互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警策略

◆徐楊子凡 王竟文 蘭少鵬

（1.云南南天電子信息產(chǎn)業(yè)股份有限公司信息安全測評中心 云南 650041；2.昆明長水國際機(jī)場 云南650200）

隨著網(wǎng)絡(luò)與信息化的不斷發(fā)展，新技術(shù)新應(yīng)用的不斷普及，越來越多的業(yè)務(wù)需要互聯(lián)互通，信息系統(tǒng)逐漸復(fù)雜化，互聯(lián)網(wǎng)應(yīng)用系統(tǒng)是一種典型的系統(tǒng)形態(tài)。安全監(jiān)控預(yù)警[1]是網(wǎng)絡(luò)安全保障工作中的重要環(huán)節(jié)，《中華人民共和國網(wǎng)絡(luò)安全法》對安全監(jiān)控預(yù)警相關(guān)工作提出了明確的要求，是網(wǎng)絡(luò)運(yùn)營者的重要任務(wù)。

由于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)直接對互聯(lián)網(wǎng)提供服務(wù)，面臨較高的安全風(fēng)險，我國現(xiàn)有的網(wǎng)絡(luò)安全技術(shù)標(biāo)準(zhǔn)對監(jiān)控預(yù)警方面的描述過于宏觀，缺乏實(shí)施層面的細(xì)則，網(wǎng)絡(luò)運(yùn)營者亟須一套可行的監(jiān)控預(yù)警策略支撐互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警工作的落地。

1 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全現(xiàn)狀

互聯(lián)網(wǎng)應(yīng)用系統(tǒng)指對互聯(lián)網(wǎng)提供服務(wù)的各類業(yè)務(wù)系統(tǒng)或支撐系統(tǒng)，包括但不限于：門戶網(wǎng)站、交互式信息系統(tǒng)、云計(jì)算平臺等。由于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)直接與互聯(lián)網(wǎng)進(jìn)行連接，是整個企業(yè)網(wǎng)絡(luò)的入口，逐漸成為黑客的主要攻擊目標(biāo)。近幾年來，方程式、匿名者等黑客組織頻繁對我國互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行網(wǎng)絡(luò)攻擊，控制重要系統(tǒng)，竊取敏感數(shù)據(jù)。2018年，CNCERT監(jiān)測發(fā)現(xiàn)境內(nèi)外約1.6萬個IP對我國境內(nèi)約2.4萬個網(wǎng)站植入后門，攻擊團(tuán)伙不斷更換其掌握的大量攻擊資源開展批量化、長期化控制，并且具有典型的黑產(chǎn)利益意圖[2]。由此可見，互聯(lián)網(wǎng)應(yīng)用系統(tǒng)面臨的安全形勢十分嚴(yán)峻。

2 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警工作開展情況

2.1 國內(nèi)外安全監(jiān)控預(yù)警方法論

網(wǎng)絡(luò)安全監(jiān)控預(yù)警通過安全技術(shù)手段監(jiān)控網(wǎng)絡(luò)攻擊及網(wǎng)絡(luò)威脅，針對即將發(fā)生或正在發(fā)生的網(wǎng)絡(luò)安全事件或威脅，提前或及時發(fā)出安全警示，以便安全人員采取措施對安全事態(tài)進(jìn)行快速應(yīng)對，是互聯(lián)網(wǎng)應(yīng)用系統(tǒng)長期運(yùn)行維護(hù)的重要技術(shù)手段。

美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）發(fā)布的《Framework for Improving Critical Infrastructure Cyber security》[3]中提出了：檢測異?；顒?，了解事件的潛在影響；監(jiān)控信息系統(tǒng)和資產(chǎn)，以識別網(wǎng)絡(luò)安全事件。我國2018年11月發(fā)布的《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求（報批稿）》中提出了：應(yīng)能對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析?？梢钥闯雒绹臀覈诒O(jiān)控預(yù)警方面的要求和方法論是相似的。

2.2 我國網(wǎng)絡(luò)運(yùn)營者開展安全監(jiān)控預(yù)警工作面臨的問題

我國關(guān)于網(wǎng)絡(luò)安全監(jiān)控預(yù)警方面的標(biāo)準(zhǔn)尚不健全，網(wǎng)絡(luò)運(yùn)營者缺乏權(quán)威的技術(shù)規(guī)范指導(dǎo)互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警工作。目前大部分網(wǎng)絡(luò)運(yùn)營者采用IPS、WEB應(yīng)用防火墻、殺毒系統(tǒng)等常規(guī)安全系統(tǒng)對網(wǎng)絡(luò)攻擊進(jìn)行監(jiān)控并報警；部分單位建立了網(wǎng)絡(luò)安全態(tài)勢感知平臺[4]，但對態(tài)勢感知平臺過分依賴，對于態(tài)勢感知平臺無法識別的攻擊缺乏有效的解決方案。

