第一部分 基础知识
第1章 开启网络安全态势感知的旅程
我们的生活样式就像一幅油画,从近看,看不出所以然来,要欣赏它的美,就非站远一点不可。
——亚瑟·叔本华,德国哲学家
1.1 引言
网络空间实在太宽泛,包罗万象,而且已经发展得异常复杂,远超人类直觉所能感知的范围,每天流经网络上的比特数比全世界所有海滩上的沙子还要多。过去的十年间,我们目睹了计算能力的指数级增长和各种计算设备的爆炸式应用,IT基础设施正在发生深刻变化,虚拟化技术、软件定义网络、移动互联网技术逐渐从概念走向实际应用,云计算的兴起、BYOD
的普及改变了传统的数据中心架构和人们的工作方式,使得传统的网络边界变得模糊甚至消失,这给传统的、以安全边界为核心的防护思想和安全产品带来了巨大的挑战。与此同时,非法利用和破坏信息系统也发展成为有组织的犯罪行为和敌对国家的活动。网络攻击的实施者不再是个人,而是有着明确政治、经济利益目的的“黑产”组织、国家机构等,攻击的手段和工具也日新月异(“零日漏洞”已成为网络空间地下黑市的抢手货)。网络空间威胁已经呈现出集团化、工具化、流程化的趋势,这给传统的以检测为核心的防御手段带来了巨大挑战。
过去,人们更多地依靠安全分析员的经验和安全工具来感知和分析网络的安全状态,然而,安全分析员所拥有的知识量有限,各种安全工具也都有短板。现如今,面对网络空间安全形势所带来的挑战,在强大的计算机和数据分析平台的支持下,我们希望网络安全态势感知能改变这一局面。借助新型网络安全态势感知技术,可更全面地了解当前网络安全状态,预测其发展趋势并做出有效规划和响应,更高效、更科学地检验和支撑人的直觉观点,保护如今日益庞大和复杂的基础设施系统。
网络安全态势感知本质上就是获取并理解大量网络安全数据,判断当前整体安全状态并预测短期未来趋势。总体而言,其可分为三个阶段:态势提取、态势理解和态势预测。其中,态势提取至少包含通过收集相关的信息素材,对当前状态进行识别和确认;态势理解至少包含了解攻击造成的影响、攻击者的行为意图以及当前态势发生的原因和方式;态势预测则包含跟踪态势的演化方式,以及评估当前态势的发展趋势,预测攻击者将来可能采取的行动路径。虽然我们的理想状况是可以在没有人工干预的情况下进行自动化感知和防御,但目前的技术发展还未能达到如此智能化的水平。也许,随着新技术的发展和人工智能的革新,未来有一天真的能够实现这个愿景。但在目前,我们所研究的网络安全态势感知系统仍是硬件设备、计算软件和人类思维决策的共同组成体。
本书试图提供当今网络安全态势感知中重要主题的概览。每一章都将着重阐述网络安全态势感知的某个方面,并讨论网络安全人员进行态势感知所采用的理论、方法和技术。尽管每个主题都可以作为一个方向扩展出丰富的内容,甚至写出一本书,但我们仍然只是对它们进行概述,这样做的目的是想为读者进一步深造提供一个良好的起点,希望本书能够激起读者进一步探究网络安全态势感知领域的兴趣。
本章将带领读者开启通往网络安全态势感知世界的旅程,我们将从网络安全简史谈起,然后引入核心术语和相关模型,从宏观上介绍网络安全态势感知的产生背景和基础知识。同样不能忽视的是各国在网络安全领域进行的认知和实践活动,因此本章还会谈到我国网络安全态势感知相关的政策和发展历程,以及以美国为代表的先进国家在网络安全方面的实践经验,最后给出一些系统建设方面的意见和建议。
1.2 网络安全简史
不了解过去就难以理解未来。在探讨网络安全态势感知这一主题之前,先来看一下网络安全的简缩版发展史。
1.2.1 计算机网络
计算机网络从20世纪60年代发展至今,已经形成从小型的办公局域网络到全球性广域网的规模,对现代人类的生产、经济、生活等方方面面都产生了巨大的影响。1962年,由美国国防部(DOD)资助、国防部高级研究计划局(ARPA)主持研究建立了数据包交换计算机网络ARPANET。ARPANET利用租用的通信线路,将美国加州大学洛杉矶分校、加州大学圣巴巴拉分校、斯坦福大学和犹他大学四个节点的计算机连接起来,构成了专门完成主机间通信任务的通信子网。该网络采用分组交换技术传送信息,这种技术能够保证四所大学间的网络不会因为某条线路被切断,而影响其他线路间的通信。当时的人们根本想不到,20年后计算机网络在现代信息社会中会扮演如此重要的角色。ARPANET已从最初四个节点发展成为横跨全世界一百多个国家和地区,挂接数万个网络、数千万台计算机、数亿用户的互联网(Internet)。由ARPANET发展而来的Internet,是目前全世界最大的国际型计算机互联网络,目前仍在快速发展中。
1.2.2 恶意代码
网络的发展给人们带来了诸多便利和好处,然而也带来了恶意行为的肆虐,这就是下面要讲的恶意代码。北京邮电大学的杨义先教授说:“如果说普通代码是佛,那么恶意代码就是魔。佛与魔除了分别代表正义与邪恶之外,其他本领其实都不相上下。”从恶意代码的作恶能力来看,只有你想不到的,没有它做不到的。
对于2010年席卷全球工业界的“震网”病毒事件,相信读者多少有所耳闻。这是一款专门定向攻击真实世界中基础(能源)设施的“蠕虫”病毒,该病毒具有超强的破坏性和自我复制能力,已感染全球超过45000个网络,曾造成伊朗核电站1/5的离心机报废、约3万终端被感染、监控录像被篡改、放射性物质被泄漏,危害不亚于切尔诺贝利核电站事故。这款病毒以其强大的破坏性,使得伊朗被迫关闭核电站,让美国不废一兵一卒就将其工业控制系统摧毁。该恶意代码能够成功的关键是它同时调用了几个所谓的“零日漏洞”,即新发现的还未被人恶意利用过的软件缺陷,这几个漏洞分别是RPC远程执行漏洞、快捷方式文件解析漏洞、打印机后台程序服务漏洞、内核模式驱动程序漏洞和任务计划程序漏洞。然而,更加可怕的是,“震网”病毒的历史使命并未结束,它还能够进入多种工业控制软件并夺取一系列核心生产设备的控制权,攻击电力、运输、石油、化工、汽车等重要工业和民用基础设施。这还只是影响力较大的病毒之一,事实上,全球每天都在上演着各式各样的恶意代码进行破坏的“戏码”。
