網(wǎng)絡安全告警運營平臺在內蒙古廣播電視臺的建設應用

王 猛

內蒙古廣播電視臺 內蒙古 呼和浩特市 010050

引 言

隨著內蒙古廣播電視臺信息化建設的跨越式發(fā)展，信息系統(tǒng)數(shù)量不斷增長，網(wǎng)絡安全防護壓力日益增大。內蒙古廣播電視臺為建立可信網(wǎng)絡空間，應對越來越嚴峻的網(wǎng)絡安全威脅形勢，推動網(wǎng)絡安全防護能力從“被動防御明確攻擊”向“主動發(fā)現(xiàn)安全威脅”轉變，需要利用網(wǎng)絡安全態(tài)勢感知支撐手段建設安全告警運營平臺。針對已經(jīng)部署運行的安全設備的告警信息進行集中分析，結合部署實施的安全設備進行告警關聯(lián)分析落地，能夠切實加強網(wǎng)絡安全分析室監(jiān)測預警的工作能力與快速響應能力，真正可視化展現(xiàn)具備危害性的威脅，預警存在較大威脅和破壞力的風險，處置可能發(fā)生或者已經(jīng)存在的安全事件，加固重點防御對象和薄弱環(huán)節(jié)，提升工作效能，進而實現(xiàn)信息安全內控的“統(tǒng)一監(jiān)控、統(tǒng)一預警、統(tǒng)一調度”，亟需完善網(wǎng)絡安全態(tài)勢實時監(jiān)控工具，提升網(wǎng)絡安全監(jiān)控自動化水平，提高分析研判精準度，加快事件處置速度，實現(xiàn)聯(lián)動、快速響應的主動防御，本文主要從內蒙古廣播電視臺網(wǎng)絡安全告警運營平臺建設過程中需要解決的難點與創(chuàng)新設計等方面進行論述。

1 建設安全告警運營平臺需要解決的問題

現(xiàn)有的網(wǎng)絡安全運維工作中，安全類設備的告警非常多，但運維人員真正要關心和處理的告警沒有明確，運維人員只有進行深入的數(shù)據(jù)分析才能判斷真正的威脅行為，這對運維人員的技能水平要求非常高，往往需要登錄眾多設備進行人工驗證，工作繁復且容易漏掉關鍵信息。在這種情況下，我們亟需從眾多告警數(shù)據(jù)中精準定位網(wǎng)絡威脅，從技術上構建工具系統(tǒng)對告警數(shù)據(jù)進行集中，通過規(guī)則和場景自動化進行分析，從而展示給運維人員有限數(shù)量的明確告警，通過可視化的大屏將威脅告警明確地展示出來，讓技能水平一般的運維人員也可以及時發(fā)現(xiàn)威脅并上報處理。

2 安全告警運營平臺建設內容分析

安全告警運營平臺通過多樣化的安全資產(chǎn)數(shù)據(jù)采集，以可適配數(shù)據(jù)源的方式對各類安全設備、系統(tǒng)數(shù)據(jù)進行采集、清洗、標準化、存儲，具備離線、實時、全文檢索等多種數(shù)據(jù)訂閱及分析等功能，對內蒙古廣播電視臺所有網(wǎng)絡安全行為和軌跡進行持續(xù)監(jiān)控和記錄，并可以追溯到源頭，彌補傳統(tǒng)審計手段的不足。同時，一旦發(fā)生網(wǎng)絡安全事件，可以對事件進行追蹤、溯源、取證，還原事件發(fā)生過程，了解事件嚴重程度和影響范圍，做出正確有力的響應，并采取防御措施。

