打造動態(tài)、綜合的網(wǎng)絡(luò)安全防御體系

◎北京安天網(wǎng)絡(luò)安全技術(shù)有限公司 王長江 張登峰

關(guān)鍵信息基礎(chǔ)設(shè)施和重要網(wǎng)絡(luò)信息系統(tǒng)需要構(gòu)建與威脅相抗衡的體系化安全能力，安天提出的動態(tài)綜合網(wǎng)絡(luò)安全防御體系解決方案，利用安全數(shù)據(jù)預(yù)處理技術(shù)、大數(shù)據(jù)分析與建模技術(shù)、數(shù)據(jù)可視化技術(shù)，并依托威脅情報獲取、分析能力，提供網(wǎng)絡(luò)安全宏觀管理和全網(wǎng)態(tài)勢分析研判的能力。

一、打造動態(tài)、綜合的網(wǎng)絡(luò)安全防御體系刻不容緩

當(dāng)前，國際形勢日趨復(fù)雜，大國間圍繞網(wǎng)絡(luò)空間情報與反情報作業(yè)的攻防博弈愈演愈烈，疑似針對我國高價值網(wǎng)絡(luò)信息系統(tǒng)的入侵事件時有發(fā)生，我國面臨的網(wǎng)絡(luò)安全形勢極其嚴(yán)峻。習(xí)近平總書記在網(wǎng)絡(luò)強國系列講話中指出，“樹立動態(tài)、綜合的防護理念”“實現(xiàn)全天候全方位感知和有效防護”“做到關(guān)口前移，防患于未然”，這對關(guān)乎國家安全、國防安全的要害網(wǎng)絡(luò)信息系統(tǒng)的安全防護工作提出了明確要求。

我國大型軍工企業(yè)的關(guān)鍵信息基礎(chǔ)設(shè)施和重要網(wǎng)絡(luò)信息系統(tǒng)，具有與國家安全相關(guān)的重要意義，是網(wǎng)絡(luò)安全的重中之重，也是可能遭到重點攻擊的目標(biāo)。面對來自敵對勢力、犯罪團伙、黑客組織的真實威脅，安全防護責(zé)任重大，必須構(gòu)建足以與威脅相抗衡的體系化安全能力。

從客觀條件上來看，當(dāng)前網(wǎng)絡(luò)安全防護工作還面臨安全預(yù)算投入占比較低、安全運營人員不足、業(yè)務(wù)快速發(fā)展變化等現(xiàn)實問題?；诖?，安天提出了動態(tài)綜合網(wǎng)絡(luò)安全防御體系，該體系以“敵已在內(nèi)”的敵情想定為前提，以構(gòu)建可擴展的防御能力主軸為當(dāng)前現(xiàn)實目標(biāo)的總體思路；通過安全能力原生融合、網(wǎng)空地形塑造、威脅行為拒止、集中管控態(tài)勢、實戰(zhàn)化安全運行等關(guān)鍵方案的落地實施；協(xié)助客戶形成對于高級威脅行為體網(wǎng)絡(luò)攻擊的有效遲滯、阻斷和呈現(xiàn)對手殺傷鏈，對于可以批量擴散的威脅，可以實現(xiàn)實時或者準(zhǔn)實時化的攔截，達成最高的防御投入的效費比，并為能力的全面擴展形成基礎(chǔ)底盤。

二、體系框架設(shè)計

安天動態(tài)綜合網(wǎng)絡(luò)安全防御體系參考“疊加演進”、“IPDRR”等安全模型，并借鑒軍事陣地防御思路，以威脅對抗和形成層次化安全能力為縱軸，提出階梯防御模型框架，并以此為基礎(chǔ)設(shè)計動態(tài)綜合安全防御體系框架及關(guān)鍵舉措。