为什么恶意代码有如此大的破坏力呢?因为计算机由硬件和软件两部分组成,前者决定了它的“体力”,后者决定了它的“智力”。软件不过就是指令和数据的集合,表现形式是代码。人类把做“好事”的代码称为善意代码,把做“坏事”的代码称为恶意代码,但从计算机角度看,它们都是代码,没有任何区别。在信息时代到处都有计算机的身影,它可以大至一间屋子(如超算中心),小到一个微型器件(如嵌入式芯片),并与人们的生活密切相关。凡是计算机能做的事情,即(善意)代码可做的“善事”,也都可以由恶意代码转换成“恶事”,从而影响人们的工作生活,这就是恶意代码“邪恶无边”的原因。而且从制造难度上看,恶意代码比善意代码更容易编写,因为普遍的规律是“败事容易成事难”。恶意代码以其制造的容易性、破坏的强大性,已经形成了一个个“黑色部落”,演化出了一个庞大的“家族”。这个“家族”里比较典型的有四种:病毒、僵尸网络、木马、蠕虫(简称为“毒僵木蠕”)。此外,还有后门、下载器、间谍软件、内核套件、勒索软件等其他类型。
1. 病毒
病毒(这里指计算机病毒),从其名字就可以感受到它的威力,就像生物病毒一样,感染者非病即死。世界上第一款病毒雏形出现在20世纪60年代初的美国贝尔实验室里,三个年轻的程序员编写了一个名为“磁芯大战”的游戏,游戏中可通过复制自身来摆脱对方的控制。20世纪70年代,美国作家雷恩在其出版的《P1的青春》一书中构思了一种能够自我复制的计算机程序,并第一次称之为计算机病毒。1983年11月,在国际计算机安全学术研讨会上美国计算机专家首次将病毒程序在vax/750计算机上进行了实验,世界上第一个计算机病毒就这样出现了。但真正意义上在世界上流行的第一个病毒出现在20世纪80年代后期,在巴基斯坦,两个以编程为生的兄弟为了打击那些盗版软件的使用者,设计出了一款名为“巴基斯坦智囊”的病毒,该病毒在全世界广为传播。虽然其形状不像生物病毒,但在行为特征方面,计算机病毒比生物病毒有过之而无不及,都具有感染性、传播性、隐蔽性、可激发性等破坏性,而且还能自我繁殖、互相传染和激活再生。按照感染策略,病毒可分为非常驻型病毒和常驻型病毒。顾名思义,前者短暂停留,一旦摸清被攻击者的情况就快速展开感染、复制、繁殖;后者则长期隐藏在受害者体内,一旦时机成熟就会像癌细胞一样不断分裂,复制自身,消耗系统资源,不断作恶。当然,与生物分类的多样性类似,病毒还有其他许多分类方法,在此不一一列举,你只需要知道它的基本行为特征和破坏力就够了。
2. 僵尸网络
僵尸网络,听上去也是一个让人犯怵的名字。攻击者通过各种途径传播僵尸程序(虽然本质上是病毒,但它只是充当了一个攻击平台的角色)以感染互联网上的大量主机,而被感染的主机通过一个控制信道接收攻击者的指令,组成一个受控的“僵尸网络”,众多计算机就在不知不觉中成为被人利用的一种工具。“僵尸网络”是一种由引擎驱动的恶意因特网行为,常与之一起出现的词还有DDo S(Distributed Denial of Service,分布式拒绝服务攻击),后者是利用服务请求来耗尽被攻击网络的系统资源,从而使被攻击网络无法处理合法用户的请求。DDo S形式多样,但最常见的是流量溢出,它可以消耗大量带宽,却不消耗应用程序资源。正是“僵尸网络”的兴起,使得DDo S迅速壮大和普及,因为“僵尸网络”为DDo S提供了所需的“火力”带宽和计算机以及管理攻击所需的基础架构。发现“僵尸网络”是非常困难的,因为黑客通常远程、隐蔽地控制分散在网络上的“僵尸主机”,这些主机的用户往往并不知情。因此,“僵尸网络”是目前互联网上黑客最青睐的作案工具之一。而对于上网用户来说,感染“僵尸病毒”则十分容易,因为网络上各种有趣的小游戏、小广告都在吸引着网友。
3. 木马
木马也称木马病毒,名字来源于古希腊传说(《荷马史诗》中“木马计”的故事),但它与一般的病毒不同,它不会自我繁殖,也不会刻意感染其他文件,而是通过将自身伪装起来以吸引用户下载执行。正如它的全名“特洛伊木马”,意思是“害人的礼物”,比喻在敌方阵营里埋下伏兵,等待命令开始行动。攻击者通过特定的木马程序控制另一台计算机,等到合适的时机,攻击者在控制端发出命令,于是隐藏的木马程序就开始进行破坏性行动了,比如窃取文件、修改注册表和计算机配置、复制、移动、删除等。从行为模式上看,木马程序与普通的远程控制软件相似,但后者进行维护、升级或遥控等正当行动,而木马程序则从事着非法活动,且因有着很好的隐蔽性而不容易被发现。也正因为木马程序的隐蔽性,普通杀毒软件难以发现它的行踪,而且它一旦启动就很难被阻止。它会将自己加载到核心软件中,当系统启用时就自动运行。木马的种类也是异常繁多,挂载在不同应用上就表现出不同的功能,不一而足。
4. 蠕虫
蠕虫也是一种病毒,其利用网络进行复制和传播。最初的蠕虫病毒定义源于在DOS环境下,该病毒发作时会在屏幕上出现一条类似虫子的东西,胡乱吞吃屏幕上的字母并将其改形。蠕虫病毒是自包含的程序,它能将自身功能的拷贝或自身的某些部分传播到其他计算机系统中。与普通病毒不同的是,蠕虫不需要将其自身附着在宿主程序上就能干坏事。蠕虫主要包括主机蠕虫和网络蠕虫,前者完全包含在其运行的主机中,并且通过网络将自身拷贝到其他计算机终端。一旦完成拷贝动作就会自毁,而让其“克隆物”继续作恶,因此在任何时刻都只有一个“蠕虫拷贝”在运行。蠕虫会“游荡”在互联网中,尝试一个又一个漏洞,直到找到合适的漏洞进而损害计算机,假如成功的话,它会将自己写入计算机,然后开始再次复制。比如近几年来危害很大的“尼姆亚”病毒就是蠕虫病毒的一种,感染该病毒的邮件即使在不手工打开附件的情况下,也会激活病毒。著名的“红色代码”也是蠕虫病毒,其利用微软IIS服务器软件的远程缓存区溢出漏洞来传播。SQL蠕虫王病毒则是利用微软数据库的一个漏洞进行大肆攻击。与传统病毒不同的是,许多新的蠕虫病毒是利用当前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从而逃避反病毒软件的搜索。
1.2.3 漏洞利用
漏洞利用是采用一组恶意软件的集合进行攻击的技术,这些恶意程序中包含数据或可执行代码,能够在本地或远程计算机上运行。它旨在攻击含有漏洞的特定版本软件,一旦用户使用该版本软件打开恶意目标或网站,都会遭受漏洞利用。大多数时候,网络攻击者实施漏洞利用的第一步就是允许权限提升,一旦通过特定漏洞获得访问权,即会从攻击者的服务器载入其他恶意软件,从而执行各种恶意行为,如盗取个人数据,或者将被攻击主机作为“僵尸网络”的一部分以发送垃圾邮件或实施DDo S攻击等。
