網(wǎng)絡(luò)安全運(yùn)營管理平臺(tái)關(guān)鍵技術(shù)研究

蔣旭東

（北京許繼電氣有限公司，北京，100085）

1 網(wǎng)絡(luò)安全運(yùn)營問題分析

在監(jiān)測預(yù)警方面，目前網(wǎng)絡(luò)安全監(jiān)測預(yù)警主要采用人工的方式開展監(jiān)測預(yù)警工作，在運(yùn)的安全平臺(tái)數(shù)據(jù)相互獨(dú)立，每個(gè)角色需同時(shí)面向多個(gè)界面，網(wǎng)絡(luò)安全運(yùn)維工作量大；不同類型的安全設(shè)備、系統(tǒng)產(chǎn)生了大量冗余、誤報(bào)的安全數(shù)據(jù)，安全人員難以實(shí)時(shí)處理；安全事件獨(dú)立分散，無法有效的反映真實(shí)的網(wǎng)絡(luò)威脅。

在響應(yīng)處置方面，目前各類安全事件主要依賴于人工進(jìn)行事件響應(yīng)，包含查看數(shù)據(jù)、封禁IP、電話反饋、郵件通報(bào)等，一次完整的應(yīng)急響應(yīng)需在10個(gè)以上的場景間切換?，F(xiàn)有的應(yīng)急響應(yīng)方式已經(jīng)不能滿足網(wǎng)絡(luò)安全對抗日趨頻繁的現(xiàn)實(shí)需求，應(yīng)急響應(yīng)自動(dòng)化的需求已經(jīng)迫在眉睫。

在技術(shù)分析方面，對安全告警的深度技術(shù)分析主要依賴技術(shù)人員的個(gè)人能力與經(jīng)驗(yàn)，且依賴人工的深度分析、溯源反制效率較低，一旦發(fā)生分析重心出錯(cuò)的情況，可能遺漏真正具有價(jià)值的攻擊威脅。

在協(xié)同指揮方面，目前網(wǎng)絡(luò)安全設(shè)備和系統(tǒng)自動(dòng)化程度在不斷提高，但事實(shí)上還存在多個(gè)信息孤島，設(shè)備、系統(tǒng)之間缺乏有效的交互，使得內(nèi)部多個(gè)自動(dòng)化模塊是割裂的、局部的、孤立的，不能構(gòu)成一個(gè)實(shí)時(shí)的有機(jī)統(tǒng)一平臺(tái)，導(dǎo)致信息沒有充分共享，進(jìn)而降低協(xié)同聯(lián)動(dòng)效率，無法實(shí)現(xiàn)統(tǒng)一的指揮決策。

在流程管理方面，目前重點(diǎn)的安全管理流程仍以線下管理為主。常態(tài)化安全工作中排查發(fā)現(xiàn)的系統(tǒng)漏洞需要人工導(dǎo)出清單，完成漏洞預(yù)警單編制后下發(fā)排查整改，以表格形式匯總和跟蹤漏洞整改情況；系統(tǒng)上線測試缺乏統(tǒng)一平臺(tái)管理測試過程文檔和測試情況，復(fù)測驗(yàn)證需要專人跟蹤閉環(huán)，整體工作效率和管控精益度有待提升。

2 網(wǎng)絡(luò)安全管理平臺(tái)的能力需求

通過網(wǎng)絡(luò)安全管理平臺(tái)的建設(shè)將設(shè)備、流程和技術(shù)進(jìn)行有機(jī)的結(jié)合，實(shí)現(xiàn)網(wǎng)絡(luò)安全集中監(jiān)控、預(yù)警、運(yùn)維、管理，滿足網(wǎng)絡(luò)安全平協(xié)同指揮的工作要求，以全局視角統(tǒng)籌協(xié)調(diào)網(wǎng)絡(luò)安全工作。