動態(tài)綜合防御體系框架

關(guān)口前移，原生融合：在威脅對抗的過程中，由于供應(yīng)鏈涉及的環(huán)節(jié)、角色眾多，結(jié)構(gòu)異常復(fù)雜，攻擊者可能會利用供應(yīng)鏈的各個節(jié)點、環(huán)節(jié)的安全隱患，從上游、中間環(huán)節(jié)、地下供應(yīng)鏈等方面，無孔不入的對目標(biāo)進行發(fā)起攻擊行為，成為安全的最基礎(chǔ)的隱患，因此相關(guān)設(shè)備是否先天帶有網(wǎng)絡(luò)安全基礎(chǔ)基因和管理能力至關(guān)重要?？赏ㄟ^獨一無二的的基礎(chǔ)供應(yīng)鏈的積累，為網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、APP、專業(yè)智能終端等進行賦能，將這些設(shè)備嵌入自主研發(fā)的引擎，在供應(yīng)鏈側(cè)構(gòu)建帶有安全內(nèi)核和加固能力的基礎(chǔ)安全產(chǎn)品，提升原生產(chǎn)品/設(shè)備的基礎(chǔ)安全性和可信度，進一步形成面向上層提供管理接口。

地形繪制，環(huán)境塑造：摸清資產(chǎn)底數(shù)、洞察拓?fù)潢P(guān)系，理清業(yè)務(wù)場景，是進行網(wǎng)絡(luò)安全防御工作的前提。形成準(zhǔn)實時化的網(wǎng)空地形，也是實施深度響應(yīng)和威脅獵殺的基礎(chǔ)。通過掃描測繪、流量發(fā)現(xiàn)和系統(tǒng)輕代理等多種方式采集硬件子地形、軟件子地形和服務(wù)子地形，形成有效的技術(shù)支撐。同時，對于整個網(wǎng)空地形，可通過蜜罐等產(chǎn)品實現(xiàn)整個網(wǎng)空的欺騙環(huán)境，通過脆弱性、暴露面實現(xiàn)威脅的誘捕。

威脅拒止、行為管控：在整個防御體系中，有效防御的關(guān)鍵能將絕大部分威脅予以實時化攔截，避免更多依賴后端長時間的響應(yīng)流程閉環(huán)，導(dǎo)致成本和風(fēng)險均不收斂。通過終端防御系統(tǒng)、流量檢測系統(tǒng)、威脅阻斷系統(tǒng)、威脅分析系統(tǒng)等產(chǎn)品的縱深部署，實現(xiàn)在檢測、防護、捕獲、分析、響應(yīng)各個環(huán)節(jié)阻斷、遲滯和呈現(xiàn)威脅攻擊殺傷鏈。

要素采集、復(fù)核標(biāo)定：面對高級威脅的挑戰(zhàn)，所有單點安全環(huán)節(jié)，均有被繞過和失效的必然性，因此在確保留痕的基礎(chǔ)上，應(yīng)實現(xiàn)全面的信息采集和對資產(chǎn)對象、代碼對象、流量對象、數(shù)據(jù)對象、用戶對象的充分元數(shù)據(jù)化拆解，支撐上層進一步分析研判工作。

態(tài)勢管控，集中運營：通過以上要素采集，流量留存以及大量日志信息匯聚形成基礎(chǔ)安全態(tài)勢，支撐集中安全運營和態(tài)勢管控，指揮和協(xié)調(diào)單點安全設(shè)備及安全響應(yīng)、安全運維相關(guān)人員，實現(xiàn)對日趨復(fù)雜的威脅進行精準(zhǔn)對抗與動態(tài)響應(yīng)，全面提高網(wǎng)絡(luò)整體防護水平。