浏览器、Flash、Java和Microsoft办公软件都属于最容易遭受攻击的软件类型,因为这些软件使用相当普及,无论是安全专家还是网络黑客都喜欢对它们进行研究,因此这些软件的开发者不得不定期发布补丁以修复漏洞。如果每次都能及时打上补丁那是再好不过了,但实际上却常常无法如愿,这就给漏洞利用提供了机会。除了利用已知漏洞,还有很多目前未知的漏洞,即所谓的“零日漏洞”,网络攻击者一旦发现后也会大肆利用,而软件供应商则在漏洞被利用后才能了解问题所在并着手解决。即使对于小心谨慎且勤于打补丁的用户而言,漏洞利用同样会构成威胁。这是因为网络犯罪分子很好地利用了发现漏洞和发布修复补丁之间的时间差,在这段“真空时间”内,漏洞利用几乎可以为所欲为,对几乎所有互联网用户的安全构成威胁。
漏洞利用常常采用集群方式,因此其首先需要对被攻击系统进行检测以确定漏洞类型,一旦确定漏洞类型就可以使用相对应的漏洞利用工具。漏洞利用工具还会广泛使用代码混淆以防止被检测出来,同时还对URL进行加密,来防范安全人员将其彻底根除。比较有名的漏洞利用工具有:①Angler,最复杂的漏洞利用工具之一,也是速度最快的漏洞利用工具之一,该工具在开始检测反病毒软件和虚拟机后就会彻底改变整个“战局”,并同时部署加密的木马文件,Angler还能并入最新发布的零日漏洞,同时其恶意软件无需对受害人硬盘进行读写,而是从内存中直接运行;②Neutrino,一款俄罗斯黑客编写的漏洞利用工具,内含大量Java漏洞利用;③Nuclear Pack,通过Java和Adobe PDF的漏洞利用以及dropping Caphaw实施攻击;④Blackhole Kit,2012年最广为流行的网页威胁,将存在于类似Firefox、Chrome、Internet Explorer和Safari浏览器的旧版本内的漏洞作为攻击目标,同时攻击范围还包括像Adobe Flash、Adobe Acrobat和Java这样的流行插件,一旦受害者被诱骗或重新定向至某个登录页面,该工具就会根据被攻击主机上的漏洞类型,采用漏洞利用技术载入各种有针对性的恶意程序。
1.2.4 高级持续性威胁
高级持续性威胁(Advanced Persistent Threat,APT)无疑是近几年来最常见的网络安全词汇之一。APT如今已被看成一个以商业和政治为目的的网络犯罪类别,它不仅需要长期的经营和策划,并且具备高度的隐蔽性,不追求短期收益,更关注长期步步为营的系统入侵。如同它的名字,APT攻击相对于其他普通攻击形式更为高级、更为先进、更为持久。其高级性体现于在发动攻击之前要对攻击对象的业务流程和目标系统进行精确的收集,在信息收集过程中,它会主动挖掘被攻击对象受信系统和应用程序的漏洞,利用这些漏洞组建攻击者所需的网络。其持久性则体现在整个收集信息、挖掘漏洞并利用漏洞攻击的过程可能非常漫长,少则几个月,多则几年,这些发动APT攻击的黑客往往不是为了在短时间内获利,而是把被控主机当成跳板,持续搜索,直到彻底掌握所针对的人、事、物,所以这种攻击模式类似一种“恶意网络间谍”的行为。一旦某政府部门或企业组织被APT攻击者盯上,被入侵只是时间早晚的问题,因为APT攻击者会采用如社会工程学、各种网络攻击技术、漏洞挖掘技术、恶意代码技术等来进行持久渗透,直到成功。APT攻击是当前网络安全界的热点也是难点问题,如果你想了解更多内容,则可以查阅相关报道、书籍和文献资料。
1.2.5 网络安全设施
有网络攻击就一定有网络防御。曾经有一款蠕虫病毒的出现改变了互联网界对安全的认识,那就是1988年11月Morris蠕虫病毒的发布,其引起了羽翼未满的互联网对安全性的广泛关注,该病毒还推进了第一种网络安全设施——防火墙的发展。下面就来介绍几种重要的网络安全设施。
1. 防火墙
自存在网络互联以来,防火墙就是保护网络安全所使用的最流行和最重要的工具之一。防火墙是一种采用隔离技术的网络安全系统(可以是硬件形式也可是软件形式),常常部署在内部网与外部网、专用网与公共网之间,以保护内部网络免受非法用户的侵入。防火墙的核心工作原理就是包过滤机制,通过在两个网络通信时执行一种访问控制策略,允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中黑客的访问。
在20世纪80年代,最早的防火墙几乎与路由器同时出现,第一代防火墙主要基于包过滤技术,是依附于路由器的包过滤功能实现的,随着网络安全重要性和对性能要求的提升,防火墙才逐渐发展成为一个具有独立结构和专门功能的设备。到了1989年,贝尔实验室推出了第二代防火墙,即电路层防火墙。到20世纪90年代初开始推出第三代防火墙,即应用层防火墙(又称代理防火墙)。1992年,USC(南加州大学)信息科学院的Bob Braden开发出了基于动态包过滤的技术,后来演变为目前所说的状态监视技术,1994年市面上出现了第四代防火墙,即以色列的Check Point公司推出的基于该技术的商业化产品,它是具有安全操作系统的防火墙。到了1998年,NAI公司推出了自适应代理技术并在其产品中实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。虽然经历了升级换代,但防火墙的基本功能仍是根据包的起点和终点来判断是否允许其通过,而这种方式并不能筛选出所有具有风险的包,因为防火墙只关心包的起点和终点,对于包中含有的恶意内容,防火墙无法发现。这也是防火墙的局限所在。
2. 入侵检测系统
入侵检测系统(Intrusion Detection System,IDS)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全系统,对各种事件进行分析并从中发现违反安全策略的行为是其核心功能。与其他网络安全设施的不同之处在于,IDS是一种积极主动的安全防护技术。IDS最早出现在1980年4月,20世纪80年代中期IDS逐渐发展成为入侵检测专家系统。1990年,根据信息来源的不同,IDS分化为基于网络的IDS和基于主机的IDS,后来又出现了分布式IDS。
根据检测方法和安全策略的差异,IDS分为异常入侵检测和误用入侵检测,前者通过建立正常行为模型来阻挡不符合该模型的行为入侵;后者则是建立不可接受的行为模型,凡是符合该模型的即被断定为入侵。这两种策略各有长短,前者漏报率低、误报率高,后者则误报率低、漏报率高。从技术手段上,IDS可分成基于标志和基于异常情况的入侵检测,前者通过选取并定义违背安全策略的事件的特征来判别攻击,重在维护一个特征知识库;后者思路同异常入侵检测,先定义一组正常情况数值以比对是否符合正常,进而阻挡恶意攻击。
