安全態(tài)勢感知技術(shù)在市規(guī)劃和自然資源局網(wǎng)絡(luò)中的應(yīng)用

林立明

（杭州市規(guī)劃和自然資源局調(diào)查監(jiān)測中心 浙江省杭州市 310000）

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，一方面規(guī)劃和自然資源系統(tǒng)的信息化水平日益提高，網(wǎng)上辦、移動辦、掌上辦、跑一次的應(yīng)用普遍推廣；另一方面因為規(guī)劃和自然資源眾多數(shù)據(jù)的重要性和敏感性，需要應(yīng)對各式各樣的網(wǎng)絡(luò)攻擊行為，特別是需要應(yīng)對一些利用未知漏洞、未知惡意代碼的高級持續(xù)性威脅。

而市規(guī)劃與自然資源局共有下屬單位十幾個，對于發(fā)現(xiàn)的安全問題缺乏強制抓手和流程閉環(huán)的手段，無法對于單位業(yè)務(wù)交互中的安全問題進行識別阻斷和統(tǒng)一的通報預(yù)警，以及無法對于問題的通報展示進度和對處理結(jié)果的閉環(huán)監(jiān)測。

因此，市規(guī)劃和自然資源局需要一種有效的信息自監(jiān)管手段，早于監(jiān)管單位發(fā)現(xiàn)下級有被通報風險的安全事件，而且需要一種有效的方式保證上通下達過程的效率，同時應(yīng)能夠準確的判斷安全事件是否為誤報，處理過程可否支持被記錄和追蹤查看。

1 市規(guī)劃和自然資源系統(tǒng)的安全現(xiàn)狀、存在的問題和需求

1.1 傳統(tǒng)防護手段面臨失效

高級持續(xù)性威脅（Advanced Persistent Threat，簡稱APT）是一種可以繞過各種傳統(tǒng)安全檢測防護措施，通過精心偽裝、定點攻擊、長期潛伏、持續(xù)滲透等方式，伺機竊取網(wǎng)絡(luò)信息系統(tǒng)核心資料和各類情報的攻擊方式。

規(guī)劃和自然資源系統(tǒng)目前采用的安全防御體系包括：接入控制、安全隔離、邊界檢測/防御、終端防御、網(wǎng)絡(luò)審計、訪問控制等，所涉及的安全產(chǎn)品包括：防火墻、IDS/IPS、殺毒軟件、桌面管理軟件、網(wǎng)絡(luò)審計、雙因素認證Token等。這些產(chǎn)品的數(shù)據(jù)分析雖遍布網(wǎng)絡(luò)的第2至7層，但產(chǎn)品的核心技術(shù)仍屬于傳統(tǒng)防御體系。APT攻擊發(fā)生在網(wǎng)絡(luò)的第7層，而目前規(guī)劃和自然資源系統(tǒng)部署在第7層設(shè)備主要是IDS和IPS。這些設(shè)備采用經(jīng)典的CIDF檢測模型，依靠匹配特征庫的模式完成對攻擊行為的檢測。反觀APT攻擊，其采用的攻擊手法和技術(shù)都是未知漏洞（0day）、未知惡意代碼等未知行為，在這種情況下，依靠已知特征、已知行為模式進行檢測的IDS和IPS設(shè)備在無法預(yù)知攻擊特征、攻擊行為的情況下，無法檢測APT攻擊。

1.2 免殺木馬無法檢測

木馬(Trojan)，也稱木馬病毒，是通過特定的程序(木馬程序)來控制另一臺計算機的軟件。木馬通常有兩個可執(zhí)行程序:一個是控制端，另一個是被控制端。木馬程序是目前比較流行的病毒文件，與一般的病毒不同，它不會自我繁殖，也并不“刻意”地去感染其他文件，它通過將自身偽裝吸引用戶下載執(zhí)行，向施種木馬者提供打開被種主機的門戶，使施種者可以任意毀壞、竊取被種者的文件，甚至遠程操控被種主機。

在APT攻擊中使用的木馬通常為“免殺木馬”，這類木馬會利用加冷門殼、加花指令改程序入口點、修改內(nèi)存特征碼等免殺技巧來避免自身被殺毒軟件所查殺。同時為了避免被殺毒軟件檢測并查殺，APT組織還采用了大量對抗手法，其中針對國內(nèi)的安全軟件主要包括：360殺毒、瑞星殺毒、金山毒霸、金山衛(wèi)士、QQ軟件管家等。在對抗過程中如果發(fā)現(xiàn)殺毒軟件，惡意代碼會選擇放棄執(zhí)行后續(xù)的功能代碼，或者會選擇繞過殺毒軟件的檢測。

