數(shù)據(jù)驅(qū)動(dòng)的網(wǎng)絡(luò)安全自動(dòng)化應(yīng)急響應(yīng)技術(shù)體系

文/尤其 苗春雨 賈夢(mèng)妮 郭婷婷

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)就是在對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)、組織的網(wǎng)絡(luò)系統(tǒng)運(yùn)行情況和面臨的威脅有清楚的認(rèn)識(shí)的情況下，在管理、技術(shù)和人員方面進(jìn)行計(jì)劃和準(zhǔn)備，從而一旦發(fā)生突發(fā)的網(wǎng)絡(luò)安全事件時(shí)，能夠做到有序應(yīng)對(duì)和妥善處理，降低組織的損失，并能夠根據(jù)這些經(jīng)驗(yàn)改進(jìn)組織而對(duì)網(wǎng)絡(luò)安全突發(fā)事件的對(duì)策和計(jì)劃。網(wǎng)絡(luò)安全具有整體性、動(dòng)態(tài)性、開(kāi)放性、相對(duì)性的特點(diǎn)。對(duì)于組織來(lái)講，整體性是指網(wǎng)絡(luò)安全保障與組織的業(yè)務(wù)形態(tài)、其它合作利益相關(guān)方的聯(lián)接、組織的整體安全均有密切關(guān)系；動(dòng)態(tài)性是指組織采用的信息技術(shù)和組織的業(yè)務(wù)系統(tǒng)本身均處在不斷發(fā)展之中，網(wǎng)絡(luò)安全的威脅來(lái)源和攻擊手段不斷變化；開(kāi)放性是指互聯(lián)網(wǎng)本身就是沒(méi)有物理邊界的，而且隨著信息化的推進(jìn)，以往隔離的網(wǎng)絡(luò)也逐步在物理上或邏輯上與互聯(lián)網(wǎng)連接；相對(duì)性是指由于計(jì)算機(jī)和信息系統(tǒng)本身的基因決定了沒(méi)有絕對(duì)的安全，威脅源所能調(diào)動(dòng)的資源和開(kāi)展攻擊的動(dòng)機(jī)，組織能夠接受的安全成本決定了安全的上限。網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作正是在組織樹(shù)立了這些正確的網(wǎng)絡(luò)安全觀后，采取合適的應(yīng)對(duì)策略和措施，保障自身業(yè)務(wù)信息系統(tǒng)連續(xù)性的重要支撐。

整體上看，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)是一個(gè)技術(shù)與管理結(jié)合的系統(tǒng)性工作，宏觀的網(wǎng)絡(luò)安全應(yīng)急響應(yīng)包含了網(wǎng)絡(luò)安全保障體系的構(gòu)建、安全事件處置、安全體系優(yōu)化乃至重構(gòu)三個(gè)部分，最終形成網(wǎng)絡(luò)安全保障工作的閉環(huán)。微觀上來(lái)看，網(wǎng)絡(luò)安全應(yīng)急響應(yīng)是針對(duì)具體的信息安全事件所做的準(zhǔn)備和事件發(fā)生時(shí)的處置，以及事件發(fā)生后的總結(jié)。無(wú)論是宏觀層面還是微觀層面，應(yīng)急響應(yīng)工作均包含事前、事中和事后三個(gè)時(shí)間維度，而自動(dòng)化應(yīng)急響應(yīng)重點(diǎn)關(guān)注事前的自動(dòng)化應(yīng)急體系構(gòu)建以及事中的安全設(shè)備聯(lián)動(dòng)和處置自動(dòng)化。

圖1：DBIR 2013數(shù)據(jù)泄露處置動(dòng)作時(shí)間對(duì)比圖

1 應(yīng)急響應(yīng)技術(shù)發(fā)展趨勢(shì)

動(dòng)化網(wǎng)絡(luò)安全應(yīng)急響應(yīng)的技術(shù)體系中，包括兩個(gè)重要環(huán)節(jié)：

（1）信息安全事件的自動(dòng)化檢測(cè)；

（2）)信息安全事件的自動(dòng)化處置。

1.1 信息安全事件自動(dòng)化檢測(cè)

