、人物、起因、經(jīng)過和結果。
4、感知網(wǎng)絡威脅
隨著技術的不斷進步,網(wǎng)絡攻擊行為逐漸呈現(xiàn)分布化、遠程化與虛擬化等趨勢。傳統(tǒng)基于對攻擊行為進行特征識別與比對的威脅感知和甄別機制,受到了來自新型攻擊手法的巨大挑戰(zhàn)。層出不窮的各類高危漏洞、0Day漏洞,使攻擊特征庫的及時更新與長期維護面臨巨大困難[4]。此外,傳統(tǒng)的威脅檢測手段在應對APT攻擊時顯得力不從心,因為傳統(tǒng)的檢測手段主要針對已知的威脅,對未知的漏洞利用、木馬程序、攻擊手法無法進行檢測和定位。
面對層出不窮的網(wǎng)絡攻擊和新的網(wǎng)絡安全形勢,感知網(wǎng)絡威脅的方法可以概括為“知己”和“知彼”兩個方面。“知己”方面是采集內部網(wǎng)絡流量數(shù)據(jù)、日志數(shù)據(jù)和安全數(shù)據(jù)等,進行基于大數(shù)據(jù)分析、人工智能技術的異常行為檢測,發(fā)現(xiàn)隱藏在海量數(shù)據(jù)中的網(wǎng)絡異常行為;“知彼”方面是通過監(jiān)測、交換和購買等各種方式,搜集惡意樣板Hash值、惡意IP地址、惡意域名、攻擊網(wǎng)絡或者主機特征、攻擊工具、攻擊戰(zhàn)技術、攻擊組織等網(wǎng)絡威脅情報數(shù)據(jù),用于支撐安全運行維護、安全檢測分析和安全運營管理。
5、感知網(wǎng)絡攻擊
在網(wǎng)絡攻擊的一次迭代過程中,一般分為情報收集、目標掃描、實施攻擊、維持訪問和擦除痕跡5個階段[5]。感知網(wǎng)絡攻擊是持續(xù)不斷地收集當前網(wǎng)絡中的攻防對抗數(shù)據(jù)。一方面實時展現(xiàn)當前網(wǎng)絡中的攻防對抗實況,深入挖掘各種攻擊行為,如端口掃描、口令猜測、緩沖區(qū)溢出攻擊、拒絕服務攻擊、IP地址欺騙以及會話劫持等;另一方面,借助網(wǎng)絡異常行為檢測和歷史攻擊信息,分析潛藏的高危攻擊行為和未知威脅,并協(xié)助安全分析師抽取高價值的威脅情報。
6、感知安全風險
網(wǎng)絡安全風險感知是在感知網(wǎng)絡資產、脆弱性、安全事件、安全威脅和安全攻擊的基礎上,進一步進行數(shù)據(jù)融合分析,建立全網(wǎng)的安全風險指標體系和風險評估模型,從抽象的高度來評估當前網(wǎng)絡的整體安全風險。風險評估可采用定量與定性相結合的綜合評估方法。層次分析法(AHP)是一種典型的評估方法,是一種定性與定量相結合的多目標決策分析方法。這一方法的核心是將決策者的經(jīng)驗判斷予以量化,從而為決策者提供定量形式的決策依據(jù)。
二、態(tài)勢感知的方法
1、微觀層面態(tài)勢感知
這里所指的微觀層面,是針對具體企業(yè)或政府的信息網(wǎng)絡而言的。作為網(wǎng)絡安全的具體保障對象,企業(yè)信息網(wǎng)絡態(tài)勢感知的目的是詳細掌握企業(yè)網(wǎng)絡資產、脆弱性、告警事件、威脅、攻擊和風險,并進行應急響應、調查分析等閉環(huán)處置。具體方法是盡可能全面采集信息網(wǎng)絡相關數(shù)據(jù),包括網(wǎng)絡設備數(shù)據(jù)、安全設備數(shù)據(jù)、主機設備數(shù)據(jù)、數(shù)據(jù)庫數(shù)據(jù)以及應用系統(tǒng)和中間件數(shù)據(jù),融合威脅情報進行基于大數(shù)據(jù)平臺的安全管理與安全分析,實現(xiàn)資產管理、漏洞管理、事件管理、威脅告警、調查分析和應急響應等業(yè)務功能,為安全運營(管理、分析、響應)團隊提供技術支撐,如圖1所示。