市規(guī)劃和自然資源系統(tǒng)雖然部署實施了終端安全管理系統(tǒng)，但是當遇到“免殺木馬”時，基于病毒庫檢測木馬的終端安全軟件還是力不從心，需要通過更多技術(shù)維度來檢測處置，才能保障規(guī)劃和自然資源系統(tǒng)終端的安全。

1.3 大量安全數(shù)據(jù)無法有效利用

目前，規(guī)劃和自然資源系統(tǒng)的安全事件分析思路是遍歷各個安全設(shè)備的告警日志，嘗試找出其中的關(guān)聯(lián)關(guān)系。這種分析方法不僅耗時長，效率低，而且無法檢測APT攻擊。

由于APT攻擊的隱蔽性和特殊性，傳統(tǒng)安全設(shè)備通常無法對APT攻擊的各個階段進行有效的檢測，無法產(chǎn)生相應(yīng)的告警，安全人員花費大量精力進行告警日志分析往往是徒勞無功。如果采用全流量采集的思路，一方面是存儲不方便，每天產(chǎn)生的全流量數(shù)據(jù)會占用過多的存儲空間，沒有足夠的資源來支撐長時間的存儲；另一方面是全流量數(shù)據(jù)包含了結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)，涵蓋了視屏、圖片、文本等等多種格式，無法直接進行格式化檢索，安全人員也就無法從海量的數(shù)據(jù)中找到有價值的信息。

因此，如何以恰當?shù)姆绞介L時間保存對安全分析有價值的流量數(shù)據(jù)，是規(guī)劃和自然資源系統(tǒng)檢測、回溯APT攻擊必須解決的問題。

2 應(yīng)用方案

為了進一步提高規(guī)劃和自然資源系統(tǒng)網(wǎng)絡(luò)安全水平，有效檢測和防御各類網(wǎng)絡(luò)攻擊行為 ，特別是APT攻擊，將態(tài)勢感知技術(shù)應(yīng)用于規(guī)劃和自然資源網(wǎng)絡(luò)安全領(lǐng)域，可以充分發(fā)揮其在檢測和防御大量高級威脅攻擊方面的特點和優(yōu)勢。

2.1 技術(shù)架構(gòu)

部署全流量威脅檢測的態(tài)勢感知系統(tǒng)可以幫助規(guī)劃和自然資源系統(tǒng)及時有效地發(fā)現(xiàn)未知威脅，提升安全管理人員對未知威脅的發(fā)現(xiàn)速度和效率，最大限度地降低規(guī)劃和自然資源系統(tǒng)受攻擊后的損失，回溯方案可以記錄規(guī)劃和自然資源網(wǎng)絡(luò)的任何一次網(wǎng)絡(luò)行為，為攻擊行為溯源提供強大的支撐。如圖1所示。

（1）在各級單位核心交換機旁掛檢測探針，實時收集網(wǎng)絡(luò)內(nèi)的安全流量及信息，統(tǒng)一上報市級運營平臺進行統(tǒng)一的分析預(yù)警，并對預(yù)判的安全問題進行研判及通報，通過安全組件的聯(lián)動以及工單的下發(fā)實現(xiàn)安全的閉環(huán)處置監(jiān)控。

（2）在區(qū)縣單位出口邊界部署下一代防火墻，實現(xiàn)邊界的訪問控制、入侵防范以及攻擊阻斷。同時配合運營平臺的聯(lián)動處置及時處置安全問題，提高縱深防御，聯(lián)動響應(yīng)的能力。

（3）同時通過SAAS化服務(wù)云眼實時監(jiān)測各單位互聯(lián)網(wǎng)網(wǎng)站業(yè)務(wù)的脆弱性及風險點。并將數(shù)據(jù)統(tǒng)一上報給市級運營中心進行統(tǒng)一的通報預(yù)警。