因?yàn)榫W(wǎng)絡(luò)空間的無(wú)邊界性、信息化導(dǎo)致業(yè)務(wù)的互聯(lián)跨域性，使得業(yè)界逐漸認(rèn)識(shí)到成功的安全應(yīng)急響應(yīng)應(yīng)該是由多種不同職責(zé)、不同技能的團(tuán)隊(duì)依托多種系統(tǒng)和情報(bào)密切協(xié)同，將本地資源、網(wǎng)絡(luò)情報(bào)、云基礎(chǔ)設(shè)施、各類(lèi)設(shè)備和人聯(lián)切的聯(lián)接在一起，采用協(xié)同、閉環(huán)的應(yīng)急體系和流程才能有效完成網(wǎng)絡(luò)安全事件的響應(yīng)，構(gòu)建“互聯(lián)網(wǎng)+”應(yīng)急響應(yīng)支撐平臺(tái)可能會(huì)成為層次化、跨行業(yè)的應(yīng)急體系新方向。另外，近年來(lái)，以STIX為代表的機(jī)器可讀威脅情報(bào)交換技術(shù)在美國(guó)獲得了迅速發(fā)展，表征著美國(guó)政府和工業(yè)界在大規(guī)模安全應(yīng)急響應(yīng)能力方面的快速提升，也代表了應(yīng)急響應(yīng)技術(shù)發(fā)展方向之一。

歐洲網(wǎng)絡(luò)與信息安全局對(duì)超過(guò)40個(gè)國(guó)家及企業(yè)的應(yīng)急響應(yīng)小組（CERT）進(jìn)行調(diào)研后指出，通過(guò)人力處理安全事件是沒(méi)有擴(kuò)展性的，半自動(dòng)化和自動(dòng)化應(yīng)急響應(yīng)成為網(wǎng)絡(luò)安全事件處置的重要演進(jìn)方向和最終的必然選擇。在自

在應(yīng)急響應(yīng)業(yè)務(wù)，特別是重大活動(dòng)的網(wǎng)絡(luò)安全保障工作中，應(yīng)急服務(wù)更應(yīng)該理解為避免和預(yù)防突發(fā)的安全事件發(fā)生為主，擴(kuò)展了準(zhǔn)備階段的工作內(nèi)容，通過(guò)威脅情報(bào)共享，網(wǎng)絡(luò)態(tài)勢(shì)感知系統(tǒng)，盡早識(shí)別已知風(fēng)險(xiǎn)，縮短檢測(cè)周期，提高安全事件的檢出率成為目前網(wǎng)絡(luò)安全保障和應(yīng)急的技術(shù)趨勢(shì)之一，再加上業(yè)界近年來(lái)提出的威脅狩獵理念、技術(shù)和相應(yīng)的工具，希望能夠做到快速發(fā)現(xiàn)安全事件，根據(jù)Verizon公司發(fā)布的數(shù)據(jù)泄露報(bào)告（Data Breach Investigations Report，DBIR），如圖1和圖2所示（縱坐標(biāo)為行為密度，橫坐標(biāo)為操作完成時(shí)間），2013年到2019年的6年間，網(wǎng)絡(luò)安全事件發(fā)生到成功入侵系統(tǒng)、盜取數(shù)據(jù)的攻擊周期越來(lái)越短，應(yīng)急和恢復(fù)的工作周期也隨著各組織安全防護(hù)和應(yīng)急的意識(shí)與能力的提升，也有明顯的縮短，只有事件的發(fā)現(xiàn)時(shí)間無(wú)明顯變化，仍然是以“月”為單位（根據(jù)DBIR 2018，安事件事的發(fā)現(xiàn)時(shí)間平均為92天，3個(gè)月）。因此，通過(guò)上述的監(jiān)測(cè)預(yù)警和檢測(cè)發(fā)現(xiàn)技術(shù)，縮短安全事件的檢測(cè)周期是組織應(yīng)急響應(yīng)的當(dāng)務(wù)之急，國(guó)內(nèi)外均立足于通過(guò)各類(lèi)日志和網(wǎng)絡(luò)流量的關(guān)聯(lián)分析技術(shù)，來(lái)增加事件的檢出率和縮短檢測(cè)時(shí)間。