安全告警運營平臺通過網(wǎng)絡安全告警數(shù)據(jù)采集與集中分析，實現(xiàn)安全監(jiān)測與防御系統(tǒng)的威脅告警數(shù)據(jù)集中，進行威脅風險的深度分析、關聯(lián)分析、精準驗證，以數(shù)據(jù)為支撐提升安全運維能力和系統(tǒng)安全防護效果，同時通過威脅數(shù)據(jù)分析與威脅人工挖掘，形成基于攻擊與防御的運營隊伍，既有專業(yè)骨干人員，又有日常數(shù)據(jù)分析人員，建立內蒙古廣播電視臺網(wǎng)絡安全人才培養(yǎng)與提升機制，真正將安全數(shù)據(jù)、人工智能、人作為安全運維的三要素，提升以數(shù)據(jù)為核心的深入精準威脅挖掘能力、人工智能的自動化規(guī)則與場景分析能力、明晰安全事件的響應處置能力。

3 安全告警運營平臺框架設計

3.1 主要功能

（1）構建安全數(shù)據(jù)中心，實現(xiàn)安全數(shù)據(jù)的集中采集、存儲、檢索。歸集各類安全設備的安全數(shù)據(jù)，不限于FW、IPS、WAF、IDS、抗DDOS、終端安全、服務器安全、天眼等，實現(xiàn)對安全數(shù)據(jù)的清洗、標準化、分析、存儲，提供實時、全文檢索及數(shù)據(jù)接口等多種數(shù)據(jù)查詢和采集方式，形成安全威脅數(shù)據(jù)。

（2）搭建安全分析中心，實現(xiàn)安全威脅的有效監(jiān)測、分析。通過規(guī)則編輯器工具、SparkMLlib工具、ScikitLearn數(shù)據(jù)挖掘和數(shù)據(jù)分析工具對安全事件進行有效監(jiān)控、過濾、歸并和分析，包括普通規(guī)則、關聯(lián)規(guī)則、分組規(guī)則和串行規(guī)則等。同時結合威脅情報，利用大數(shù)據(jù)分析技術對安全數(shù)據(jù)進行統(tǒng)計分析、關聯(lián)分析、機器學習等，實現(xiàn)安全威脅事件的有效監(jiān)測、分析和預警。

（3）具備安全威脅告警及預警過濾、歸并和輸出的能力。告警展示內外部威脅分析后的有效告警，包括網(wǎng)絡威脅告警、系統(tǒng)脆弱性告警、異常流程告警和有害程序告警等。對高、中、低3個級別的告警進行篩選、過濾和歸并，將高危、中危的告警過濾出來關聯(lián)分析。預警展示基于外部威脅情況預警、外部漏洞預警、網(wǎng)絡安全預警、DDos異常流量預警等。以表格滾動的方式進行監(jiān)控和展示，為安全分析人員提供方便。

（4）實現(xiàn)安全告警的可視化展示。使用ECharts、TWaver可視化工具提供網(wǎng)絡安全威脅告警可視化和分析的入口，通過實時安全威脅告警分析以及對態(tài)勢發(fā)展情況的預測評估，全面描述全網(wǎng)的安全情況、影響評估和態(tài)勢演化，通過大屏展示實時安全態(tài)勢指數(shù)、告警監(jiān)控、網(wǎng)絡攻擊態(tài)勢、異常流量態(tài)勢、有害程序態(tài)勢、脆弱性態(tài)勢以及重要業(yè)務系統(tǒng)安全等態(tài)勢信息，可以進行大屏幕展示視圖設置。

（5）加固安全配置，修復漏洞，消除缺陷隱患。針對集中數(shù)據(jù)以及分析結果，明確整體安全狀況，對比階段安全變化，預警可能存在的安全風險，并基于確切的安全事件開展網(wǎng)絡層和主機層的安全加固工作，主要針對配置、策略、訪問控制、漏洞管控、防止違規(guī)等。通過數(shù)據(jù)分析得出安全風險結論，后續(xù)結合網(wǎng)絡和主機的狀況開展加固工作，主要針對網(wǎng)絡設備、服務器（含中間件和數(shù)據(jù)庫）的身份認證、授權、服務、端口。