三、關(guān)鍵舉措

（一）夯實基礎(chǔ)架構(gòu)，塑造利我網(wǎng)空地形

建設(shè)集中的資產(chǎn)安全運維管理系統(tǒng)，面向規(guī)?；男畔①Y產(chǎn)管理場景，提供安全運維門戶、資產(chǎn)管理、配置管理、漏洞與補丁管理、日志與告警管理、日常安全管理等功能，以實現(xiàn)“資產(chǎn)配置漏洞補丁四打通，運維安全一體化”為運行目標(biāo)，協(xié)助網(wǎng)絡(luò)安全人員全面管控信息資產(chǎn)、智能調(diào)整安全配置、及時處置安全漏洞、充分審計系統(tǒng)日志、持續(xù)評估系統(tǒng)運行，實現(xiàn)集約化、自動化、精細(xì)化的資產(chǎn)安全運維管理。

建設(shè)欺騙式威脅捕獲系統(tǒng)，在網(wǎng)內(nèi)布防欺騙式網(wǎng)絡(luò)資產(chǎn)，模仿高信息價值資產(chǎn)以及易受攻擊的關(guān)鍵資產(chǎn)，通過創(chuàng)建服務(wù)器類型、物聯(lián)網(wǎng)類型、工控類型等仿真設(shè)備組建與用戶環(huán)境相似的蜜網(wǎng)環(huán)境，通過暴露蜜罐存在的漏洞及服務(wù)來誘使攻擊者對其攻擊，誘敵深入，在保護信息資產(chǎn)安全的同時，分析攻擊對手使用的攻擊工具及手段，可協(xié)助現(xiàn)場運維人員清晰地發(fā)現(xiàn)威脅、定位威脅、溯源威脅，支撐有針對性的進行阻斷和防護。

（二）構(gòu)筑防御縱深，拒止攻擊管控行為

終端側(cè)部署智甲終端安全防御系統(tǒng)，覆蓋PC主機、服務(wù)器、虛擬化、云主機、容器等終端場景，提供惡意代碼查殺、實時主防監(jiān)測、勒索病毒增強防護、溢出攻擊和橫向系統(tǒng)防護等綜合威脅防御功能；融合主機防火墻、終端管控、外設(shè)管控、漏洞掃描、集中補丁修復(fù)等管理功能；支持對Rootkit、感染式病毒、宏病毒等內(nèi)網(wǎng)頑固威脅的有效處置，結(jié)合高級威脅追溯，可以實現(xiàn)全網(wǎng)威脅追溯。

流量側(cè)部署探海威脅檢測系統(tǒng)，以網(wǎng)絡(luò)流量為檢測分析對象，基于高速并行協(xié)議棧進行網(wǎng)絡(luò)數(shù)據(jù)處理，基于綜合網(wǎng)絡(luò)行為檢測引擎、AVL SDK下一代威脅檢測引擎、Trust Stream引擎、IoC威脅情報檢測等組合機制，通過多維度檢測手段，實現(xiàn)威脅的發(fā)現(xiàn)、威脅源頭定位，并對掃描、攻擊、傳輸、投放、控制、心跳、升級、竊密回傳等各種攻擊行為進行檢測。同時，通過對網(wǎng)絡(luò)元數(shù)據(jù)、網(wǎng)絡(luò)傳輸數(shù)據(jù)、載荷行為數(shù)據(jù)等信息的全要素、細(xì)粒度記錄，對潛在威脅、未知威脅實現(xiàn)提早發(fā)現(xiàn)，提升用戶對定向攻擊等高級威脅的發(fā)現(xiàn)和溯源能力，協(xié)助用戶持續(xù)觀測資產(chǎn)安全遭遇的威脅狀況、預(yù)警網(wǎng)絡(luò)安全事件，有力支撐用戶網(wǎng)絡(luò)安全應(yīng)急響應(yīng)工作。

分析側(cè)部署追影威脅分析系統(tǒng)，其以文檔文件、可執(zhí)行文件、URL為分析對象，有效檢出分析鑒定各類已知與未知威脅，尤其對基于格式文檔的0day漏洞攻擊具備優(yōu)秀的檢出能力，通過動靜態(tài)結(jié)合的手段對各種格式的文件進行細(xì)粒度的向量提取和解析，深度揭示威脅行為細(xì)節(jié)，輸出詳實報告，追影在進行判定后，結(jié)合白名單過濾機制，可以輸出多種樣式的威脅情報，實現(xiàn)客戶私有化的情報生產(chǎn)能力，輔助威脅處置和威脅獵殺工作。