1.2 信息安全事件處置自動(dòng)化

信息安全事件處置自動(dòng)化工作按處置的類(lèi)型不同，可分為自動(dòng)通知和自動(dòng)攔截兩類(lèi)，前者如由芬蘭、比利時(shí)等國(guó)基于IRC協(xié)議的框架和python語(yǔ)言開(kāi)發(fā)的工具AbuseHelper，能夠?qū)⒉煌瑏?lái)源的安全事件被輸入IRC的頻道（channel），每個(gè)頻道由對(duì)應(yīng)的程序（bot）完成不同的任務(wù)，如IP／域名歸屬信息獲取，輸出到數(shù)據(jù)庫(kù)，發(fā)送郵件等。自動(dòng)攔截方面，國(guó)內(nèi)的中國(guó)科學(xué)技術(shù)大學(xué)和東北大學(xué)等開(kāi)發(fā)的基于BGP的黑名單自動(dòng)分發(fā)系統(tǒng)，對(duì)在邊界網(wǎng)關(guān)、流控、蜜罐等設(shè)備上發(fā)現(xiàn)的掃描、垃圾郵件、惡意網(wǎng)站數(shù)據(jù)在邊界路由或防火墻上進(jìn)行自動(dòng)部署，但只能夠?qū)χ眯哦群芨叩陌踩录M(jìn)行自動(dòng)化處理，否則將出現(xiàn)大量的誤操作。可以看出，安全事件處置的自動(dòng)化一方面依賴事件檢測(cè)的準(zhǔn)確率和及時(shí)性，一方面需要安全設(shè)備的聯(lián)動(dòng)，如美國(guó)NSA于2017年推出的OpenC2標(biāo)準(zhǔn)，旨在通過(guò)統(tǒng)一的接口，實(shí)現(xiàn)安全設(shè)備之間的聯(lián)動(dòng)，為信息安全事件的快速反應(yīng)提供可操作層面的技術(shù)基礎(chǔ)。最后，自動(dòng)化處置或隔離還需要能夠根據(jù)不同需求，對(duì)不同地址網(wǎng)段采用不同的安全監(jiān)測(cè)和部署不同的安全策略的問(wèn)題。

因此，在自動(dòng)化網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)體系構(gòu)建的過(guò)程中，自動(dòng)化響應(yīng)有效的貫穿至檢測(cè)、遏制、清除乃至恢復(fù)階段，需要解決3個(gè)難點(diǎn)：

（1）事件檢測(cè)的準(zhǔn)確率；

（2）安全設(shè)備的互操作性；

（3）網(wǎng)絡(luò)流量細(xì)粒度的可控性。

2 應(yīng)急響應(yīng)技術(shù)體系

圖2：DBIR 2019數(shù)據(jù)泄露處置動(dòng)作時(shí)間對(duì)比圖

圖3：網(wǎng)絡(luò)安全應(yīng)急響應(yīng)技術(shù)架構(gòu)