一是網(wǎng)絡(luò)安全事件管理集中化，通過對各種網(wǎng)絡(luò)設(shè)備和安全組件的集中統(tǒng)一管理，將原本一個(gè)個(gè)分離的信息安全孤島連接成一個(gè)有機(jī)協(xié)作的整體，實(shí)現(xiàn)對企業(yè)安全策略的制定、設(shè)備的統(tǒng)一配置、安全事件的集中管理、安全事故的應(yīng)急響應(yīng)以及安全策略的重構(gòu)，從而有效提高用戶網(wǎng)絡(luò)的可管理性和安全水平。

二是網(wǎng)絡(luò)安全業(yè)務(wù)流程數(shù)字化，以數(shù)字化手段建設(shè)網(wǎng)絡(luò)安全管理體系，滲透到網(wǎng)絡(luò)安全業(yè)務(wù)鏈各個(gè)環(huán)節(jié)和各個(gè)層級(jí)，實(shí)現(xiàn)網(wǎng)絡(luò)安全管理流程線上流轉(zhuǎn)和業(yè)務(wù)線上管理，實(shí)現(xiàn)網(wǎng)絡(luò)安全信息高度集成和實(shí)時(shí)共享。

三是網(wǎng)絡(luò)安全運(yùn)營維護(hù)自動(dòng)化，通過安全設(shè)備、安全系統(tǒng)數(shù)據(jù)的批量采集和關(guān)聯(lián)分析，借助自動(dòng)化事務(wù)調(diào)度、自動(dòng)化安全編排等技術(shù)，實(shí)現(xiàn)安全態(tài)勢自動(dòng)化監(jiān)控、運(yùn)行維護(hù)自動(dòng)化作業(yè)、風(fēng)險(xiǎn)隱患自動(dòng)化預(yù)警以及安全事件自動(dòng)化響應(yīng)。

3 安全運(yùn)營管理平臺(tái)的建設(shè)現(xiàn)狀

國內(nèi)安全廠商在自主研究開發(fā)基礎(chǔ)上不斷對國外廠商的SOC 產(chǎn)品分析和研究，推出了多種網(wǎng)絡(luò)安全管理的概念和產(chǎn)品[1]。安全運(yùn)營管理平臺(tái)建設(shè)利用安全智能、機(jī)器學(xué)習(xí)和深度學(xué)習(xí)等技術(shù)，依托SIEM+大數(shù)據(jù)平臺(tái)，實(shí)現(xiàn)警報(bào)自動(dòng)分級(jí)與資產(chǎn)自動(dòng)排查、威脅高度可視和智能定位、風(fēng)險(xiǎn)深度挖掘、安全態(tài)勢整體感知，打破安全防御孤島，將各個(gè)分散的信息源匯聚后進(jìn)行統(tǒng)一管理，通過關(guān)聯(lián)分析對風(fēng)險(xiǎn)進(jìn)行有效的防控。

在技術(shù)架構(gòu)體系方面，基于最新的安全運(yùn)營架構(gòu)體系構(gòu)建，實(shí)現(xiàn)以SIEM為核心并集成全流量分析模塊、威脅情報(bào)模塊和機(jī)器學(xué)習(xí)模塊的新一代SOC架構(gòu)，提升架構(gòu)的適應(yīng)性與靈活性。

在安全場景分析方面，在傳統(tǒng)基于規(guī)則的設(shè)計(jì)方法之上，引入了用戶行為分析技術(shù)，通過算法引擎深度挖掘用戶的各種異常行為，為識(shí)別高級(jí)持續(xù)威脅攻擊、社會(huì)工程等提供有力支撐。

在提高安全運(yùn)營工作效率方面，借鑒SOAR理念，通過SIEM平臺(tái)并集成腳本技術(shù)，實(shí)現(xiàn)安全分析操作與多個(gè)工具的自動(dòng)編排和高度可視化，以及安全處置操作和流程的自動(dòng)化，提升安全分析人員效率。

在協(xié)同管理方面，形成多級(jí)管理模式，適應(yīng)集團(tuán)型安全管理工作的開展，例如：總部、分支機(jī)構(gòu)的架構(gòu)模式。

在可視化方面，通過大數(shù)據(jù)分析技術(shù)，將日常工作匯總，對安全數(shù)據(jù)進(jìn)行統(tǒng)一的可視化展現(xiàn)，從全局視角監(jiān)測安全態(tài)勢。