（4）市級中心平臺配合安全運營服務(wù)實現(xiàn)安全專家7*24實時分析預(yù)警，保障網(wǎng)絡(luò)的安全。

2.2 工作流程說明

工作流程如圖2所示。

（1）資產(chǎn)統(tǒng)一管理：通過安全感知平臺通報預(yù)警版，提供“互聯(lián)網(wǎng)網(wǎng)站實時監(jiān)測和網(wǎng)絡(luò)內(nèi)部威脅實時監(jiān)測”，對各區(qū)縣單位、部門的自有業(yè)務(wù)資產(chǎn)實現(xiàn)統(tǒng)一管理（各單位網(wǎng)站的風險問題由云眼探測，業(yè)務(wù)及系統(tǒng)安全問題由部署在各級探針進行流量采集，二者統(tǒng)一接入省局感知平臺進行統(tǒng)一分析、通報、及閉環(huán)處置，實現(xiàn)內(nèi)外網(wǎng)的全面安全監(jiān)測體系。）

（2）7×24小時持續(xù)威脅分析預(yù)警：使用三階共享專家模式，提供7×24小時持續(xù)服務(wù)，永不休息幫助單位持續(xù)監(jiān)測安全狀態(tài)；并在安全事件發(fā)生前、發(fā)生時、發(fā)生后動態(tài)調(diào)整安全策略，使單位的安全狀態(tài)逐步提升，讓單位的安全工作無論是脆弱性還是威脅，由主動開展，改變當前時刻都是救火員的狀態(tài)。

（3）監(jiān)管通報：網(wǎng)絡(luò)中心作為網(wǎng)絡(luò)安全責任部門，對下屬分支進行監(jiān)管和通報，并實時監(jiān)控處置情況。發(fā)生安全事件后，可通過短信或郵件的方式告知資產(chǎn)所有人，并可添加附件及規(guī)定處理時間上限。

（4）任務(wù)認領(lǐng)：每一個接入的分支會拿到相應(yīng)級別的管理員賬號，可以進入自己的界面進行通報任務(wù)的認領(lǐng)和處理。平臺會給出相應(yīng)的處置建議，應(yīng)對一些普通的漏洞，簡單的風險威脅，各級單位人員是具備處置能力的。

（5）全流程大屏可視。

2.3 功能模塊部署設(shè)計

全流量威脅檢測的態(tài)勢感知系統(tǒng)組件包括：威脅情報（云端）、流量傳感器、文件威脅鑒定器（沙箱）、威脅分析平臺。

2.3.1 威脅情報搜集和下發(fā)

在云端大量搜集與安全相關(guān)的數(shù)據(jù)，涵蓋DNS解析記錄、WHOIS信息、樣本信息、文件行為日志等內(nèi)容，并針對這些信息使用機器學習、深度學習、重沙箱集群、關(guān)聯(lián)分析等分析手段，最終形成云端威脅情報下發(fā)到本地的分析平臺用于進行安全威脅檢測。

2.3.2 本地威脅檢測

流量傳感器負責將所有鏡像流量進行還原分析，提取HTTP、SMTP、POP3、FTP等文件傳輸協(xié)議中出現(xiàn)的文件內(nèi)容，將文件通過加密通道傳送到文件威脅鑒定器（沙箱）。文件威脅鑒定器（沙箱）對所有文件進行解壓縮、格式檢查后，使用靜態(tài)檢測、半動態(tài)檢測、沙箱檢測等多種檢測手段，對文件中可能包含的惡意行為進行捕捉分析以發(fā)現(xiàn)高級威脅攻擊。使用該方案后，可以有效發(fā)現(xiàn)網(wǎng)絡(luò)中出現(xiàn)的漏洞利用行為，木馬控制行為，APT攻擊中使用的“免殺木馬”等，同時沙箱檢測還可以提供更多高級沙箱防逃逸技術(shù)，用以避免威脅攻擊繞過整個檢測系統(tǒng)。

2.3.3 威脅行為回溯

分析平臺可以依靠自身獨特的分布式搜索架構(gòu)設(shè)計，將所有傳送至此的行為信息和告警信息進行快速地存儲并建立索引，可以長時間保存對安全分析有價值的流量數(shù)據(jù)。建立索引后的信息可以在分析平臺上快速地搜索到。安全管理人員可以利用該方案記錄過去一段時間內(nèi)出現(xiàn)的任何一次網(wǎng)絡(luò)行為，發(fā)現(xiàn)任何一次網(wǎng)絡(luò)行為中的具體細節(jié)，提升網(wǎng)絡(luò)透明度及可視性，快速發(fā)現(xiàn)高級威脅并結(jié)合本地系統(tǒng)進行準確溯源，牢牢掌握規(guī)劃和自然資源系統(tǒng)網(wǎng)絡(luò)安全工作的主導(dǎo)位置，滿足上級監(jiān)管單位對于安全工作的溯源及定位要求。