在急應(yīng)響應(yīng)過(guò)程中，能夠用到的技術(shù)如圖3所示，為了方便歸類(lèi)，將網(wǎng)絡(luò)安全應(yīng)急響應(yīng)暫時(shí)分為4個(gè)階段（采用廣義的應(yīng)急響應(yīng)概念描述）：準(zhǔn)備階段、檢測(cè)（發(fā)現(xiàn)）階段、遏制和根除階段（處置階段）、恢復(fù)和總結(jié)階段，某些安全技術(shù)能夠在不同階段均發(fā)揮效用，且所有技術(shù)均以一個(gè)安全產(chǎn)品或一組安全產(chǎn)品的形態(tài)工作，部署在網(wǎng)絡(luò)邊界、基礎(chǔ)設(shè)施和計(jì)算環(huán)境之中，技術(shù)能效的發(fā)揮依靠管理體系的建立和技術(shù)人員的能力驅(qū)動(dòng)。自動(dòng)化應(yīng)急響應(yīng)技術(shù)體系仍然需要在構(gòu)建在當(dāng)前主流的防護(hù)技術(shù)和安全產(chǎn)品基礎(chǔ)之上，重點(diǎn)在于降低安全事件檢測(cè)過(guò)程人為參與的程度，并提高安全事件的檢測(cè)準(zhǔn)確率，安全事件發(fā)生時(shí)能夠通過(guò)安全設(shè)備的自動(dòng)化聯(lián)動(dòng)實(shí)現(xiàn)事件遏制，通過(guò)自動(dòng)化備份和快照、鏡像實(shí)現(xiàn)安全事件的清除。

3 自動(dòng)化應(yīng)急響應(yīng)體系的構(gòu)建

自動(dòng)化應(yīng)急響應(yīng)技術(shù)架構(gòu)如圖4所示，該架構(gòu)以數(shù)據(jù)分析為中心，旨在縮短信息安全事件的檢測(cè)時(shí)間，提高檢測(cè)準(zhǔn)確率，并通過(guò)網(wǎng)絡(luò)的自適應(yīng)調(diào)整，來(lái)滿足細(xì)粒度的檢測(cè)和控制策略，形成事件發(fā)現(xiàn)的閉環(huán)，同時(shí)通過(guò)開(kāi)放式的API架構(gòu)，使能安全設(shè)備聯(lián)動(dòng)，快速進(jìn)行事件的遏制，并結(jié)合自動(dòng)化的網(wǎng)絡(luò)鏡像、系統(tǒng)快照實(shí)現(xiàn)安全事件的自動(dòng)化清除。

3.1 自動(dòng)化安全事件檢測(cè)

圖4：網(wǎng)絡(luò)安全自動(dòng)化應(yīng)急響應(yīng)技術(shù)架構(gòu)

實(shí)現(xiàn)自動(dòng)化的信息安全事件檢測(cè)勢(shì)必要將威脅情報(bào)、威脅狩獵和態(tài)勢(shì)感知的理念和技術(shù)進(jìn)行整合，一方面提高數(shù)據(jù)的豐富度，另一方面綜合運(yùn)用機(jī)器學(xué)習(xí)、模式識(shí)別（特征匹配）和黑名單方法，提高分析準(zhǔn)確率。

3.1.1 威脅情報(bào)

威脅情報(bào)系統(tǒng)包括情報(bào)收集、情報(bào)加工、情報(bào)分析和安全決策4個(gè)部分。其中后兩部分往往結(jié)合人工完成，信息技術(shù)只是輔助進(jìn)行安全決策。越來(lái)越多的用戶從關(guān)注已知威脅過(guò)渡到針對(duì)未知威脅的預(yù)警及防御，而這一能力也需要基于威脅情報(bào)的不斷積累，并結(jié)合AI驅(qū)動(dòng)的大數(shù)據(jù)分析、多組織協(xié)作等方式方法，進(jìn)而將之變得穩(wěn)定可用，才有可能從已知向未知的跨越。

3.1.2 威脅狩獵

結(jié)合威脅情報(bào)數(shù)據(jù)，通過(guò)SDN網(wǎng)絡(luò)結(jié)合自動(dòng)化檢測(cè)技術(shù)，實(shí)施自動(dòng)化威脅狩獵活動(dòng)，在發(fā)現(xiàn)潛在攻擊情況下、通過(guò)蜜罐和蜜網(wǎng)技術(shù)，主動(dòng)投放蜜餌，進(jìn)一步將提高攻擊事件檢測(cè)的置信度，確定攻擊手段、攻擊源等安全事件信息要素。