不同于防火墙,IDS是一个监听设备,不需要跨接在任何链路上,无需网络流量流经即可工作。IDS一般部署在所有关注流量必须流经的链路上,也就是来自高危网络区域的访问流量和需要进行统计、监视的网络报文所经过的链路。在现实中,IDS在网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置,如服务器区域的交换机上。与防火墙一样,入侵检测系统也有它的局限性:由于当代网络发展迅速,网络传输速率大大提升,IDS工作负担越来越重,对攻击活动检测的可靠性较低,且由于模式识别技术的不完善,IDS的虚警率高也是一大问题。
3. 反病毒软件
在1.2.2节中我们谈到了几种典型的恶意代码,为了检测并采取行动来解除或删除一切已知的病毒、木马等恶意代码,人们制造了反病毒软件。反病毒软件通常集成监控识别、病毒扫描和清除、自动升级等功能,有的还具有数据恢复的功能,是计算机防御系统的重要组成部分。1987年,在第一个PC病毒出现之后的几个月内,就已经有公司成立和销售反病毒软件,并导致了一场竞赛。早期的反病毒软件有两种基本形态,一是扫描器,二是校验和检查器。扫描器是一种用于对可执行文件进行搜索的程序,目的是寻找已被识别的病毒中已知的字符串。病毒编写者采用了多种方法来防止病毒被扫描出来,比如利用多态化技术或对代码进行加密,这使得扫描器时常难以识别病毒。校验和检查器是将系统中所有授权的可执行程序及其原始版本的校验和信息保存至一个列表中,通常校验和是采用散列函数计算得出的,对这些校验和进行检查以识别恶意程序。随着网络攻击的商业化,恶意代码的编写者有越来越好的工具并接受过越来越专业的培训,很多新的恶意代码在初次使用时都不会被当前的反病毒软件识别出来,因为编写者对其进行了完全测试。从效果上看,在21世纪的头几年反病毒软件可以检测几乎所有病毒,而到了2007年,典型的反病毒软件只能检测三分之一的病毒与其他攻击工具。尽管反病毒软件也在不断地提升杀毒能力,但在智能识别未知病毒和降低系统资源占用方面,反病毒软件仍有待进一步改进。
4. 统一威胁管理平台
众多的网络安全防御设施使得大型组织有时难以抉择,于是出现了一种集多种安全功能于一体和防范多种威胁的产品,即统一威胁管理平台(简称UTM平台)。UTM平台在具备单一管理面板的单一设施上组合了多种不同的安全功能,如防火墙、IDS、邮件过滤、代理和VPN(虚拟专用网)、DLP(数据丢失防护)等,虽然每种安全功能不如单一安全设备强大,但胜在功能齐全,界面单一。UTM平台的优势显而易见,即减少了安全设备的种类,可以统一部署,简化了管理和修补流程,且费用相对购买多台设备要低得多。2012年,据Gartner公司报告称,UTM平台的市场规模超过10亿美元,在诸多网络安全公司处于困境时,UTM市场能达到两位数的增长率还是能说明一些问题的。早期采用UTM技术的大多是小型公司,后来随着其性能提升,越来越多的大型组织开始采用UTM技术来保护自身网络安全。然而,UTM平台功能的多样性和供货商的单一也恰恰是其缺陷所在:每种功能可能都不强大,单一供货商更多依赖一家供货商提供安全解决方案来满足所有安全性要求,而这唯一的一家供货商不一定在所有方面都能做到领先,容易导致对威胁的识别能力不如采用混合供应商的组织。
1.3 网络安全态势感知
1.3.1 为什么需要态势感知
如果盘点2017年网络安全领域的热点词汇,“态势感知”必定算一个。因为全球的网络安全形势非常严峻,单就中国而言,截止2016年底,仅360公司累计监测到的针对中国境内目标发动攻击的APT组织至少有36个,最近仍处于活跃状态的APT组织至少有13个,这些组织的攻击目标涵盖政府机关、高校、科研机构以及国家关键基础设施所涉及的诸多行业和企业。当今网络攻击已经不再局限于传统的僵尸网络、木马和病毒,而是使用零日威胁、变形多态等高级逃避技术、多步骤攻击、APT攻击等新型攻击手段。2017年爆发的Wanna Cry勒索蠕虫,更让我们看到了“网络武器”民用化之后可能造成的巨大灾害。
面对新的网络安全形势,传统安全体系遭遇了瓶颈,需要进一步提升安全运营水平,同时积极地开展主动防御能力建设。从现实中的网络安全建设来看,多年来我们一直偏重于架构安全,如漏洞管理、系统加固、安全域划分等,虽然取得了一定的成果,也研发出了大量产品,但这些大多是被动防御能力的建设,而且也遇到了发展瓶颈。大部分组织部署了各类流量监测系统、IDS、防火墙、终端监控系统、UTM等网络监控和防护设备,这些设备在运行过程中虽然也产生了大量含有有用信息的数据,如包数据、会话数据、日志、告警等,并在一定程度上反映了网络安全状态。但由于彼此间缺乏有效协作,无法进行组合式深度分析,也缺少多角度全景呈现,因此难以实现对网络整体安全态势的全面、准确、细粒度的展现。
人们逐渐接受了“没有攻不破的网络和系统”以及“世界上只有两种组织,一种是已经被攻陷的,一种是还不知道已经被攻陷的”这个现实。同时也意识到,传统的通过简单地购买更多安全设备的被动防护战略已经不能使安全能力有更多提升,且难以适应当前的网络安全形势,需要在进一步提升安全运营水平的同时积极地开展主动防御能力的建设,采用更加积极的对抗措施来应对各种变化。于是,在之前建立了一定自动化防护能力的基础上,人们开始增加对基于非特征检测技术的能力的投入,以及以持续监测和事件响应分析能力为核心的自适应安全架构建设;并通过对事件的深度分析,建立预测预警,有针对性地改善安全体系,最终达到有效检测、防御新型攻击威胁的目的。
也正是因为这些现实的问题,习总书记才会明确指出“建设全天候全方位感知网络安全态势”。这个要求恰恰对态势感知的建设目标做出了准确描述:“全天候”是时间维度,贯穿过去、现在和未来;“全方位”是内容维度,要求检测分析的对象覆盖面广(至少包括网络流量、终端行为、内容载荷三个方面)、有深度。通过对多源异构网络安全数据和事件的获取、理解、分析和评判,客观反映网络中发生的攻防行为,从时间和空间两个维度,从OSI 1~7层整体角度从更高的层次直观、动态、全面、准确、细粒度地感知各类网络攻击行为,进而提升主动防御能力,这正是态势感知的意义所在。
1.3.2 态势感知的定义
现代意义上的态势感知(Situation Awareness,SA)研究也来自于战争的需要,其在二战后美国空军对提升飞行员空战能力的人因(Human Factor)工程学研究过程中被提出来,是为提升空战能力、分析空战环境信息、快速判断当前及未来形势,以做出正确反应而进行的研究探索,至今仍然是军事科学领域的重要研究课题。后来态势感知渐渐被信息技术领域所采用,属于人工智能范畴。