4 關(guān)鍵技術(shù)

4.1 平臺(tái)架構(gòu)

網(wǎng)絡(luò)安全運(yùn)營管理平臺(tái)作為網(wǎng)絡(luò)運(yùn)營管理的支撐平臺(tái)，可將整個(gè)安全管理體系納入管理，但其核心還是綜合分析和響應(yīng)處置兩個(gè)功能，其基本架構(gòu)如圖1所示。

圖1 網(wǎng)絡(luò)安全運(yùn)營管理平臺(tái)基本架構(gòu)

平臺(tái)的數(shù)據(jù)采集對象包括網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機(jī)設(shè)備、應(yīng)用/服務(wù)等，通過不同的采集方式進(jìn)行全要素信息采集。分析引擎主要是對大數(shù)據(jù)分析技術(shù)和人工智能技術(shù)的應(yīng)用，對原始數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析和學(xué)習(xí)建模，從網(wǎng)絡(luò)安全威脅、用戶行為、脆弱性三個(gè)方面發(fā)現(xiàn)網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn)。對于發(fā)現(xiàn)告警事件、應(yīng)急響應(yīng)事件，以及活動(dòng)保障期間事件、作業(yè)任務(wù)處置流程進(jìn)行全程閉環(huán)管理。

4.2 數(shù)據(jù)采集

網(wǎng)絡(luò)安全運(yùn)營管理平臺(tái)建立在各種網(wǎng)絡(luò)設(shè)備、安全設(shè)備、服務(wù)器設(shè)備、和應(yīng)用系統(tǒng)所產(chǎn)生的安全數(shù)據(jù)及事件的基礎(chǔ)上。從各種數(shù)據(jù)源高效靈活的采集安全數(shù)據(jù)是進(jìn)行網(wǎng)絡(luò)安全管理的一項(xiàng)重要的基礎(chǔ)工作。安全數(shù)據(jù)根據(jù)涉及的網(wǎng)絡(luò)架構(gòu)、協(xié)議、流量、設(shè)備、人員、管理機(jī)制等因素進(jìn)行分類[2]，網(wǎng)絡(luò)安全數(shù)據(jù)類型見表1。

表1 網(wǎng)絡(luò)安全數(shù)據(jù)類型

安全數(shù)據(jù)的類型、內(nèi)容、格式各不相同，針對每種數(shù)據(jù)需要有針對性的采集方式對其進(jìn)行采集，數(shù)據(jù)采集方式包括主動(dòng)采集、被動(dòng)采集、鏡像模式采集等。

當(dāng)原始數(shù)據(jù)以文件、數(shù)據(jù)庫等形式存儲(chǔ)在數(shù)據(jù)數(shù)據(jù)產(chǎn)生地，通過在數(shù)據(jù)產(chǎn)生地部署采集代理的方式，對指定目錄下的文件進(jìn)行監(jiān)聽、進(jìn)行增量讀取，或通過ODBC/JDBC等通信協(xié)議獲取數(shù)據(jù)庫存儲(chǔ)的原始數(shù)據(jù)。

對于支持主動(dòng)向第三方系統(tǒng)發(fā)送數(shù)據(jù)的數(shù)據(jù)源，采用Syslog、SNMP、Webservice等方式發(fā)送給指定的數(shù)據(jù)接收者。

通過網(wǎng)絡(luò)交換設(shè)備的鏡像端口，接收來自網(wǎng)絡(luò)中傳輸?shù)娜魏尉W(wǎng)絡(luò)訪問流量。

4.3 安全事件綜合分析

網(wǎng)絡(luò)安全事件綜合分析通過分析多個(gè)事件的之間的聯(lián)系，將不同來源的數(shù)據(jù)、知識(shí)關(guān)聯(lián)起來，發(fā)現(xiàn)孤立的事件無法揭示的問題本質(zhì)，發(fā)現(xiàn)攻擊者的真正目的，準(zhǔn)確定位攻擊意圖。一些典型的關(guān)聯(lián)操作如表2所示。事件綜合分析的實(shí)現(xiàn)主要依托分析算法與高效的分析引擎設(shè)計(jì)[3]。

