该项目根据全面收集、智能关联、快速处置、直观展现的原则搭建全流量未知威胁感知平台,该平台是全省农信系统安全管理与运营工作的数据汇聚中心、安全分析中心、安全指挥中心。平台实时采集各类检测信息、告警信息、审计信息等,结合威胁情报,对安全数据进行集中分析,识别安全威胁,实现安全风险的智能感知和动态研判。同时建立事件处置流程,结合协同处置机制,实现对安全事件的快速处置。平台能够直观展现并提供完整、易用、高效的人机分析界面供安全运营人员进行快速的分析判断,提高运营效率。全流量未知威胁感知平台的整体架构图如下:
全流量未知威胁感知平台架构包含以下几个部分:
流量监测子系统
流量监测子系统负责全流量未知威胁感知平台的流量采集和还原,并检测提取网络中的异常流量和威胁事件,为后续关联分析和溯源提供数据支撑。
漏洞监测子系统
漏洞监测子系统负责对资产漏洞信息的收集与监控,是整个安全运营体系及风险管理的一部分。该子系统对当前网络环境中的主机、设备、应用程序执行漏洞扫描,并通过全流量未知威胁感知平台对接实现漏洞信息和资产信息的关联,为资产风险管理提供数据支撑。
配置监测子系统
配置监测子系统负责资产配置弱点信息的采集。全流量未知威胁感知平台可导入该子系统的配置核查报告,获取资产的配置弱点信息并在全流量未知威胁感知平台中与资产关联,完善资产信息的风险管理。
资产监测子系统
资产监测子系统可主动收集网络中各类IP资产以及开放端口、协议、服务、应用、版本、厂商等信息。对所有在线设备进行网络扫描和深入识别,获取资产信息的网络地址、系统开放端口和服务类型,并根据子系统内置的指纹库裁定每个资产的类型、操作系统、厂商信息。资产监测子系统可直接与全流量未知威胁感知平台进行对接,为资产管理提供数据支撑。
数据接入子系统
数据接入子系统负责平台安全数据的采集、预处理、存储和检索,为后续的子系统提供数据支撑,包含针对流量以及日志的采集。
威胁检测与分析子系统
威胁检测与分析子系统通过利用数据接入子系统采集的各类安全数据,基于各类分析引擎和分析手段,结合威胁情报匹配,检测和分析安全事件。
资产风险管理子系统
资产风险管理子系统通过利用各类数据监测子系统和主机安全管理采集的资产信息、配置弱点和漏洞信息,结合威胁检测与分析子系统输入的威胁告警信息,实现资产信息管理和风险管理。
处置响应子系统
处置响应子系统负责安全威胁的处置与跟踪,通过工单系统实时跟踪安全威胁的处置状态,此外威胁告警可通过联动协同处置产品实现处置闭环。
等保管理子系统
等保管理子系统负责提供针对业务系统等级保护的定级备案、等保自检等一系列的统一管理功能。可在平台上实现针对业务系统等级保护状态的实时跟踪与监控。
数据可视化子系统
数据可视化子系统可基于全维度安全数据采集和集中分析,通过可视化的方式将资产风险态势、资产外连态势、全网漏洞态势、外部威胁态势、内部威胁态势以及安全运营态势等进行合理展示。
系统支撑
系统支撑具有多种平台支撑能力,如知识管理、级联管理、权限管理等,负责全流量未知威胁感知平台的支撑能力建设,有效保障支撑子系统的稳定运行。
协同产品
全流量未知威胁感知平台通过API接口与各类协同产品进行对接,实现平台的联动处置、资产风险管理以及告警输出等。
安全运营
安全运营团队基于全流量未知威胁感知平台提供资产管理、威胁分析、漏洞管理、预警通知、威胁建模、安全事件管理等安全运营服务,构建可持续的安全运营体系闭环。
2.技术功能设计
全流量未知威胁感知平台功能实现包括流量监测子系统、漏洞监测子系统、配置监测子系统、资产监测子系统、数据接入子系统、威胁检测与分析子系统、资产风险管理子系统、处置响应子系统、等保管理子系统以及数据可视化子系统组成,各功能子系统基于平台灵活的数据接入能力、高性能关联分析能力、持续威胁建模能力、威胁情报能力、大数据支撑能力以及机器学习等技术能力,提供多源异构大数据的接入与综合管理、高级威胁深度挖掘与全面检测能力提升、安全态势持续监测和动态监控以及安全运营高效化能力等应用。