对“态势感知”一词的定义和解释众多,这里我们重点介绍几个典型的定义。
2004年9月出版的《美军野战手册》将态势感知定义为:“对当前态势的认识和理解,能帮助作战空间中友好的、竞争的和其他性质的行动进行及时、相关和准确的评价,其目的是帮助进行决策。态势感知是对信息的洞察能力和技巧,以快速确定发展中的众多事件的背景及事件相关性。”
Endsley博士对态势感知的定义是:“态势感知即认知大量的时间和空间中的环境要素,理解它们的意义,并预测它们在不久的将来的状态,以实现决策优势。”Endsley博士认为态势感知大体上有三个层面,即“认知、理解和预测”,这三个层面又与广为人知的OODA(观察、判断、决策和行动)环有着紧密的关联。
而Alberts博士对态势感知的描述是这样的:“态势感知描述的是对特定时间点、整个战斗空间或其中一部分的状态的感知。在某些情况下,已发生事件的发展轨迹信息和对当前态势的发展预测是关注的重点。态势由任务和任务约束条件、相关力量的能力和意图、关键的环境特性等部分构成。”其中,他认为感知存在于认知领域,感知是先前知识(和观点)与当前对现实的认知之间复杂的相互作用的结果。如对某个战场态势,人人都有不同的感知。他还认为,理解是指具有充足的知识,能判断出态势可能引发的后果;以及对态势具有充分的感知能力,能预测未来的事件发展模式。因此,态势感知关注的是对过去和现在态势的认识。
Endsley和Alberts对态势感知定义的区别在于,Endsley将预测作为感知的一部分,而Alberts则将感知与理解(预测)区分开。这也是目前对态势感知定义认识的一个主要分歧,部分人认为预测就是态势感知的一部分,而另一部分人则认为预测与态势感知是两件事。本书比较认可前一种看法,因为仅仅判断当前状态是不足以支撑决策的,只有对短期未来进行某种程度的预见和评估(无论准确率有多高,都要努力预测),才能更好地为决策提供支持。时间是贯穿态势感知的基线,用过去的经验和知识来分析和理解当前形势并预测可能的前景,为决策者提供行动支持,由行动结果进而对环境产生影响,更新态势,再重新进行感知,进一步决策和行动,这形成了一个循环上升的过程。
总之,态势感知的核心部分可以理解为一个渐进明晰的过程,借鉴人工智能领域的黑板系统(Blackboard System),通过态势要素提取,获得必要的数据,然后通过数据分析进行态势理解,进而实现对未来短期时间内的态势预测,实现一个动态、准实时系统。因此,态势感知是指对一定时间和空间内环境因素的提取、理解和对未来短期的预测。
1.3.3 网络安全态势感知的定义
随着网络空间的迅猛发展,对网络空间所产生的海量非结构化数据、结构化数据和敏捷数据所蕴藏的深层信息进行态势觉察、态势理解和态势预测显得尤为必要,网络空间态势感知由此应运而生。所谓网络空间态势,是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。虽然根据不同的应用领域,网络空间态势可分为安全态势、拓扑态势和传输态势等,但目前关于网络空间态势的研究大多是围绕网络的安全态势展开的。
在20世纪90年代末,态势感知才被引入信息技术安全领域,并首先用于对下一代入侵检测系统的研究,出现了网络安全态势感知的概念。“网络安全态势感知”是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示,以及预测最近的发展趋势。在“网络安全态势感知”中,“态”指的是从全局角度看到的现状,包括组织自身的威胁状态和整体的安全环境,需要基于检测尽可能地发现攻击事件或攻击线索,同时需要对涉及的报警等信息做进一步的分析,弄清是否为真实的攻击,以及攻击的类型和性质、可能的影响范围和危害、缓解或清除的方法等,从而确定是否可以进入处置流程;“势”则指的是未来的状态,需要对现阶段所面临的攻击事件有深入的了解,弄清是已知威胁还是未知威胁,以及攻击者的行动意图、攻击者的技战术水平及特点等,从而预测组织未来的安全状态。
不同于实体态势感知系统(主要依赖于特定的硬件传感器和信号处理技术),网络安全态势感知系统更依赖于防火墙、入侵检测系统、反病毒系统、日志文件系统、恶意软件检测程序等网络安全设施,这些安全传感器会生成比原始数据包更为抽象的事件数据,而且网络安全态势感知系统的演变速度比实体态势感知快若干个数量级。值得注意的是,网络安全态势可以在多个抽象层次获得,低层次和高层次都能获取原始数据,并通过一定的处理手段将这些数据转换成更为抽象的信息。获取较低抽象层次的网络安全态势的方法目前主要包括入侵检测与告警关联、使用攻击图进行漏洞分析、因果关系分析、取证分析(入侵的反向追踪)、信息流分析、攻击趋势分析和入侵响应等。获取较高抽象层次的网络安全态势则更多依靠人工分析,费时、费力且容易出错。尽管大数据、人工智能和机器学习的出现和快速发展对态势感知获取高抽象层次信息起到一定的推动作用,但目前网络安全态势感知的自动化程度仍较低。
总的来说,网络安全态势感知应该是一种基于环境的动态、整体地洞悉安全风险的能力,是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为决策和行动服务,是安全能力的落地。
1.3.4 网络安全态势感知参考模型
1. Endsley的概念模型
1988年,Endsley博士首次明确提出态势感知的定义,即态势感知是指“在一定的时空范围内认知、理解环境因素,并且对未来的发展趋势进行预测”,该定义的概念模型如图1.1所示。该模型更多地应用于传统的态势感知在航空领域对人为因素的考虑,后来才逐渐引入网络安全领域。
图1.1 态势感知的概念模型
Endsley的模型从人的认知角度出发,由核心态势感知和影响态势感知的要素两部分组成。核心态势感知部分包括态势要素提取、对当前态势的理解、对未来态势的预测、决策以及行动措施等。影响态势感知的要素分为系统要素和个体要素,实现态势感知需要依靠各影响要素提供的服务。Endsley的概念模型是一个被广泛接受的通用理论模型,其对于网络安全态势感知的总体框架如图1.2所示。
图1.2 网络安全态势感知总体框架
2. JDL的数据融合模型
态势感知涉及数据融合(Data Fusion)。数据融合是指将来自多个信息源的数据收集起来,进行关联、组合,提升数据的有效性和精确度。可以看出,数据融合的研究与态势感知在很多方面都是相似的。目前,网络安全态势感知的参考模型多是基于美国的军事机构JDL(Joint Directors of Laboratories)给出的数据融合模型衍生出来的。图1.3展示了一个典型的安全态势感知模型。