微觀層面的網(wǎng)絡安全態(tài)勢感知平臺的部署方式可根據(jù)信息網(wǎng)絡的規(guī)模采用集中式部署(適用于中小企業(yè)信息網(wǎng)絡),或者分布采集、集中運營管理的部署方式。常見的部署方式如圖2所示。
對于中小型企業(yè),可以采用集中部署的方式,在中心集中部署采集器集群;對于中大型企業(yè),則采用分布式采集部署方式。
2、中觀層面態(tài)勢感知
這里所指的中觀層面,是針對具有多個微觀管理域職能的企業(yè)集團或行業(yè)主管部門而言的。作為企業(yè)集團或行業(yè)主管部門,既有自身信息網(wǎng)絡安全保障的職責,也有下級網(wǎng)絡安全監(jiān)管職責,其網(wǎng)絡安全態(tài)勢感知平臺應該是一個分級分域的架構,其功能架構與微觀層面態(tài)勢感知平臺類似。但是,上級平臺除具有微觀態(tài)勢感知的全部功能外,需要對匯聚的下級平臺態(tài)勢信息進行統(tǒng)計分析和關聯(lián)分析,并向下級平臺預警等,部署方式如圖3所示。
圖3中,下級平臺向上級平臺上報網(wǎng)絡安全態(tài)勢、重要安全事件、運行狀態(tài)和知識庫更新等信息,上級平臺向下級平臺下發(fā)預警、級聯(lián)狀態(tài)和知識庫更新等信息[6]。在中觀層面,上級平臺匯聚了多個下級平臺的態(tài)勢信息和事件信息,可以實現(xiàn)多域聯(lián)動和協(xié)同響應。
3、宏觀層面態(tài)勢感知
這里所指的宏觀層面,是針對政府監(jiān)管機構而言的,關注的重點是管轄范圍內的宏觀網(wǎng)絡安全態(tài)勢。宏觀網(wǎng)絡安全態(tài)勢感知需要匯聚轄區(qū)內中觀態(tài)勢感知平臺個獨立的微觀態(tài)勢感知平臺的態(tài)勢信息、重要事件信息,同時結合互聯(lián)網(wǎng)大范圍監(jiān)測的DDoS攻擊態(tài)勢、WEB攻擊態(tài)勢、僵木蠕態(tài)勢以及第三方網(wǎng)絡威脅情報中心的情報信息,分析、研判轄區(qū)內宏觀網(wǎng)絡安全態(tài)勢,針對重大、特別重大網(wǎng)絡安全事件進行預警通報和應急指揮。功能架構如圖4所示。
圖4中,中觀網(wǎng)絡安全態(tài)勢感知平臺、微觀網(wǎng)絡安全態(tài)勢感知平臺通過網(wǎng)絡,將本平臺的態(tài)勢信息、重大或特別重大網(wǎng)絡安全事件上報宏觀態(tài)勢感知平臺。宏觀態(tài)勢感知平臺進行統(tǒng)計分析、關聯(lián)分析和攻擊鏈分析,結合威脅情報進行威脅判斷,下發(fā)安全預警通報,并針對重大或特別重大安全事件進行應急處置,實現(xiàn)全域聯(lián)動和協(xié)同響應。
三、結語
本文在詳細闡述網(wǎng)絡安全態(tài)勢感知內容的基礎上,針對不同用戶的不同目的,提出了微觀、中觀和宏觀網(wǎng)絡安全態(tài)勢感知的功能架構和部署方式。其中,微觀網(wǎng)絡安全態(tài)勢感知平臺適用于政府、企業(yè)針對具體信息網(wǎng)絡的安全保障,可以作為政府、企業(yè)的網(wǎng)絡安全運營管理中心的重要支撐平臺;宏觀網(wǎng)絡安全態(tài)勢感知則適用于政府監(jiān)管機構對一定區(qū)域內或國家的宏觀網(wǎng)絡的安全監(jiān)管,可以作為監(jiān)管機構的技術支撐平臺;中觀網(wǎng)絡安全態(tài)勢感知則介于微觀和宏觀之間,適用于企業(yè)集團或者行業(yè)主管部門自身信息網(wǎng)絡安全保障和對下級企業(yè)網(wǎng)絡的安全監(jiān)管。