系统功能架构如下图示:
2.1流量监测子系统
流量监测子系统通过协议还原能力提取网络层、传输层和应用层的头部信息,甚至是重要负载信息。且预置入侵攻击库和WEB攻击库,可检测流量中的常见扫描和远控木马等攻击行为,也可检测主流Web应用攻击,包括:注入、跨站、webshell、命令执行、文件包含等,有助于流量中发现常见的网络和WEB攻击。子系统功能架构如下:
流量监测子系统主要应用于对网络环境中流量数据采集还原和初步的威胁检测,生成流量日志后可作为全流量未知威胁感知平台关联分析的维度之一,同时可以解决传统审计类设备无法全量获取流量数据的问题。
2.2漏洞监测子系统
漏洞监测子系统负责对资产漏洞信息的收集与监控,是整个安全运营体系及风险管理的一部分。该子系统对当前网络环境中的主机、设备、应用程序执行漏洞扫描,并通过于全流量未知威胁感知平台对接实现漏洞信息和资产信息的关联,为资产风险管理提供数据支撑。子系统架构图如下:
2.3配置监测子系统
为完善资产脆弱性信息的收集,除漏洞监测子系统负责资产漏洞信息的收集,配置监测子系统将负责资产配置弱点信息的采集。全流量未知威胁感知平台可导入该子系统的配置核查报告,获取资产的配置弱点信息并在全流量未知威胁感知平台中与资产关联,完善资产信息的风险管理。子系统架构图如下:
2.4资产监测子系统
资产监测子系统负责信息网中资产信息的采集与更新。该子系统可主动收集网络中各类IP资产以及开放端口、协议、服务、应用、版本、厂商等信息。对所有在线设备进行网络扫描和深入识别,获取资产信息的网络地址、系统开放端口和服务类型,并根据子系统内置的指纹库裁定每个资产的类型、操作系统、厂商信息。资产监测子系统可直接与全流量未知威胁感知平台进行对接,为资产管理提供数据支撑。
2.5数据接入子系统
数据接入子系统主要用于负责整个信息网中的安全类数据的采集、预处理和存储,解决复杂环境下安全数据收集不全面的问题,为平台进行威胁分析溯源和构建安全运营闭环提供数据基础。数据接入子系统包含数据采集、数据预处理和数据存储。
主要实现功能如下:
数据采集:数据采集功能主要用于实现对多源异构的安全数据进行采集,可通过Syslog、SNMP、JDBC、ODBC、FTP、SFTP等方式实现多类安全数据的采集。并负责对接入采集设备、数据的解析规则和策略提供统一的管理。
数据预处理:多源异构的安全类数据会采用不同类型的数据格式,为了便于后续子系统的分析和呈现,数据预处理需对此类安全数据统一进行数据的标准化处理,主要包含数据的过滤处理、数据的标准化映射以及数据信息的丰富化。
数据存储:由于全流量未知威胁感知平台涉及海量安全数据的采集与分析,数据存储将面临严峻的考验。需采用高性能的分布式集群数据存储系统,并能有效处理各类安全数据。高性能的数据存储能力可实现实时或任务的数据搜索、结构化搜索以及分析,并处理PB级别以上的结构化或非结构化数据,达到百亿条数据秒级检索。
2.6威胁检测与分析子系统
威胁检测与分析子系统是全流量未知威胁感知平台的核心子系统,此子系统消费数据接入子系统处理后的丰富数据,通过多种检测引擎实现威胁事件的检测与分析。
在定位到威胁事件之后,该子系统通过告警呈现、告警响应机制反馈到其他各子系统。威胁检测与分析子系统的架构图如下:
主要功能包含如下:
分析引擎:为提高应对重大网络安全事件的能力,并有效支撑全流量未知威胁感知平台针对海量安全数据的检测与分析能力,威胁检测与分析子系统具备多种检测与分析引擎,主要包含关联分析引擎、场景分析引擎、机器学习引擎和数据统计引擎;