图1.3 一个典型的安全态势感知模型
在这个基于人机交互的模型中,态势感知的实现被分为5个级别(阶段),首先是对IT资源进行要素信息采集,然后经过不同级别的处理及其不断反馈,最终通过态势可视化实现人机交互与网络安全态势显示。其中5个处理级别分别是:
●Level 0——数据预处理:海量非结构化数据、结构化数据和敏捷数据可选的预处理级别,通过态势要素获取,获得必要的数据;对于部分不够规整的数据进行海量数据预处理,如用户分布式处理、杂质过滤、数据清洗等。
●Level 1——事件提取:是指在大规模网络环境中,要素信息采集后的事件标准化、事件标准修订、形成事件,以及事件基本特征的扩展。
●Level 2——态势评估:将多个信息源的数据收集起来,进行关联、组合、数据融合、关键数据的解析;分析出的态势评估的结果是形成态势分析报告和网络综合态势图,为网络管理员提供辅助决策信息。
●Level 3——影响评估:它将当前态势映射到未来,对参与者设想或预测行为、变化趋势的影响进行评估,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测最近的发展趋势,并对态势变化的影响进行评估。
●Level 4——资源管理、过程控制与优化:通过建立一定的优化指标,对整个融合过程进行实时监控与评价,实现相关资源的最优分配。
3. Bass的功能模型
1999年,Bass等指出“下一代网络入侵检测系统应该融合从大量的异构分布式网络传感器采集的数据,实现网络空间的态势感知”,并且参考基于数据融合的JDL模型,提出了基于多传感器数据融合的网络态势感知的功能模型,如图1.4所示。
图1.4 网络态势感知的功能模型
4. 总结
Endsley、JDL以及Bass为网络安全态势感知的研究奠定了基础。基于Endsley态势感知的概念模型、JDL的数据融合模型和Bass的功能模型,后来的研究者们又陆续提出了十几种网络安全态势感知的模型,对于不同的模型,其组成部分名称可能不同,但功能基本都是一致的。对于基于网络安全态势感知的功能,本书将其研究内容归结为3个方面:
●网络安全态势要素的提取。
●网络安全态势的理解(也称为评估)。
●网络安全态势的预测。
本书的主体组织结构也是按照这三个部分来划分的,后面章节将对这三个方面进行详细说明。
1.3.5 网络安全态势感知的周期
网络安全态势感知的周期主要包括三个不同的阶段:提取、理解和预测。如图1.5所示。
图1.5 网络安全态势感知的周期
1. 提取
根据态势感知的定义,态势感知始于提取,提取环境内相关要素的状态、属性和动态等信息,并将信息归入各种可理解的表现方式,为理解和预测提供素材。准确、全面地提取网络中的安全态势要素是网络安全态势感知研究的基础。然而由于网络已经发展成一个庞大的非线性复杂系统,具有很强的灵活性,使得网络安全态势要素的提取并不那么轻松。目前网络的安全态势要素主要包括静态的配置信息、动态的运行信息以及网络的流量信息等。其中,静态的配置信息包括网络的拓扑信息、脆弱性信息和状态信息等基本环境配置信息;动态的运行信息包括通过各种防护措施的日志采集和分析技术获取的威胁信息等基本运行信息。提取的方法可以是通过提取某种角度的态势要素(比如脆弱性、日志报警信息、蜜罐搜集的信息)来评估网络的安全态势,也可以是从多个角度分层次描述网络安全态势(比如建立层次化的指标体系)。从目前的研究来看,从单一角度提取态势要素必然无法全面表征态势信息,存在一定局限性,而多角度分层次描述态势的方法则需要着重考虑各指标因素之间的关联性,不然会导致信息融合处理存在较大难度。在本书的第3~5章,将对态势提取涉及的一些重要主题进行详细阐述。
2. 理解
对态势的理解包括人们组合、解读、存储和保留信息的过程。因此,态势理解过程不仅包括认识或注意到信息,还包括对众多信息的整合,以及决定这些信息与单个主要对象的相关度,并根据这些信息进行推断或推导出与对象相关的一系列结论。通过判断对象和事件的重要程度,理解过程最终形成结构化的态势图像。此外,理解是一个动态过程,随着态势的不断变化,必须将新的信息和已有的认识结合起来,综合得出当前态势图像。
网络安全态势的理解是指在获取海量网络安全数据信息的基础上,通过解析信息之间的关联性,对其进行融合,获取宏观的网络安全态势。其中,数据融合是网络安全态势理解的核心。网络安全态势理解摒弃了研究单一的安全事件,而是从宏观角度考虑网络整体的安全状态,以期获得网络安全的综合评估,达到辅助决策的目的。在传统的实践中,对某种或某几种网络攻击的检测和评价已经推动了网络空间大量的研究,但对于整个组织来说(尤其是决策者),从关注局部战术操作层面转向宏观战略层面,全面、深刻地认识并理解“我方”综合安全态势将会显得更为重要。在本书的第6~9章,将对态势理解涉及的重点领域和融合算法进行探讨。
3. 预测
了解态势要素的状态并在变化的基础上进行某种程度的预测,是态势感知必不可少的部分。网络安全态势的预测是指根据网络安全态势的历史信息和当前状态,对网络未来一段时间的发展趋势进行预测。网络安全态势的预测是态势感知的一个基本目标。由于网络攻击的随机性和不确定性,使得以此为基础的安全态势变化呈现复杂的非线性过程,限制了传统预测模型的使用。目前,网络安全态势预测一般采用神经网络、时间序列预测法和支持向量机等方法,此外,基于因果的数据模型和模式识别也常用在网络安全态势的预测上。未来,随着人工智能和机器学习技术的助推,也许会产生更多智能的技术方法。在本书的第10和11章,将对态势预测常用方法进行介绍。
需要注意的是,网络安全态势感知的三个部分(提取、理解和预测)并非按先后顺序串行的过程,而是同步并行的过程,把它切分为三个部分是为了简化理解。各个部分都应当同时进行,并且相互触发连续的变化和不断更新,循环往复。三个部分中的各组成部分也应持续地相互作用,将自身的数据/知识装载到其他组成部分之上。此外,任何过程中的每个步骤都应对安全人员和决策者高度可见。
1.4 我国网络安全态势感知政策和发展
1.4.1 我国网络安全态势感知政策
随着信息技术的不断发展,信息安全给安全监管部门提出了新的挑战,而且目前我国信息系统安全产业及信息安全法律法规和标准不完善,导致国内信息安全保障工作滞后于信息技术发展。