當(dāng)前的各類安全監(jiān)控預(yù)警措施存在以下幾個突出的問題：

（1）安全監(jiān)控范圍存在盲區(qū)，目前的安全防護(hù)與監(jiān)控類產(chǎn)品大部分基于特征庫的方式進(jìn)行數(shù)據(jù)過濾，本身存在較多誤報、漏報的可能性。

（2）安全設(shè)備或態(tài)勢感知系統(tǒng)的攻擊日志及告警信息可用性較低，安全運(yùn)維人員常常收到海量告警信息，但無法驗(yàn)證告警信息的有效性，難以提取出真正關(guān)鍵的安全信息。

（3）對于采用豐富資源且手法相對隱蔽的APT攻擊難以有效進(jìn)行識別與定位[5]。

3 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警策略設(shè)計(jì)

根據(jù)當(dāng)前互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全監(jiān)控預(yù)警工作現(xiàn)狀及面臨的問題，應(yīng)將現(xiàn)有的各類安全監(jiān)控預(yù)警手段整合成一套完善的技術(shù)體系，重點(diǎn)解決誤報、漏報、有效信息提取及APT攻擊識別等問題，采用圖1所示的總體安全監(jiān)控預(yù)警策略。

圖1 網(wǎng)絡(luò)安全監(jiān)控預(yù)警總體策略圖

（1）建立網(wǎng)絡(luò)安全態(tài)勢感知平臺，對漏洞利用攻擊、惡意代碼攻擊、異常流量、敏感信息泄露等各類網(wǎng)絡(luò)攻擊信息進(jìn)行監(jiān)測，為安全監(jiān)控預(yù)警工作提供技術(shù)基礎(chǔ)。

（2）通過基線核查、漏洞掃描、滲透測試[6]等方式對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行脆弱性測試，依據(jù)脆弱性測試結(jié)果制定實(shí)時安全監(jiān)控及定期安全審計(jì)[7]策略。

（3）依據(jù)安全監(jiān)控預(yù)警策略開展常態(tài)化的安全監(jiān)控預(yù)警活動，識別互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全運(yùn)行狀態(tài)，并在發(fā)現(xiàn)安全隱患時進(jìn)行應(yīng)急處置。

3.1 建立安全態(tài)勢感知平臺

采用自建、共建等方式建立全方位的網(wǎng)絡(luò)安全態(tài)勢感知平臺對安全事件實(shí)施持續(xù)性監(jiān)測，廣泛運(yùn)用數(shù)據(jù)挖掘、機(jī)器學(xué)習(xí)[8]等技術(shù)對各類安全信息進(jìn)行歸納、分析及預(yù)測。對于系統(tǒng)規(guī)模較小的單位，也可以購買基于SAAS模式的態(tài)勢感知云服務(wù)。

網(wǎng)絡(luò)安全態(tài)勢感知平臺技術(shù)架構(gòu)如圖2所示，可劃分為：數(shù)據(jù)采集層、數(shù)據(jù)處理層、數(shù)據(jù)存儲層、數(shù)據(jù)分析層及態(tài)勢展示層，各層的功能如表1所示。、

圖2 態(tài)勢感知系統(tǒng)技術(shù)架構(gòu)圖

表1 態(tài)勢感知平臺技術(shù)解讀

3.2 實(shí)時安全監(jiān)控預(yù)警策略

互聯(lián)網(wǎng)應(yīng)用系統(tǒng)在任何時間點(diǎn)都可能面臨各類黑客攻擊，只有進(jìn)行實(shí)時安全監(jiān)控才能確保第一時間發(fā)現(xiàn)安全威脅。由于各種安全監(jiān)控源產(chǎn)生的攻擊信息非常繁雜，應(yīng)采用技術(shù)手段將相對可信的信息篩選出來，并配置為實(shí)時告警的內(nèi)容。

以下介紹三種“可信”安全信息：

（1）互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全漏洞所對應(yīng)的攻擊信息。

對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)進(jìn)行脆弱性測試，在充分掌握系統(tǒng)安全漏洞的前提下，結(jié)合安全漏洞被利用后的影響程度、態(tài)勢感知平臺監(jiān)控機(jī)制等因素，在態(tài)勢感知平臺的自動報警策略中規(guī)避一些不存在或影響較小的信息類型，如表2所示，可以有效提升實(shí)時監(jiān)控效率。

