面向國產生態的網絡安全事件運維技術研究
目前復雜嚴峻的國際形勢迫切需要我國發展自主可控的基礎軟硬件產品及其生態產業鏈,日趨完善的產業鏈推動了網絡國產化替代工程[1]的大范圍推廣。長期以來,外部網絡攻擊以及內部威脅等網絡安全事件持續發生,針對國產產品生態構建的網絡,如何充分整合自主可控產業鏈的優勢,提升網絡安全運維與事件處置的能力,是網絡安全運維人員關注的熱點問題。
本文針對基于國產產品構建的網絡,采用先進的自動化網絡運維技術手段,構建網絡安全運維[2]與事件自動化處置機制[3],通過構建生態內產品的多源數據融合管理能力、國產基礎軟硬件以及國產網絡安全產品間相互協同的能力,實現網絡全景一體化安全數據融合管理[4],并完成網絡內安全事件快速高效的自動化響應、處置。
1.網絡安全運維與事件自動化處置介紹
目前國產生態產業鏈中網絡安全產品日趨完善,已出現了多種防護產品以及設備監控與運維管理系統,為了解網絡安全狀態提供數據基礎。
網絡安全運維[5][6]與事件處置旨在通過利用多源數據及時發現網絡中存在的各種安全威脅和脆弱性,形成網絡安全事件,通過對網絡安全事件的綜合分析,采取有效措施阻止網絡安全事件的進一步擴散,防止網絡內基礎設施破壞和數據篡改、泄露,保障網絡內業務系統安全、穩定和高效地運行。
網絡安全運維中的事件自動化處置[7]通過事先定義好的流程化框架對系統進行監控,一旦達到觸發條件,可以按照預先設置流程,通過多個設備或者服務間的事件協同,實現事件的自動化處置。
網絡安全運維與事件自動化處置技術經歷了2個重要的階段:安全信息及事件管理(security information and event management, SIEM)和安全編排、自動化及響應平臺(security orchestration, automation and response, SOAR)。
安全信息及事件管理[8]SIEM最初由日志管理技術發展而來,將安全事件管理與安全信息管理技術結合到一起對數據進行收集、存儲、分析、調查和報告來實現事件響應和取證。2017年Gartner提出了安全編排、自動化與事件響應[9],通過綜合數據收集、案例管理、標準化、工作流和分析相結合,定義事件響應流程,最終實現自動化事件響應活動。
為了保證基于國產產品生態鏈所構建網絡的健康、穩定運行,需要深入了解基于國產產品生態所搭建網絡運維面臨的新機遇和挑戰,充分利用產品生態鏈的自主可控的優勢,采用先進的網絡安全運維與事件自動化處置技術,設置面向不同風險的細粒度處置機制,打破各個安全產品以及系統各自為政、相互之間不關聯不聯動的局面,形成全面系統的一體化運維管理體系。
2.針對國產產品生態的網絡安全事件高效管理運維關鍵技術
2.1 技術框架
網絡安全運維與事件自動化處置平臺從網絡安全產品獲取日志和告警事件數據信息,在核心平臺上自動進行綜合分析整理,并最終達到安全事件的自動化處置響應的目的。網絡安全運維與事件自動化處置框架如圖1所示。
圖1 網絡安全運維與事件自動化處置框架
2.2 基于SOAR的網絡安全事件管理與處置引擎
網絡安全事件管理與處置引擎依據專用運維事件庫,對接收的運維事件進行分類與存儲,最后由SOAR引擎實現事件研判與自動化響應[10],圖2展示了網絡安全事件管理與處置引擎的流程架構圖。網絡安全運維人員可以結合國產產品生態構建的網絡特點,通過持續感知網絡的合規性風險以及其他隱蔽的內部威脅和網絡攻擊行為,構建專用運維事件庫。
系統通過業務流程建模與標注[11](business process model and notation, BPMN)技術進行靈活、可配置的劇本編排[12],將人員、流程、設備結合成統一的整體,根據運維場景定制有效的劇本,完成事件研判與自動化響應,當有劇本涉及的告警事件發生時,網絡安全事件管理與處置引擎便可以按照劇本進行(半)自動化響應,實現人員、流程、設備無縫融合。網絡安全事件管理與處置引擎可以與某些專用設備的主動防御體系進行有機結合,形成貫穿安全事件觸發、研判分析、處置、恢復全生命周期的自動化防御機制。
圖2 網絡安全事件管理與處置引擎流程架構圖
2.3 網絡安全事件分類
結合網絡安全防護的不同需求,網絡安全運維人員需要構建網絡內安全事件類型庫。當新的告警日志觸發后,網絡安全事件管理與處置引擎將根據告警事件的多維度屬性,實現(半)自動化的網絡安全事件類型判定。網絡安全事件通常分為內部和外部事件,圖3展示了一個典型的網絡安全事件分類場景圖。
圖3 網絡安全事件分類場景圖
2.4 國產產品生態的多源數據融合管理
國產生態產業鏈已包含監控與審計類產品、防病毒系統、身份鑒別系統、運維系統等多種網絡安全產品;為滿足某些高安全等級網絡較高的安全防護能力要求,針對信息輸入輸出管控、可信軟件安裝卸載管控等,也出現了配套的網絡安全防護產品。上述產品為網絡安全運維人員提供了大量的告警日志的同時,也為運維人員帶來了數據碎片化、誤報率高的難題。因此,需要針對不同告警事件類型,梳理與其相關聯的網絡安全產品,通過生態內多種網絡安全產品接口間的交互,按照預定義格式要求,對多源告警日志進行數據融合,生成包含人員、設備、應用系統/軟件、信息資源、網絡攻擊手段、漏洞等全方位的安全事件描述信息。
2.5 安全事件的趨勢分析與處置結果推薦
攻擊鏈經常被用于對事件成因分析以及事件發展趨勢的評估,攻擊鏈[13]是對高級可持續威脅攻擊(Advanced Persistent Threat, APT) 的攻擊過程中各個攻擊階段以及網絡攻擊生命周期的刻畫。結合外部情報、事件鏈當中的相關事件以及這些事件的組合關系,將事件鏈中的事件映射成攻擊鏈當中的不同的階段[14],形成可解釋的安全事件鏈,圖4為事件鏈向攻擊鏈映射的一個例子。
網絡運維人員結合當前攻擊行為所處的階段和攻擊未來的發展趨勢,充分利用人員、設備、應用系統/軟件、信息資源、網絡攻擊手段、漏洞等全方位信息,對歷史同類安全事件進行綜合分析,為網絡安全事件管理與處理引擎自動推薦合理的處置方案,指導引擎完成事件的快速處置響應[15]。