威胁检测:通过关联分析引擎实现引擎多维安全数据的关联分析,结合针对告警信息的集中管理,完善全流量未知威胁感知平台的威胁检测能力;
2.7资产风险管理子系统
资产风险管理子系统包含信息网整体资产管理和风险管理。资产监测子系统和流量监测子系统可通过资产的主动被动发现为资产中心提供全面的资产信息,实现资产信息管理。而漏洞监测子系统、配置监测子系统和威胁检测与分析子系统为资产风险管理提供威胁数据和脆弱性数据。此外,主机安全管理系统也向资产风险管理子系统提供主机的资产数据和脆弱性数据,完善资产的风险管理能力。资产风险管理子系统框架图如下:
主要功能包括:
资产发现:资产发现模块与资产监测子系统进行对接,下发资产发现任务,主动发现信息网内资产信息,实现对全网资产信息的主动探查。另外,流量监测子系统也可结合流量数据,从流量中被动发现资产信息。通过多个子系统的主动被动资产发现,系统可自动比对资产数据,筛选新增资产内容,供管理人员确认,从而可以对网内整体资产变化情况有效掌控,并对合法资产和非法资产进行有效稽查。
资产管理:通过资产管理功能,安全运营人员可完整搭建基于资产分组、组织架构、业务分组的全生命周期资产管理能力。同时,资产管理功能提供了灵活的、多视角的管理方式,便于适应不同的应用场景。
脆弱性管理:资产风险管理子系统可实现对重要资产的漏洞信息和配置核查信息的收集和管理,并将漏洞和配置核查的结果自动同步到风险模块中,参与风险计算。基于该子系统能够联动第三方扫描器,对漏扫设备进行集中管理,并对漏洞扫描设备下发扫描任务,收集漏洞扫描结果,并支持周期性任务模式,建立完整的持续监控手段;
2.8处置响应子系统
处置响应子系统作为整个全流量未知威胁感知平台的核心子系统,提供了针对安全事件和资产脆弱性的监控和处置。实际业务环境中,由于安全威胁的处置需要跨部门、多人协同配合,需要使得处置响应更加透明化和自动化,而工单和联动处置完美实现了这方面能力。处置响应子系统架构图如下:
工单:为了便于安全威胁处置流程的透明和及时,全流量未知威胁感知平台通过工单将整个处置流程进行串联并跟踪。工单将单个或多个告警、漏洞、配置核查通过一个工单任务统一监控,并将涉及多人的判断或结论统一记录到工单任务中,从而使威胁处置过程有据可循。工单保障了每一个威胁处置过程都能及时有效的跟踪和记录,增强安全管理团队内部处置联动的协作能力。
联动处置:联动处置为安全运营团队提供的处置闭环的能力。处置响应子系统通过与协同产品进行联动对接,实现安全威胁及时有效的处置。处置响应子系统可从威胁检测与分析子系统获取经过确认后的威胁失陷主机、恶意IP、域名和URL并下发联动任务,实现整个安全运营的处置闭环。可以协同的产品类型如下:
防火墙:处置响应子统可将失陷主机IP发送给防火墙,通知防火墙对主机IP进行上网隔离;针对外网恶意IP/域名/URL,可通知防火墙阻断对其的访问;
上网行为管理:处置响应子系统可将失陷主机IP发送给上网行为管理,通知防火墙对主机IP进行上网隔离;针对外网恶意IP/域名/URL,可通知防火墙阻断对其的访问;
EDR:内网主机感染恶意文件后,处置响应子系统可联动EDR对恶意文件进行隔离或清除;
终端安全管理软件:内网主机感染恶意文件后,处置响应子系统可联动终端安全管理软件对恶意文件进行隔离或清除。
2.9等保管理子系统
定级备案管理:将信息系统的定级和备案信息关联到资产管理模块,可以查看资产对应的等级保护级别等信息;
2.10数据可视化子系统