为提高国家信息安全保障能力,2015年1月公安部颁布了《关于加快推进网络与信息安全通报机制建设的通知》(公信安[2015]21号)。“通知”要求建立省市两级网络与信息安全信息通报机制,积极推动专门机构建设,建立网络安全态势感知监测通报手段和信息通报预警及应急处置体系;明确要求建设网络安全态势感知监测通报平台;实现对重要网站和网上重要信息系统的安全监测、网上计算机病毒/木马传播监测、通报预警、应急处置、态势分析、安全事件(事故)管理、督促整改等功能,为开展相关工作提供技术保障。
2015年5月18日,公安部在北京召开电视电话会议,专题部署国家级重要信息系统和重点网站安全执法检查工作。公安部副部长、中央网信办副主任陈智敏在会议上强调,各级公安机关要充分认识网络安全的严峻形势和加强网络安全工作的重要性、紧迫性,加强国家网络安全通报机制建设,进一步健全完善网络安全信息通报和监测预警机制建设,确保网络安全执法检查工作取得实效。
2015年6月,第十二届全国人大常委会第十五次会议初次审议了《中华人民共和国网络安全法(草案)》,其中明确提出建立网络安全监测预警和信息通报制度,将网络安全监测预警和信息通报法制化。
2015年7月27日,发布《关于组织开展网络安全态势感知与通报预警平台建设工作的通知》。
“没有网络安全就没有国家安全”。网络空间的无远弗届让网络安全风险加大,应对网络和信息安全的挑战必须要有正确的理论作指导。2016年4月19日,习近平主席在网络安全和信息化工作座谈会上提出:“要树立正确的网络安全观,加快构建关键信息基础设施安全保障体系,全天候全方位感知网络安全态势,增强网络安全防御能力和威慑能力。”
2016年11月7日,全国人民代表大会常务委员会发布《中华人民共和国网络安全法》(下面简称《网络安全法》),从2017年6月1日起实施。法规中明确提出建立网络安全监测预警和信息通报制度,将网络安全监测预警和信息通报法制化。其中,第四十四、四十五、四十七和四十八条均有提及。
2016年12月15日,国务院关于印发《“十三五”国家信息化规划的通知》(国发[2016]73号)中明确提出要全天候全方位感知网络安全态势,加强网络安全态势感知、监测预警和应急处置能力建设。
随着《网络安全法》和《国家网络空间安全战略》的相继出台,在我国态势感知被提升到了战略高度,众多行业、大型企业都开始倡导、建设和应用网络安全态势感知系统,以应对网络空间安全日益严峻的挑战。
1.4.2 我国网络安全态势感知的曲线发展历程
我国网络安全态势感知经历了一个曲线发展过程,可划分为萌芽、热潮、低谷、恢复和成熟等多个阶段。逐渐实现了安全能力的落地。这是网络安全态势感知的恢复和逐渐成熟期。
●萌芽期:用于进行安全运维和事件管理的SOC/SIEM等类型的产品和技术已经发展了很多年,受限于数据的处理和安全分析能力,始终停留在对大量微观的安全事件告警的处理层面。大数据技术的出现让建立在SOC/SIEM之上、基于大数据的安全分析技术成为现实,这是网络安全态势感知的萌芽期。
●热潮期:网络安全行业很快兴起了对网络安全态势感知的炒作热潮,很多人认为这种技术代表了威胁对抗技术的先进生产力,并相信其能够解决大多数安全问题,突破传统安全的瓶颈,几乎所有人都对这种新技术满怀期望、充满信心。这是网络安全态势感知的热潮期。
●低谷期:当最初的几款网络安全态势感知产品上市后,其所呈现出的能力让大家比较失望,有的只是对SOC/SIEM产品进行改头换面,有的则沦为展示汇报的“地图炮”,用户在使用过程中发现态势感知系统并没有真正解决安全问题,其能力也不如预期的那么强大,于是对于新技术的评价降到谷底。这是网络安全态势感知的低谷期。
●恢复和成熟期:安全厂商和用户坚定不移地继续发展网络安全态势感知产品和技术,能够解决的问题越来越多,技术成熟度也越来越高。尤其是近两年,奇虎360、天融信、绿盟科技和安恒信息等公司的一大批优秀的网络安全态势产品和技术解决方案的出现,以及在国内众多行业和领域的成功应用,使之赢得用户越来越多的好评,
1.5 国外先进的网络安全态势感知经验
1.5.1 美国网络安全态势感知建设方式
在网络安全方面,无论是战略建设还是技术研究,美国都大幅度领先全球其他国家,因此美国在这一方面的建设思路和成熟经验可以作为借鉴。让我们一起看看美国是如何布局其国家网络安全战略和相关行动计划的。
可以从国家战略、政策法案、行动计划等方面对美国国家网络安全建设进行分析研究。美国国家网络安全建设大体上可以分成以下层次,如图1.6所示。
图1.6 美国国家网络安全建设层次框架
1.5.2 美国网络安全国家战略
美国在网络安全方面的国家战略称为全面的国家网络安全行动(CNCI),如图1.7所示。2008年1月8日,美国总统布什签署发布了第54号国家安全总统令/第23号国土安全总统令,即CNCI。出台该计划是因为当时的布什总统认为美国网络安全需要一个国家层面的综合计划并付诸实施。该计划旨在保护美国的网络安全,防止美国遭受各种恶意或敌对的电子攻击,并能对敌方展开在线攻击。
图1.7 2008年“全面的国家网络安全行动”(CNCI)
2010年3月2日,时任美国总统的奥巴马宣布解密其部分内容。据有关报道,CNCI计划总投资300亿~400亿美元,截至2012年年底已经投入资金177.6亿美元。CNCI中包含12个重点领域活动,具体实施由国土安全部(DHS)、国防部(DoD)、国家情报总监办公室(ODNI)、科学和技术政策办公室(OSTP)四个机构负责。
CNCI制定了美国网络安全相关机构建设、运营等工作的方针政策,指导了美国网络安全各项建设计划的实施,可以说CNCI对打造和构建美国网络空间安全具有现实和长远的战略性意义。
1.5.3 可信互联网连接
为了应对网络安全攻击,美国在2003年启动了爱因斯坦计划,目标是在政府网络出口部署入侵检测、Net Flow检测、入侵防护系统来提供攻击的早期预警和防护,随后于2007年提出可信互联网连接(TIC)计划,目标是将联邦政府8000个网络出口归并为50个左右。出口整合后,便于进行爱因斯坦计划的统一部署,监控和防护也能做到一体化。
1. 爱因斯坦1
爱因斯坦1计划始于2003年,系统能够自动地收集、关联、分析和共享美国联邦政府之间的计算机安全信息,从而使得各联邦机构能够接近实时地感知其网络基础设施面临的威胁,并更迅速地采取恰当的对策。通过收集参与该计划的联邦政府机构的信息,US-CERT能够建立和增强对美国网络空间态势感知的能力。这种态势感知的能力将使得国家能够更好地识别和响应网络威胁与攻击,提高网络安全性,提升关键的电子政务服务的弹性,增强互联网的可生存性。