圖4 事件鏈-攻擊鏈信息映射圖
3.總 結
本文基于先進的自動化網絡運維技術手段,對網絡安全運維與事件自動化處置機制關鍵技術進行探討,通過構建針對國產產品生態的網絡安全事件管理與自動化引擎,融合網絡安全事件分類、多源數據融合管理以及安全事件趨勢分析與處置結果推薦的能力,通過國產產品生態內產品間的協同,解決長期以來運維所面臨的數據碎片化、事件處置效率低下等問題,實現網絡內安全事件的綜合分析以及快速高效的自動化響應、處置,提升國產產品生態的網絡安全運維能力。
注:該文章發表于《信息安全研究》,第10期
參考文獻
[1]胡志強。基于自主可控技術的國產化替代綜述[J]。網絡空間安全, 2018, 9(8): 1-1
[2]劉學。新形勢下的網絡信息安全運維[J]。網絡安全技術與應用 2020(1):7-8
[3]王理想, 符睿。網絡自動化運維管理技術研究[J]。數字化用戶, 2019, 25(10):24,26
[4]孫立雷。網絡安全管理平臺中的數據融合技術[J]。電子技術與軟件工程, 2018, 133(11):225-225
[5]Miloslavskaya N G 。Security operations centers for information security incident management[C]//Proc of IEEE Int Conf on Future Internet of Things & Cloud。Piscataway, NJ: IEEE, 2016:131-136
[6]Cichonski P, Millar T, Grance T, et al。Computer security incident handling guide[OL]。[2020-09-09]。https://nvlpubs。nist。gov/nistpubs/SpecialPublications/NIST。SP。800-61r2。pdf
[7]Carver M, DiValentin L W, Lefebvre M L, et al。Method and system for automated incident response: US, 9807120[P]。2017-10-31
[8]Bhatt S, Manadhata P K, Zomlot L。The operational role of security information and event management systems[J]。IEEE Security & Privacy, 2014, 12(5): 35-41
[9]Gartner says detection and response is top security priority for organizations in 2017[OL]。[2020-05-15]。https://www。gartner。com/en/newsroom/press-releases/2017-03-14-gartner-says-detection-and-response-is-top-security-priority-for-organizations-in-2017
[10]Ohmori M。On Automation and Orchestration of an Initial Computer Security Incident Response by Introducing Centralized Incident Tracking System[J]。Journal of Information Processing,2019,27:564-73
[11]Kocbek M, Jošt G, Heričko M, et al。Business process model and notation: The current state of affairs[J]。Computer Science and Information Systems, 2015, 12(2): 509-539
[12]Luo S, Salem M B。Orchestration of software-defined security services[C]//Proc of 2016 IEEE Int Conf on Communications Workshops (ICC)。Piscataway, NJ: IEEE, 2016: 436-441
[13]Martin。The cyber kill chain[OL]。[2020-04-22]。 https://www。lockheedmartin。com/en-us/capabilities/cyber/cyber-kill-chain。html
[14]Milajerdi S M, Gjomemo R, Eshete B, et al。Holmes: real-time apt detection through correlation of suspicious information flows[C]//Proc of 2019 IEEE Symp on Security and Privacy (SP)。Piscataway, NJ: IEEE, 2019: 1137-1152
[15]Chen Zhong, Yen J, Peng Liu, et al。An integrated computer-aided cognitive task analysis method for tracing cyber-attack analysis processes[C]//Proc of the 2015 Sympand Bootcamp on the Science of Security (HotSoS '15)。New York:ACM, 2015:1–11
【本文為51CTO專欄作者“中國保密協會科學技術分會”原創稿件,轉載請聯系原作者】