数据可视化子系统可基于全维度安全信息的采集和数据集中分析,通过可视化的方式将资产风险状况、业务资产安全状态、攻击威胁类型分布以及安全运营态势等进行合理展示。通过数据可视化子系统可使从管理层到运营人员对监控范围内的网络总体安全态势进行定性和定量的态势监测。系统提供面向不同安全场景的态势监控界面,包括资产风险态势、资产外联态势、全网漏洞态势、外部威胁态势、内部威胁态势和安全运营态势。
3.安全运营设计
3.1安全运营架构设计
安全运营建设工作以“建设可持续的安全运营体系,提升动态防御、主动防御水平”为目标,构建内外部风险感知能力、安全威胁分析能力、快速预警能力、安全事件协同响应能力,形成覆盖安全监测、分析、预警、处置的闭环流程,并且通过持续的监控分析,推动安全运营体系的不断演进,支撑安全管理和建设工作。
安全运营工作面向各类的信息化资产进行全面监测,具有覆盖面广、监测周期长等特点,开展运营工作需要全盘考虑,首先要对网络安全资产的进行治理,后续通过全流量未知威胁感知平台对资产进行持续监控,对资产全漏洞和风险实施全流程管理,实现网络安全事件及时发现、快速预警,同时依托全流量未知威胁感知平台形成安全事件的闭环处置,稳步提升整体安全建设水平。
下图是基于全流量未知威胁感知平台的整体安全运营框架图。
持续的安全运营工作能够清晰的了解自身安全情况、发现安全威胁、敌我态势、规范安全事件处置情况,提升安全团队整体能力,逐步形成适合自身的安全运营体系,并且通过成熟的运营体系驱动安全管理工作质量和效率的提高,具体体现以下几个方面:
第一、推动合规体系建设:通过长期的安全运营发现终端安全、网络安全、应用安全等的不足;
第二、推动安全体系完善:通过长期的安全运营发现安全体系的短板,予以补足;
第三、推动安全管理提升:通过长期运营发现安全管理的薄弱环节,予以强化管理;
第四、推动解决实际问题,帮助找到责任的归属点,精准解决问题。
3.2安全运营统筹管理
在本项目中,为保障安全运营工作推进的顺利开展,我们依托原厂商专业安全运营人员协同来推进全省安全运营工作,原厂商提供了完善的梯度安全运营服务,即:一线驻场运营、二线运营支撑以及重保期运营保障。
1)一线驻场运营
由专职驻场安全运营服务人员提供安全运营与分析服务,日常运营工作内容包括资产管理、漏洞管理、威胁分析、预警通知、告警处置、定期统计报告、流量分析、安全规则调优、事件解析文件编辑、关联规则编辑等安全运营;定期定次梳理已经采集到的流量日志信息,利用平台中提供的各种工具和接口对隐藏在流量中的攻击行为、失陷信息进行挖掘并处理,出具监测报告和威胁分析报告(日报、周报、月报、年报、各地市报等),并对具有攻击行为的事件进行应急处置。
2)二线运营支撑
由原厂二线运营技术专家负责对运营项目的总体管理与协调,包括驻场人员管理,技术支持、质量控制,运营项目的启动梳理、运营过程中的流程设计与交付质量控制,协助驻场人员对高级威胁进行分析。
3)重保期间运营保障
在重保期间,由安全运营人员围绕全流量未知威胁感知平台进行综合监控、分析及平台日常保障工作。
3.3日常运营工作管理
1)资产管理
资产梳理
为保证后续安全运营工作开展效率,需要尽可能全面准确地掌握资产信息以及资产面临的风险。这就需要基于平台的资产管理能力,梳理包括主机设备、办公终端、网络设备、安全设备、应用系统等资产信息,梳理基础网络拓扑信息,建立完整的资产档案信息,维护资产分类和资产属性,能够从组织架构、地理位置、业务分组等不同纬度进行资产的维护和管理。针对不同的资产类别,有针对性的梳理资产的关键信息,保证资产信息的良好的可用性,具体梳理资产范围包括但不限于资产类型、WEB应用类型、中间件、开发语言、开放服务及互联网开放端口等信息。
攻击面分析