3.1.3 態(tài)勢(shì)感知

通過(guò)采集資產(chǎn)、網(wǎng)絡(luò)通信、計(jì)算環(huán)境、業(yè)務(wù)應(yīng)用、脆弱性、安全事件、運(yùn)行狀況、審計(jì)日志和威脅情報(bào)等數(shù)據(jù)，利用大數(shù)據(jù)技術(shù)和機(jī)器學(xué)習(xí)技術(shù)，分析網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個(gè)網(wǎng)絡(luò)當(dāng)前狀態(tài)和變化趨勢(shì)，獲取、理解、回溯、顯示能夠引起網(wǎng)絡(luò)態(tài)勢(shì)發(fā)生變化的安全要素，預(yù)測(cè)網(wǎng)絡(luò)安全態(tài)勢(shì)及發(fā)展趨勢(shì)，確定是否需要啟動(dòng)自動(dòng)化處置階段。

3.2 自動(dòng)化安全事件處置

3.2.1 安全設(shè)備和工具的開(kāi)放式API服務(wù)

基于標(biāo)準(zhǔn)化的威脅情報(bào)共享格式和協(xié)議，結(jié)合安全設(shè)備和工具的API標(biāo)準(zhǔn)化接口，以SOC為中心，下發(fā)控制策略，實(shí)現(xiàn)數(shù)據(jù)和操作的自動(dòng)化聯(lián)動(dòng)。

3.2.2 基于軟件定義網(wǎng)絡(luò)（SoftwareDefined Network）的安全響應(yīng)架構(gòu)

SDN技術(shù)的優(yōu)點(diǎn)不僅僅在于可以實(shí)現(xiàn)具體某一類(lèi)的安全功能，而且在于其北向的應(yīng)用編程接口為自動(dòng)化的程序控制流量提供了統(tǒng)一的接口，同時(shí)SDN作為通用技術(shù)，可以通過(guò)流表和應(yīng)用層邏輯實(shí)現(xiàn)細(xì)粒度的策略控制，即使是同一個(gè)目標(biāo)地址的流量，可以根據(jù)安全的需求，實(shí)施不同的流量控制策略。將復(fù)雜的響應(yīng)措施通過(guò)SDN統(tǒng)一的流表操作接口實(shí)現(xiàn)可編程的自動(dòng)化工作，則可以進(jìn)一步將自動(dòng)響應(yīng)技術(shù)引入到應(yīng)急響應(yīng)的根除、恢復(fù)、跟蹤等階段，并為檢測(cè)和抑制階段提供更細(xì)粒度的操作支持。

3.2.3 自動(dòng)鏡像和快照

通過(guò)實(shí)時(shí)網(wǎng)絡(luò)鏡像留存和系統(tǒng)快照，提供安全事件的自動(dòng)化處置過(guò)程的根除能力，但為了避免安全處置影響正常業(yè)務(wù)，需要對(duì)網(wǎng)絡(luò)和快照分級(jí)管理，重要的網(wǎng)段和系統(tǒng)恢復(fù)，需要安全人員主導(dǎo)實(shí)現(xiàn)半自動(dòng)化決策支持和數(shù)據(jù)下發(fā)。

4 結(jié)語(yǔ)

構(gòu)建半自動(dòng)化和自動(dòng)化的應(yīng)急響應(yīng)技術(shù)體系結(jié)合管理流程自動(dòng)化，采用三同步原則，能夠顯著提高安全事件的處置效率和效用，進(jìn)一步部署安全事件的報(bào)告自動(dòng)生成，配合應(yīng)急響應(yīng)人員的自動(dòng)化通知和知識(shí)的自動(dòng)化整理，最終可形成一套完善的自動(dòng)化應(yīng)急響應(yīng)體系，為網(wǎng)絡(luò)安全保障提供協(xié)作機(jī)制和業(yè)務(wù)級(jí)支撐。