內蒙古廣播電視臺結合安全告警運營平臺，修訂臺安全配置規(guī)范要求，全面梳理不合規(guī)主機隱患，修復遺留的未整改的漏洞，根據(jù)黑客的攻擊手段調整或優(yōu)化安全設備的配置策略，制定安全配置加固方案與指導書，從而完成當前存在的所有漏洞和不合規(guī)配置修復工作。

（6）構建威脅情報中心，實時提供和更新威脅情報庫。威脅情報中心能夠與國內外主流情報中心進行定期交互，并且具備實時提供并更新威脅情報庫能力。威脅情報中心具有惡意IP、惡意ULR、惡意域名、漏洞庫、惡意文件、惡意郵箱等情報信息采集、管理及更新的能力。

（7）以數(shù)據(jù)分析帶動人才培養(yǎng)。結合網(wǎng)絡安全規(guī)則、場景調研與優(yōu)化，以攻防專家的深入人工驗證、溯源為經(jīng)驗，架構起能夠應對大規(guī)模安全事件的運維隊伍，形成骨干、安全運維、日常監(jiān)控等各個層次的傳幫帶人才培養(yǎng)體系。

3.2 技術指標

安全告警運營平臺以威脅告警數(shù)據(jù)為基礎，以人工智能和場景化分析為依托，利用專業(yè)的安全運維能力，精確定位威脅，快速響應處置，主要技術指標如下：

（1）明確處置事件。集中未知威脅檢測、攻擊溯源及其他安全設備的告警數(shù)據(jù)，通過深入分析、關聯(lián)分析、溯源分析，明確真正的安全事件，判斷事件的危害性和危害程度。

（2）告警事件調查。對威脅事件和可疑事件進行人工調查分析，通過人工調查分析確定威脅以及威脅的嚴重程度和影響范圍，通過建立調查任務實現(xiàn)日志、關聯(lián)事件、告警、漏洞威脅調查。

（3）攻擊鏈分析。對調查任務中的數(shù)據(jù)做統(tǒng)計分析（如攻擊者和受害者情況），能夠從攻擊鏈角度分析威脅事件，攻擊鏈可以從時間維度和攻擊階段維度兩個視角對其進行展示。

（4）聯(lián)動響應。當發(fā)現(xiàn)失陷主機、惡意域名等威脅事件后，可以及時給相關設備發(fā)送聯(lián)動消息，遏制威脅事態(tài)升級。

（5）關聯(lián)分析。包括安全日志、網(wǎng)絡流量日志、服務器日志、中間件日志和其他安全日志等。

（6）威脅情報匹配。與失陷類威脅情報匹配，可以發(fā)現(xiàn)僵尸網(wǎng)絡、勒索軟件、APT事件和遠控木馬等較為嚴重的威脅事件。

（7）加固對象。網(wǎng)絡設備、安全設備（配置和策略）、服務器操作系統(tǒng)、通用中間件、通用數(shù)據(jù)庫。

（8）加固內容。安全補丁、安全配置、日志配置、服務、自身脆弱性等。

（9）威脅情報升級。具備威脅情報庫升級能力，情報類型包含：定向攻擊、僵尸網(wǎng)絡、勒索軟件、黑市工具、遠控木馬、竊密木馬、網(wǎng)絡蠕蟲、流氓推廣、其他事件。

（10）規(guī)則建模。對時間范圍內符合過濾條件的日志出現(xiàn)的次數(shù)進行計數(shù)，實現(xiàn)統(tǒng)計規(guī)則建模。例如，對暴力破解場景下，登錄日志中賬號登錄失敗的次數(shù)進行統(tǒng)計以觸發(fā)告警，對多種日志類型進行序列規(guī)則建模，結合2-5個“日志過濾”計算單元輸出事件發(fā)生的順序進行判斷，發(fā)現(xiàn)復雜場景下的威脅事件。對“永恒之藍”勒索病毒攻擊的一系列先后發(fā)生的事件進行判斷，觸發(fā)威脅告警。