从攻防的角度来讲,梳理基础资产、访问控制策略、数据接口,可以有效管理资产受攻击面,结合资产属性,资产应用识别等信息,进行资产攻击面分析、资产变更分析、资产异常连接分析,感知资产异常行为,防患于未然。资产关键信息识别以及分析内容包括:资产类型、开放服务及端口、web应用、web中间件、web业务类型、web开发语言、资产应用绑定域名、资产外联分析、资产服务状态变更监测、资产端口状态变更监测、资产脆弱性服务检测以及资产间异常连接分析。
2)告警监控管理
运营人员开展日常监控工作,筛选过滤告警日志,记录并统计告警信息,协助告警信息的通告下发,定期跟踪事件处置情况,高危安全事件的通告工作等。一是对全省农信关键信息系统等业务的运行状态以及DDoS攻击、网页篡改、网站挂马、网站漏洞告警进行监测;二是对关键信息系统专项威胁进行监测,如:APT攻击、漏洞利用攻击、仿冒网站、网络钓鱼、僵木蠕毒进行监测;三是针对特定目标与针对特定目标的攻击进行监测。
3)威胁分析管理
信息化资产所面临的攻击类型种类繁多,攻击手法不一,对于攻击手段较为隐秘的威胁行为,单次攻击行为被发现的概率较低,而以态势感知系统采集的安全日志、网络流量日志或服务器日志数据为基础,依托平台先进的威胁情报检测能力、丰富的关联规则、强大的机器学习检测能力,结合运营人员对告警威胁信息进行深入分析研判,就能够发现有价值潜在威胁。比如服务器被攻击行为检测分析、数据库危险操作分析、违规检测分析、账户风险分析、异常外联分析、暴力破解分析、后门利用分析、威胁情报命中告警分析、web失陷检测分析、恶意代码检测分析等。
4)预警通知管理
建立及时准确的安全事件预警上报体系,在事件分类的基础上,进一步研究针对各类安全事件的响应对策,建立网络安全事件数据库,与应急指挥工作相衔接,这项工作对于事件应急响应处置具有十分重要的意义。
运营人员分析确定重大影响的安全问题时,快速向省联省及各行社推出安全预警信息及解决方案。在发生确切的安全事件时,可利用全流量未知威胁感知系统的威胁预警能力,导入威胁预警包,配合应急人员及时采取行动限制事件扩散和影响的范围,降低潜在的损失与破坏。
5)安全事件管理
为保证安全威胁事件都能够得到有效的跟踪处置,在日常安全运营工作开展过程中有必要对安全事件进行集中管理。
3.4安全运营支撑管理
1)人员的技能评估、培训和技能跟踪
安全运营人员的技能水平是支撑整体安全运营工作有序开展关键因素,运营工作要形成体系化,需要依赖一定数量的运营技术人员储备,为保证运营工作质量,我们面向全省各行社,根据岗位需要安排合理的技术培训,培训课程内容包括平台功能、事件分析技术、高级威胁分析技术、漏洞验证、响应处置等,并对每个人的制定技能评估、KPI考核计划进行跟踪,不断提升运营人员能适应新的安全监测业务的需要。
2)知识库建设
为保证运营工作效率,避免对相同问题重复投入精力,在本项目中,我们建设安全运营知识库,积累日常运营经验,将问题处理过程落实形成文档,这对于安全运营工作的执行效率和效果至关重要,而且积累知识库是一个长期的过程。知识库的建设和维护由安全研究团队、安全运营团队、安全管理团队和基础设施运维团队共同维护,确保知识库积累的全面性。
3)安全运营成熟度评估
由内外部专家对定期对当前的安全运营建设或运行现状进行成熟度评估,发现在人员、技术、流程和运营业务各个维度的差距和不足,制定改进计划,逐渐演进。
4)安全运营业务蓝图
根据实际安全现状和目标,设计安全运营业务蓝图,并定期对当前的安全运营建设或运行现状进行评估,结合目标与现实情况各方面的差距,详细修订业务蓝图。
二、创新点
1.基于特定攻击场景威胁建模
