安全挑戰(zhàn)
1.安全數(shù)據(jù)太分散且無法集中存儲
隨著信息網(wǎng)絡(luò)承載的業(yè)務(wù)越來越復(fù)雜,各種系統(tǒng)審計信息、安全設(shè)備的告警信息各自獨立存放。如果敏感數(shù)據(jù)區(qū)域遭受攻擊,由于攻擊痕跡存放在各個分散的信息孤島上,安全運營與處置人員無法快速準(zhǔn)確定位安全問題,當(dāng)下的網(wǎng)絡(luò)安全防御體系無法有效應(yīng)對此種問題。
2.高級威脅檢測滯后且響應(yīng)速度慢
高級威脅攻擊的特點是目的性非常強、攻擊目標(biāo)明確且持續(xù)時間長,此外攻擊方法經(jīng)過巧妙改造,攻擊者往往會利用社會工程學(xué)的方法或高級技術(shù)手段,對被動式防御進(jìn)行躲避。而傳統(tǒng)的安全技術(shù)手段大多是利用已知攻擊的特征對攻擊行為進(jìn)行簡單的模式匹配,只關(guān)注單次行為的識別和判斷,并沒有對長期的攻擊行為鏈進(jìn)行有效分析。因此,對于高級威脅,現(xiàn)有的安全防護(hù)體系無論是在威脅的檢測、發(fā)現(xiàn)還是響應(yīng)等方面都存在嚴(yán)重不足。
3.安全事件溯源和調(diào)查取證無手段
安全事件的溯源分析作為安全事故中事后響應(yīng)的重要組成部分,有助于修復(fù)漏洞與降低風(fēng)險,避免二次事故的發(fā)生。但大部分攻擊告警事件中所包含的信息無法反應(yīng)真實的攻擊信息,大量告警分散且誤報太多。諸如安全告警的源IP等單一維度的安全數(shù)據(jù)無法提供足夠的安全分析及溯源信息,然而通過對受害資產(chǎn)與內(nèi)網(wǎng)流量進(jìn)行溯源分析,在一定程度上可以還原攻擊者的攻擊路徑與攻擊手法。目前,已經(jīng)建設(shè)的安全設(shè)備都沒有基于大數(shù)據(jù)架構(gòu),無法對網(wǎng)內(nèi)各類安全數(shù)據(jù)(日志或流量)進(jìn)行溯源,無法對事件進(jìn)行調(diào)查取證。
4.安全數(shù)據(jù)無可視化手段進(jìn)行呈現(xiàn)
在現(xiàn)有的安全體系中,大量的安全監(jiān)測結(jié)果只是單一維度的反映某個系統(tǒng)存在相關(guān)問題,呈現(xiàn)的方式也多種多樣,并沒有針對海量的安全數(shù)據(jù)進(jìn)行統(tǒng)一可視化展現(xiàn),無法整體掌控網(wǎng)絡(luò)安全的態(tài)勢。
5.安全運營無專崗且人員配置精簡
隨著信息系統(tǒng)規(guī)模日益龐大,整個信息網(wǎng)中發(fā)生的安全威脅事件也在不斷增加,目前安全管理人員數(shù)量不足,專業(yè)技能更新無法跟上安全技術(shù)的發(fā)展。目前安全運營工作無法做到專人專崗,往往都是身兼多職,這種情況嚴(yán)重影響安全威脅事件的檢測、分析與處置的效率,無法保證高效的安全運營閉環(huán)管理。
解決方案
奇安信態(tài)勢感知與安全運營解決方案的業(yè)務(wù)架構(gòu)從下到上分別為:日志采集器、流量探針、日志采集、存儲和檢索、資產(chǎn)風(fēng)險評估、資產(chǎn)管理、脆弱性管理、威脅分析、威脅檢測、處置響應(yīng)、監(jiān)測與報表、態(tài)勢可視化、系統(tǒng)管理和安全運營服務(wù),如下圖所示。
實施部署:
方案的主要組件包括態(tài)勢感知與安全運營平臺、流量傳感器和日志采集器,各個組件均采取旁路部署的模式,不會影響實際業(yè)務(wù)網(wǎng)絡(luò)和其他網(wǎng)段。
威脅情報采取云端推送或?qū)氲姆绞絾蜗騻鬏斀o本地平臺,確保威脅情報內(nèi)容及時更新。平臺通過對本地采集到的設(shè)備日志、流量日志,結(jié)合本地的安全分析規(guī)則和云端威脅情報進(jìn)行場景化建模關(guān)聯(lián)分析,有效發(fā)現(xiàn)網(wǎng)絡(luò)威脅。平臺各組件均支持分布式或者集群的擴(kuò)容方式,可滿足真實網(wǎng)絡(luò)環(huán)境下的高性能分析需求。
方案優(yōu)勢
1.全面性
在基礎(chǔ)安全體系建設(shè)完善的基礎(chǔ)上,通過構(gòu)建能夠應(yīng)對海量數(shù)據(jù)量級下的態(tài)勢感知與安全運營平臺,結(jié)合專業(yè)的安全運營組織架構(gòu)和嚴(yán)謹(jǐn)?shù)倪\營流程設(shè)計,全面推進(jìn)可閉環(huán)的安全運營工作的開展。