（11）關聯(lián)建模。根據(jù)時間范圍內2個“日志過濾”計算單元進行關聯(lián)建模，發(fā)現(xiàn)可信度更高的威脅告警。例如，當IPS日志和防火墻日志基于相同源IP地址產(chǎn)生一條日志記錄，認為此時應該產(chǎn)生一條威脅告警。

（12）規(guī)則庫。通過高級數(shù)據(jù)分析和威脅分析，構建預置規(guī)則，提升威脅告警數(shù)據(jù)精準分析能力。

（13）威脅、風險、事件的可視化展示。集中歸集的威脅數(shù)據(jù)，并依據(jù)數(shù)據(jù)進行風險判斷，結合外部的風險預警情況進行風險指數(shù)判斷，并將威脅分析、人工智能規(guī)則和場景化結果等進行綜合可視化展示，動態(tài)描述威脅和風險變化，展示告警事件的來源與目標，以及告警事件的擴散變化。展示包括資產(chǎn)風險告警、外部威脅告警、安全運維告警等，并支持統(tǒng)計、類比、排名等數(shù)據(jù)和圖形化展示模式。

（14）數(shù)據(jù)深入分析與攻防技術能力提升。通過智能的數(shù)據(jù)篩選，并結合專業(yè)威脅分析人員的深入分析、關聯(lián)分析、溯源分析，以及廠商的攻防經(jīng)驗和數(shù)據(jù)建模經(jīng)驗，形成專業(yè)的安全威脅分析和處置團隊，提升安全運維能力。

（15）安全管控，形成威脅的快速響應處置機制。以威脅深入分析和安全事件定位為抓手，將安全精準告警、安全事件驗證和判斷、風險快速響應處置作為完整響應管理機制，從而將安全監(jiān)控與預警處置工作打通，從安全管控的角度大幅提升安全運維標準化能力，減小安全運維工作難度，提升運維效果。

（16）智能可視化展示。具備數(shù)據(jù)結果與響應處置的可視化展示能力，能夠基于大屏展示結果，定制化展示內容與方式。

結束語

本次內蒙古廣播電視臺網(wǎng)絡安全告警運營平臺的建設打通了目前所有安全檢測與防護類設備之間的壁壘，將未知威脅檢測、沙箱、溯源、終端安全、服務器安全、防火墻、IDS、IPS、WAF等安全軟硬設備告警數(shù)據(jù)統(tǒng)一歸集，實現(xiàn)集中分析并得出明確的安全分析和威脅告警事件，基于風險和告警進行綜合可視化展示，對數(shù)據(jù)采用可定制的規(guī)則和場景自動化分析，結合深入的數(shù)據(jù)分析、關聯(lián)分析等安全分析模型，明確威脅和風險，將網(wǎng)絡安全保障中出現(xiàn)的入侵、破壞、竊取、擴散等危害行為明確化，形成威脅和風險的直觀可視。

針對安全運維工作中發(fā)現(xiàn)的漏洞、補丁、違規(guī)、脆弱性、入侵、不當配置與策略、病毒傳播、數(shù)據(jù)竊密等開展安全加固工作，進行病毒防護、漏洞修復、攻擊防護、配置優(yōu)化、違規(guī)防護、端口和服務防護等。

內蒙古廣播電視臺通過數(shù)據(jù)的深入分析和場景化建設，培養(yǎng)和建設安全攻防的優(yōu)秀人才隊伍，以實際的安全數(shù)據(jù)和威脅處置作為工作的核心內容，通過安全培訓，實現(xiàn)網(wǎng)絡安全防護能力從“被動防御明確攻擊”向“主動發(fā)現(xiàn)安全威脅”轉變，建成廠商專家、安全骨干、日常運維的多方運維團隊，具備攻防理念和知識儲備，做到安全問題及時發(fā)現(xiàn)，安全事件快速處置，安全檢測及時優(yōu)化，安全工作標準有效。