2.4 應(yīng)用效果

浙江省一些規(guī)劃和自然資源系統(tǒng)通過在辦公網(wǎng)絡(luò)、生產(chǎn)網(wǎng)絡(luò)中多個關(guān)鍵節(jié)點試行部署網(wǎng)絡(luò)安全態(tài)勢感知產(chǎn)品，在經(jīng)過日常網(wǎng)絡(luò)安全工作及公安攻防行動中的應(yīng)用與檢驗后，都證實了其能夠大幅提升全局整體網(wǎng)絡(luò)安全形勢的感知能力，為網(wǎng)絡(luò)安全管理人員和網(wǎng)絡(luò)運維人員提供有效的威脅告警和處置措施，為單位領(lǐng)導(dǎo)提供一個實時了解整個規(guī)劃和自然資源系統(tǒng)網(wǎng)絡(luò)安全形勢的有力工具。

2.4.1 網(wǎng)站攻擊感知

部署和使用網(wǎng)絡(luò)安全態(tài)勢感知平臺后，能夠從其產(chǎn)生的安全告警中，直接掌握網(wǎng)站正在遭受的攻擊情況，包括攻擊趨勢、攻擊數(shù)量、攻擊類型、攻擊源分布、攻擊目標，以及攻擊結(jié)果等。從某局運用此平臺分析近1月的網(wǎng)站安全形勢可以看出，共發(fā)現(xiàn)81.6萬余次各類威脅行為，包括端口掃描、網(wǎng)站掃描、弱口令、WebShell利用等，同時從右邊的趨勢圖可以看出近1月每天的告警數(shù)量趨勢，這些數(shù)據(jù)使得分析人員、分管領(lǐng)導(dǎo)能夠?qū)崟r掌握網(wǎng)站安全動態(tài)，為對日常監(jiān)控網(wǎng)站安全狀態(tài)提供決策依據(jù)。

例如某某局網(wǎng)站遭受攻擊的情況，通過里面的被攻擊網(wǎng)站top5、攻擊類型top10功能，分析人員、分管領(lǐng)導(dǎo)能直接了解到哪些分支機構(gòu)正在遭到大量攻擊、正在遭受什么類型的攻擊行為，為進一步的措施提供數(shù)據(jù)支撐。

2.4.2 終端威脅感知

部署和使用網(wǎng)絡(luò)安全態(tài)勢感知平臺后，使網(wǎng)絡(luò)安全管理人員能夠從網(wǎng)絡(luò)流量層面，實時捕獲終端設(shè)備發(fā)出的所有流量包括免殺木馬，檢索并匹配威脅流量，定位發(fā)出威脅流量的終端設(shè)備。例如某某局通過態(tài)勢感知平臺篩查了近1個月的終端威脅數(shù)據(jù)可以看出，近1個月內(nèi)，平臺共發(fā)現(xiàn)了2.58萬次一直都潛藏在網(wǎng)絡(luò)中的終端威脅告警，包括勒索軟件、電腦病毒、僵尸網(wǎng)絡(luò)、黑市工具、遠控木馬等，為提前預(yù)警、采取措施提供依據(jù)。

2.4.3 惡意文件感知

部署和使用網(wǎng)絡(luò)安全態(tài)勢感知平臺后，通過態(tài)勢感知中的沙箱檢測技術(shù)，能夠檢測到網(wǎng)絡(luò)中傳播的惡意文件流量，包括僵木蠕毒文件、無文件落地的威脅流量、捆綁了惡意代碼的文件、宏病毒文件等。例如某某局通過查看文件檢測沙箱數(shù)據(jù)，共送檢3845657個文件，檢測出353個文件存在可疑行為或惡意代碼。

2.4.4 高危行為感知

部署和使用網(wǎng)絡(luò)安全態(tài)勢感知平臺后，通過態(tài)勢感知平臺中存儲的全流量記錄，結(jié)合威脅分析模型，能夠直接通過態(tài)勢感知平臺，了解各類資產(chǎn)或賬號的多種異常行為，如異常的登錄行為、異常的數(shù)據(jù)庫行為、異常的訪問行為、異常的網(wǎng)站服務(wù)器行為等。例如某某局針對常規(guī)檢測規(guī)則難以檢測、發(fā)現(xiàn)的攻擊源TOP5、被攻擊的受害IP TOP5，使得分析人員能直接發(fā)現(xiàn)這種業(yè)務(wù)邏輯性的攻擊行為，以采取封堵、加固等措施。