處置側(cè)部署拓痕應(yīng)急處置工具，實現(xiàn)主機風(fēng)險檢查、系統(tǒng)內(nèi)核分析、程序行為監(jiān)測分析等多種面向主機系統(tǒng)的安全功能，支撐一鍵完成相關(guān)的檢測、處置、證據(jù)提取等相關(guān)工作，也可以直接對系統(tǒng)及可疑對象進行分析診斷。同時，提供了便攜式流量監(jiān)測工具、便攜式沙箱等設(shè)備選件。系統(tǒng)通過現(xiàn)場處置與遠程協(xié)助兩種工作模式相結(jié)合，具有有效加強巡查監(jiān)測的全面性和深入度，提升取證處置效率、解決疑難雜癥、降維檢查維護人員的技能。

（三）集中管控態(tài)勢，協(xié)同指控聯(lián)動處置

建設(shè)戰(zhàn)術(shù)型態(tài)勢感知平臺，通過融合多源安全數(shù)據(jù)和向量級威脅知識，自動甄別感知、快速高效地實現(xiàn)威脅、脆弱性與異常行為的檢測識別、安全事件的理解分析，預(yù)測威脅影響范圍和下一步攻擊行動，通過配備對抗攻擊行動的裝備系統(tǒng)和處置流程，展開協(xié)同響應(yīng)與處置的積極防御，實現(xiàn)有效抵御快速發(fā)生的網(wǎng)空攻擊行動，及時阻止攻擊者入侵導(dǎo)致的網(wǎng)絡(luò)系統(tǒng)初始“淪陷”，快速采取響應(yīng)措施預(yù)防或阻斷攻擊者的后續(xù)行動等實戰(zhàn)化安全防御。

（四）聚合威脅情報，驅(qū)動快速檢測響應(yīng)

建設(shè)威脅情報聚合分析平臺，匯聚多源的威脅情報，提供針對攻擊者和威脅的確實證據(jù)和詳盡分析。幫助客戶快速掌握攻擊方針對自己的威脅信息，識別網(wǎng)絡(luò)中存在的安全威脅，進而更加快速的進行攻擊事件的檢測與響應(yīng)，提前做好對潛在威脅的防范，以及更高效的進行事后關(guān)聯(lián)分析和追蹤溯源。

（五）實戰(zhàn)安全運行，持續(xù)完善防御能力

建立健全安全運行流程規(guī)范，建立完備、統(tǒng)一的安全運行管理流程，包括資產(chǎn)管理、配置管理、漏洞管理、補丁與升級管理、日志巡檢、安全監(jiān)測、事件響應(yīng)與處置、威脅情報、安全審計等關(guān)鍵環(huán)節(jié)，落實安全運行相關(guān)角色與職責(zé)，并提升信息安全團隊的能力。

四、結(jié)束語

安天動態(tài)綜合網(wǎng)絡(luò)安全防御體系解決方案，提供網(wǎng)絡(luò)安全宏觀管理和全網(wǎng)態(tài)勢分析研判的能力。利用安全數(shù)據(jù)預(yù)處理技術(shù)、大數(shù)據(jù)分析與建模技術(shù)、 數(shù)據(jù)可視化技術(shù)，依托我司威脅情報獲取、分析能力積淀，形成可推動指導(dǎo)安全策略優(yōu)化調(diào)整的宏觀態(tài)勢。動態(tài)綜合網(wǎng)絡(luò)安全防御體系能夠有效地支撐起國家對整個國內(nèi)網(wǎng)絡(luò)安全宏觀管理需求和全網(wǎng)態(tài)勢相關(guān)分析研判的能力需求。