表2 安全攻擊信息監(jiān)控策略示例

（2）IT資產(chǎn)關(guān)鍵屬性表異常變化信息

對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)及運(yùn)行網(wǎng)絡(luò)環(huán)境中的相關(guān) IT資產(chǎn)進(jìn)行梳理，并對其關(guān)鍵屬性：資產(chǎn)名稱、IP、操作系統(tǒng)、端口、服務(wù)、組件、與其他資產(chǎn)之間的通信關(guān)系等進(jìn)行精確記錄。使用態(tài)勢感知平臺對IT資產(chǎn)關(guān)鍵信息進(jìn)行監(jiān)控，發(fā)生變化時進(jìn)行告警。

由于在業(yè)務(wù)變更及運(yùn)維所需范圍之外，IT資產(chǎn)關(guān)鍵屬性極少發(fā)生變化，如果出現(xiàn)變化極有可能是黑客攻擊導(dǎo)致，該方式可有效識別較為隱蔽的APT攻擊。

（3）權(quán)威安全情報機(jī)構(gòu)的威脅預(yù)警信息

建立與權(quán)威安全情報機(jī)構(gòu)的信息共享機(jī)制，基于安全情報對重大安全攻擊進(jìn)行安全預(yù)警，提前做好預(yù)防性處置措施，可有效預(yù)防安全事故的發(fā)生。

3.3 定期安全審計(jì)策略

由于考慮到安全信息有效性及監(jiān)控效率的問題，實(shí)時安全監(jiān)控未覆蓋所有可能的攻擊范圍，定期進(jìn)行全盤的安全審計(jì)與分析，主動發(fā)現(xiàn)安全威脅，是實(shí)時安全監(jiān)控預(yù)警工作的有效補(bǔ)充。

安全審計(jì)范圍主要包括以下兩個層面：

（1）安全日志審計(jì)與分析

通過態(tài)勢感知平臺以周度或月度的頻率定期對防火墻、IPS、IDS、異常流量監(jiān)控、WAF、殺毒系統(tǒng)及主機(jī)入侵防護(hù)等安全系統(tǒng)生成的監(jiān)控日志全面進(jìn)行審計(jì)，并對審計(jì)記錄進(jìn)行關(guān)聯(lián)分析，發(fā)現(xiàn)網(wǎng)絡(luò)中可能存在的攻擊痕跡，包括但不限于流量攻擊、WEB漏洞攻擊、數(shù)據(jù)竊密、惡意代碼等，形成安全審計(jì)分析報告。

（2）服務(wù)器深度安全審計(jì)

由于任何安全設(shè)備也不能保證能夠識別所有攻擊類型，根據(jù)安全攻擊原理分析，無論是破壞性、篡改型還是竊密型攻擊，最終攻擊節(jié)點(diǎn)都會落在承載應(yīng)用系統(tǒng)及數(shù)據(jù)的服務(wù)器操作系統(tǒng)層面，攻擊過程和結(jié)果均會造成操作系統(tǒng)中一些關(guān)鍵指標(biāo)的變化。

以月度或季度的頻率定期對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)所涉及的重要服務(wù)器進(jìn)行操作系統(tǒng)本地深度威脅檢測，檢測內(nèi)容包括但不限于：異常端口檢查、異常進(jìn)程檢查、異常線程檢查、異常服務(wù)檢查、異常策略檢查、異常注冊表項(xiàng)檢查、可疑文件等，可通過主機(jī)層面安全軟件結(jié)合人工檢查的方式實(shí)現(xiàn)，并對檢查結(jié)果進(jìn)行匯總分析，形成服務(wù)器深度安全審計(jì)報告。

4 結(jié)束語

本文立足于互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全現(xiàn)狀，結(jié)合國內(nèi)外網(wǎng)絡(luò)安全監(jiān)控預(yù)警方法論，分析了當(dāng)前常規(guī)網(wǎng)絡(luò)安全監(jiān)控預(yù)警方式存在的不足，提出了一套普適性的網(wǎng)絡(luò)安全監(jiān)控預(yù)警策略，改善了常規(guī)監(jiān)控預(yù)警范圍存在盲區(qū)、工作效率低下、難以識別 APT攻擊等問題，對網(wǎng)絡(luò)運(yùn)營者落實(shí)網(wǎng)絡(luò)安全保障任務(wù)有較大的促進(jìn)作用。