爱因斯坦1的技术本质是根据深度流检测(DFI)来进行异常行为的检测与总体趋势分析,具体地说就是基于x Flow数据的DFI技术。这里的x Flow最典型的一种就是Net Flow,此外还有s Flow、j Flow、IPFIX等。US-CERT通过对联邦政府机构的网络出口路由器进行流量抽取,采集这些流量的Flow信息并进行分析以获悉网络安全态势。
2. 爱因斯坦2
爱因斯坦2计划是爱因斯坦1计划的增强,始于2007年,该系统在原来对异常行为分析的基础上增加了对恶意行为的分析能力,以期使得US-CERT获得更好的网络态势感知能力。同时,爱因斯坦2计划将配合美国政府的TIC(可信互联网连接,旨在减少和收拢联邦政府机构分散的互联网出口)计划一起实施。
而实现该恶意行为分析能力的技术是网络入侵检测技术,爱因斯坦2对进出美国政府网络的TCP/IP通信数据包进行深度包检测(DPI)以发现恶意行为(攻击和入侵)。爱因斯坦2计划主要以商业的IDS技术为基础进行定制开发,而特征库既有商业的,也有US-CERT自己的开发版。爱因斯坦2计划中的特征库是US-CERT精选的,做到尽可能少。当联邦网络流量中出现恶意或可能有害的活动时,爱因斯坦2能够向US-CERT提供实时报警,并对导出数据提供关联和可视化能力。
3. 爱因斯坦3
从2008年开始,美国政府启动了CNCI,其中就包括爱因斯坦3计划(又称为“下一代爱因斯坦计划”)。目前,该计划披露的信息甚少。从掌握的信息看,爱因斯坦3计划的主要技术支撑是IPS。
根据CNCI中的TIC,提出了TICAP(可信互联网连接访问提供商)的概念,即将为联邦政府提供网络接入的ISP也纳入其中,如AT&T公司,由TICAP将政府网络的流量有选择性地镜像并重定向出来,供US-CERT对这些流量进行入侵检测与防御分析。根据爱因斯坦3计划,美国国土安全部希望最终能够将TIC与爱因斯坦计划融合起来,使之成为联邦政府网络基础设施的基本保障。
1.5.4 信息安全持续监控
信息安全持续监控(ISCM)是对信息安全、脆弱性和威胁进行持续的评估,以支撑组织的风险管理决策。由于信息安全建设和安全防护运维的持续性,美国联邦政府越来越强烈地意识到“一次性”的安全建设不能够保证自身网络的持续安全。因此2010年的《联邦信息安全管理法》(Federal Information Security Management Act,又称FISMA 2.0)要求各机构的信息安全方案中必须包含信息系统的持续监测,修复有漏洞且不合规的项目,并根据联邦要求出具报告。报告每月自动化提交,并成为政府绩效评定的重要标准。
1.5.5 可借鉴的经验
通过研究美国的安全建设可以看出,美国通过TIC(可信互联网连接)来进行网络整合,便于统一进行高质量的安全监控和防护;利用爱因斯坦计划进行深度包检测(DPI)和深度流检测(DFI),以提高安全态势感知能力;开展持续监控计划,针对资产、漏洞、配置实施有体系的持续监控。
从美国对爱因斯坦计划的持续投入可以看到,网络空间安全的态势感知对于国家、行业有多么重要的意义。虽然我国的信息安全技术水平较美国有较大的差距,但可以利用我国现有网络信息安全技术,同时借鉴美国成熟的建设思路和实践经验,建设适合我国的网络安全态势感知系统。
1.6 网络安全态势感知建设意见
要完成网络安全态势感知的建设目标,既需要采集多源异构的安全数据,也需要通过数据/事件检测分析平台进行检测分析,同时也离不开安全分析师的人工专业分析。可以说,鉴于目前的技术水平,以及人工智能还处于初级阶段,网络安全分析师是态势感知的最重要部分,是确定网络安全态势感知项目成败的关键因素。成功的网络安全态势感知系统必须考虑到人工分析的因素,引入专业的安全分析师来进行辅助分析,并通过提供好的平台工具和流程来支撑他们高效完成工作。
网络安全态势感知是综合性安全能力建设,涉及很多方面,如数据源、大数据平台、多类型检测分析引擎、可视化、资产管理、安全分析师团队建设等,是一个复杂的系统工程,不可能一次到位,其建设过程需要明确建设目标、掌控关键性因素、分阶段开展。以下是一些阶段性建设意见。
●第一阶段:搭建网络安全态势感知所需的基础工具和平台。主要包括多源异构数据的采集汇聚平台、数据分析处理平台、多类型检测分析引擎、态势可视化呈现以及资产管理平台等,当然还有安全管理团队的组建,这些基础性必备要素能支持一个组织内部网络的完整安全运营。这也是本书要介绍的重点内容。
●第二阶段:建立纵向支撑体系和情报数据共享体系。主要包括纵向恶意代码分析中心、增强的数据/事件分析中心、纵向威胁情报中心和一定的情报共享机制等。恶意代码分析和重大事件分析是需要高水平的安全分析师进行分析的,利用纵向的建设和集中这些资源,能够更快地提升网络整体运营水平。纵向威胁情报中心能够收集、整理并分发内部情报信息;而情报共享机制能够保障信息在行业内部以及公安、网信等部门的同步,通过内外结合,组织能够对整个行业面临的威胁有一个更精准、全面的掌控。
●第三阶段:建立自动化、体系化的主动动态防御能力。该阶段是最理想的也是最高境界。随着基础平台和工具的完整搭建、纵向支撑体系和情报共享体系的增强,再加入自动化配置手段和高级人工智能的分析预测能力,进而全面提升对各类安全事件体系化的主动动态防护能力,更快速、更高效地识别、处理攻击事件和恶意行为并预测未来发展趋势,真正地为组织的网络安全运营保驾护航。
最后,谈一下如何判断所建设的网络安全态势感知系统是否提升了网络安全防护效能,真正解决了安全问题,这就涉及响应处置了。我们建设网络安全态势感知系统和进行安全运维的目标是降低MTTD/MTTR(平均检测时间/平均响应时间),安全人员始终在与攻击者赛跑:在攻击者进行针对性的攻击之前,完成防御策略的调整,阻断或者迟滞其攻击;在已经潜入内部的攻击者盗取数据、造成破坏之前,识别和发现它,并立即评估可能造成的损失范围和程度,及时响应和处置,避免造成真正的损失。因此,高效、及时的处置动作完成后才算完成闭环,才算真正解决了安全问题。态势感知必须与响应处置结合,这样才能有效提升网络安全防护效能,从而实现安全落地。当然这中间少不了安全人员的判断,关于安全人员方面的内容我们将在最后一章进行详细讨论。