2.持續(xù)性
圍繞以“防御、檢測、響應(yīng)、預(yù)測”為核心的自適應(yīng)安全架構(gòu)設(shè)計,實現(xiàn)態(tài)勢感知能力的持續(xù)建設(shè),保障安全運營能力的持續(xù)提升。
3.創(chuàng)新性
在數(shù)字化轉(zhuǎn)型的背景下引入多種創(chuàng)新型的技術(shù)設(shè)計方案,例如大數(shù)據(jù)、威脅情報、機(jī)器學(xué)習(xí)等,體現(xiàn)整個態(tài)勢感知與安全運營方案的創(chuàng)新性與前瞻性。
4.合規(guī)性
以《中華人民共和國網(wǎng)絡(luò)安全法》、《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》等相關(guān)法律法規(guī)、標(biāo)準(zhǔn)規(guī)范為依據(jù),以需求為導(dǎo)向,在合規(guī)的基礎(chǔ)上考慮態(tài)勢感知與安全運營整體方案設(shè)計,符合國家監(jiān)管機(jī)構(gòu)的要求,有效保障了安全運營工作推進(jìn)的統(tǒng)一性、一致性、有效性和規(guī)范性。
應(yīng)用價值
1.持續(xù)監(jiān)控,實時掌握安全狀況
可以快速、宏觀的了解整體安全態(tài)勢,在安全運營工作中抓大放小,明確工作重點以指導(dǎo)安全運營人員和IT人員的安全工作。
2.全面檢測,及時發(fā)現(xiàn)高級威脅
結(jié)合安全威脅建模團(tuán)隊多年的攻防經(jīng)驗,通過檢測引擎、威脅情報、場景化檢測規(guī)則、機(jī)器學(xué)習(xí)和關(guān)聯(lián)規(guī)則等多個維度進(jìn)行威脅的研判,快速定位真正的威脅,同時優(yōu)化現(xiàn)有的傳統(tǒng)威脅檢測手段,減少告警的誤報和冗余情況,將威脅告警數(shù)量控制在人工可分析的數(shù)量級。
3.響應(yīng)處置,實現(xiàn)威脅閉環(huán)管理
提供多種響應(yīng)處置方式,將不同危害等級、影響范圍的告警通過三種主要場景實現(xiàn)“人-人”“機(jī)-人”“機(jī)-機(jī)”的通知交互。
4. 事件調(diào)查,高效溯源安全威脅
利用調(diào)查分析、攻擊鏈分析、時間線分析等工具,安全運營人員能夠?qū)θ罩尽⒏婢①Y產(chǎn)、漏洞、情報等證據(jù)信息進(jìn)行歸納整理,幫助其拓展分析思路,輔助其多角度研判威脅,還原攻擊過程和威脅發(fā)生的切入口,為調(diào)查檢索歷史數(shù)據(jù)、分析和取證節(jié)省了寶貴的時間。
5. 風(fēng)險管理,提升安全預(yù)警能力
支持幫助安全運營人員從資產(chǎn)和資產(chǎn)組2個大小維度管理風(fēng)險,還默認(rèn)提供4個維度的風(fēng)險管理維度,分別是資產(chǎn)分組、組織架構(gòu)、地理位置和業(yè)務(wù)分組,以滿足不同粒度的風(fēng)險管理要求和不同的業(yè)務(wù)組織架構(gòu)。
6. 威脅預(yù)警,全面評估事態(tài)發(fā)展
為了提高對重大網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)能力,威脅預(yù)警功能通過導(dǎo)入的預(yù)警包,自動化完成對網(wǎng)絡(luò)的安全影響面評估。可視化展示事態(tài)發(fā)展趨勢、受影響資產(chǎn)范圍和失陷資產(chǎn)的淪陷時間線,快速完成重大網(wǎng)絡(luò)安全事件的預(yù)警及處置,避免收到上級監(jiān)管單位的通報后被動應(yīng)對安全事件。
7. 彈性平臺,滿足業(yè)務(wù)擴(kuò)展需要
基于微服務(wù)架構(gòu)設(shè)計,內(nèi)部模塊組件交互獨立,對外提供標(biāo)準(zhǔn)應(yīng)用接口。平臺采用橫向擴(kuò)展縱向管理的模式,支持多級部署管理,下級單位可以將告警數(shù)據(jù)上傳至上級單位,上級單位對下級單位行使其監(jiān)管作用。
8.合法合規(guī),符合監(jiān)管機(jī)構(gòu)要求
對設(shè)備日志進(jìn)行統(tǒng)一采集,并對采集數(shù)據(jù)進(jìn)行歸一化、富化等預(yù)處理。同時可以在平臺上對采集到的原始日志和解析日志進(jìn)行查詢、統(tǒng)計、關(guān)聯(lián)分析等處理使用,符合監(jiān)管機(jī)構(gòu)的合規(guī)性要求。