表2 網(wǎng)絡(luò)安全事件關(guān)聯(lián)操作

4.4 事件響應(yīng)

當(dāng)網(wǎng)絡(luò)安全事件分析產(chǎn)生告警事件后，就進(jìn)入到事件的響應(yīng)處置環(huán)節(jié)。需要采取有效措施阻止網(wǎng)絡(luò)安全事件的進(jìn)一步擴(kuò)散，防止網(wǎng)絡(luò)內(nèi)基礎(chǔ)設(shè)施破壞和數(shù)據(jù)篡改、泄露，保障網(wǎng)絡(luò)內(nèi)業(yè)務(wù)系統(tǒng)安全、穩(wěn)定和高效地運(yùn)行。

有效的事件響應(yīng)需要設(shè)計(jì)合理的事件響應(yīng)結(jié)構(gòu)，規(guī)劃好響應(yīng)過程中所需要的資源、計(jì)劃好實(shí)用的技術(shù)、編制規(guī)范的事件響應(yīng)流程、并協(xié)調(diào)好組織中各部門的關(guān)系等[4]。事件響應(yīng)框架如圖2所示。

圖2 網(wǎng)絡(luò)安全事件響應(yīng)框架

事件響應(yīng)流程按照PDCERF響應(yīng)模型可分為準(zhǔn)備（prepare）、檢 測（detect）、抑 制（control）、 根 除（eradicate）、恢復(fù)（recover）和跟蹤（follow）6個(gè)階段。6個(gè)階段是循環(huán)有序的，每個(gè)階段到的工作均是為下一階段做準(zhǔn)備[5]。事件類型的不同，采用的處置流程、涉及的人員和設(shè)備也不相同。

事件的響應(yīng)可以通過人工的方式，也可以根據(jù)預(yù)設(shè)的響應(yīng)流程自動(dòng)執(zhí)行。網(wǎng)絡(luò)安全運(yùn)營中的事件自動(dòng)化響應(yīng)通過事先定義好的流程化框架對系統(tǒng)進(jìn)行監(jiān)控，一旦達(dá)到觸發(fā)條件，可以按照預(yù)先設(shè)置流程，通過多個(gè)設(shè)備或者服務(wù)間的事件協(xié)同，實(shí)現(xiàn)事件的自動(dòng)化處置。

5 總結(jié)與展望

網(wǎng)絡(luò)安全運(yùn)營管理平臺(tái)是在原有安全產(chǎn)品的基礎(chǔ)上構(gòu)建的一體化技術(shù)支撐平臺(tái)，以綜合分析、響應(yīng)處置為核心的網(wǎng)絡(luò)安全防護(hù)能力，在網(wǎng)絡(luò)安全運(yùn)營管理中發(fā)揮關(guān)鍵作用。而隨著安全數(shù)據(jù)、應(yīng)用、場景量的激增，網(wǎng)絡(luò)安全運(yùn)營管理平臺(tái)的技術(shù)能力也需要不斷的提升。對于用戶而言，網(wǎng)絡(luò)安全防護(hù)的目標(biāo)是保障IT資產(chǎn)所承載的業(yè)務(wù)的可用性、連續(xù)性、以及安全性，因此網(wǎng)絡(luò)安全運(yùn)營管理平臺(tái)應(yīng)從以事件核心逐漸向保障業(yè)務(wù)安全為核心轉(zhuǎn)變，通過業(yè)務(wù)建模、分析業(yè)務(wù)風(fēng)險(xiǎn)，構(gòu)建面向業(yè)務(wù)的能力體系。另外，網(wǎng)絡(luò)安全運(yùn)營管理平臺(tái)應(yīng)以更智能的方式處理日益龐大的安全數(shù)據(jù)、以自動(dòng)化的響應(yīng)方式減少人員的工作強(qiáng)度，通過機(jī)器學(xué)習(xí)、人工智能等技術(shù)發(fā)現(xiàn)數(shù)據(jù)背后的原因，通過SOAR技術(shù)進(jìn)行編排和自動(dòng)化響應(yīng)。