2.4.5 資產(chǎn)感知

部署和使用網(wǎng)絡(luò)安全態(tài)勢感知平臺后，可以運用資產(chǎn)感知能力、大數(shù)據(jù)分析能力，通過流量采集的形式，主動搜索感知到網(wǎng)絡(luò)中的所有資產(chǎn)信息,形成一份全面的資產(chǎn)清單表。例如某某局發(fā)布要求排查weblogic中間件、關(guān)閉weblogic IIOP模塊時，便是通過在態(tài)勢感知平臺中，所有weblogic中間件特征，查詢出一批準確的weblogic資產(chǎn)，避免了以往使用掃描探測手段產(chǎn)生的誤報、資產(chǎn)登記不及時導(dǎo)致的遺漏情況。

2.4.6 流量審計

部署和使用網(wǎng)絡(luò)安全態(tài)勢感知平臺后，作為流量存儲和審計的一種形式，滿足單位的等保合規(guī)需求。在公安部“HW-2020”期間，通過其他省局發(fā)現(xiàn)、分享的攻擊IP，某某局直接在態(tài)勢感知平臺中查詢相關(guān)IP，即能發(fā)現(xiàn)該IP是否訪問過相關(guān)系統(tǒng)、信息踩點、嘗試攻擊等行為，為做進一步的排查提供線索，極大的提升了網(wǎng)絡(luò)安全應(yīng)急排查、響應(yīng)的效率。

3 結(jié)語

市規(guī)劃和自然資源系統(tǒng)部署網(wǎng)絡(luò)安全態(tài)勢感知平臺，可以極大地提升全局網(wǎng)絡(luò)安全感知能力。包括在網(wǎng)站攻擊感知、終端威脅感知、惡意文件感知、高危行為感知、資產(chǎn)感知等多個維度，均能實際掌握各方面的網(wǎng)絡(luò)安全威脅形勢，為下一步的網(wǎng)絡(luò)安全防護和建設(shè)提供有力的實踐支撐。

其中，政務(wù)系統(tǒng)安全態(tài)勢感知：通過建立網(wǎng)絡(luò)安全監(jiān)測預(yù)警處置平臺，對互聯(lián)網(wǎng)業(yè)務(wù)及政務(wù)外網(wǎng)資產(chǎn)進行全面檢測，掌握各接入單位的基本網(wǎng)絡(luò)信息，并對應(yīng)用系統(tǒng)進行安全監(jiān)測，感知網(wǎng)絡(luò)的安全態(tài)勢，幫助各接入單位掌握當前的安全形勢、安全問題，做到信息安全建設(shè)心中有數(shù)。

3.1 建立安全事件通報機制

安全專家7×24小時全天候值守，第一時間確認通報風險，保證風險零誤報，風險跟蹤，修復(fù)建議指導(dǎo)。風險發(fā)現(xiàn)后，經(jīng)過專家確認，迅速下發(fā)處置平臺，跟蹤整改。

3.2 形成安全事件主動預(yù)警機制

為了積極應(yīng)對網(wǎng)絡(luò)可能會出現(xiàn)的安全事件，提前有效部署防御，大數(shù)據(jù)威脅分析平臺可形成安全事件的主動預(yù)警機制，包括0day漏洞的定向預(yù)警；攻擊事件的通知與相關(guān)網(wǎng)站的預(yù)警；對爆發(fā)的安全問題進行分析，同步預(yù)警至相對應(yīng)的系統(tǒng)，通知單位做好提前防范；對發(fā)現(xiàn)的攻擊行為進行分析、同步預(yù)警，做好提前防范。

3.3 建立響應(yīng)處置結(jié)果跟蹤機制

通報預(yù)警與工單處置：構(gòu)建通報預(yù)警機制，從風險發(fā)現(xiàn)、風險定位、通報預(yù)警，到事件歸檔的通報管理流程，預(yù)警網(wǎng)絡(luò)安全風險，主動防患于未然，及時將安全風險以工單形勢通報到下屬單位，推進快速處置， 并復(fù)核處置結(jié)果，通過平臺將結(jié)果與通報預(yù)警工作流程融會貫通，形成安全閉環(huán)，減輕運維人員壓力。

促進應(yīng)急響應(yīng)時效性，提升安全事件處置水平，對發(fā)現(xiàn)安全問題的系統(tǒng)進行處置結(jié)果的跟蹤，掌握其整改結(jié)果是否達標，是否引入新的安全問題，對安全事件的跟蹤處理形成閉環(huán)。