在本项目中,根据湖南省联社网络安全现状和业务场景,梳理出需要进行规则建模进行解决的三个问题场景,分别是:1)堡垒机绕过攻击问题:堡垒机是一种常用的内网审计工具,一般网络限制配置缺失,或者内网受到入侵逃逸堡垒机审计直接操作业务系统的行为。如没有对应检测机制,这种逃逸审计的操作将无法现行,也就没法及时发现内网安全隐患。2)DDoS攻击检测不彻底并缺乏检测机制问题:随着网络技术的发展,网速带宽越来越大,从而衍生的一种攻击方式,利用大量流量或者畸形数据包大量请求目标网站,导致目标带宽或者tcp连接数耗尽,而不能响应正常业务请求的行为。针对此DDoS攻击行为有专项的抗D产品去防护,但是抗D产品的针对DDoS攻击流量进行清洗时,清洗过程以及是否完全清洗干净并不可见,如果DDoS流量未彻底清除,依然会影响到正常业务,而这时没有对应检测机制,就不能及时发现及时处理。3)安全检测设备误报率问题:省联社现在安全检测设备威胁检测能力是很强,但是针对攻击尝试行为依然会产生告警,导致告警量大,甚至误报,存在大量的噪声,威胁检测分析的人员精力有限,在海量的告警数据中很难进行高效精确的分析,很容易出现漏分析的现象。
针对上述三种问题场景,我们利用全流量未知威胁感知平台,研究了对应的三套解决方案。具体如下:
1.1堡垒机绕过场景检测方案
检测规则建模
2)规则命中响应机制为:告警
验证方案
2)命中规则,触发告警
综上述,通过针对堡垒机绕过行为进行规则建模,能够实现堡垒机绕过检测,具有较好的实应用价值。
1.2Ddos攻击导致业务系统资源耗尽场景检测方案
1)设置日志过滤规则,筛选响应码为502的日志
2)设置条件为1分钟3次生成业务异常事件
3)设置命中规则的响应措施为告警
设置解析规则对日志进行归一化后,通过UDPSender模拟抗D日志,采用syslog发包到全流量未知威胁感知平台,web访问502日志需要搭建web服务,客户端访问服务流量经过平台流量探针即可。经验证,命中规则后能够成功出发攻击告警。如下图示:
综上述,通过针对抗D产品对DDoS清晰不彻底且缺乏检测机制导致业务系统资源耗尽场景进行规则建模,能够实现告警检测,为及时响应处置提供了参考依据,具有较好的实应用价值。
1.3安全检测设备急危告警关联分析方案
关联分析规则建模
将两个厂商的威胁检测设备的急危告警(能直接拿到系统权限的告警)进行关联分析,并邮件通知责任人,来提高威胁检测的准确度,减少分析人员的压力。实现该关联分析,需要第三方威胁检测设备(如IDS)和核心网络设备的全流量镜像,以及第三方威胁检测设备告警类型名称以及字段。规则建模基本逻辑为:筛选IDS日志告警类型为(代码执行、命令执行、文件上传、后门程序)和响应码为200、202、502。再筛选出流量传感器上告警类型为(代码执行、命令执行、文件上传、后门程序)和响应码为200、202、502。通过告警类型相同和源目地ip相同进行关联。
1)创建高危告警关联分析规则
2)筛选IDS日志告警类型
3)关联规则
4)规则响应配置
设置解析规则对日志进行归一化后,通过UDPSender工具模拟IDS设备日志发送到全流量未知威胁感知平台,平台流量探针通过pcap包回放功能,使其产生需要的测试数据告警,触发设置的规则。如下图示:
综上述,通过设置两台安全检测设备急危日志告警关联分析规则,能够有效降低告警数据噪音,提高告警分析的精准度,减轻安全管理人员分析压力,具有较好的实应用价值。
2.多源异构安全大数据采集与处理
数字化转型背景下,安全数据的种类越来越多,传统技术多以安全日志和安全事件作为数据采集基础,数据采集源相对单一,缺乏资产数据、系统/业务日志、网络流量、漏洞信息等数据的全面采集,难以实现对多源数据的融合处理;在当前海量、异构、多维等大数据融合的背景下,高效实现多源异构安全大数据的采集、融合、存储等面临诸多难题,包括:有效实现国内外数十家厂商的上百种常见设备日志的自动解析、过滤、富化、内容转译和范式化,全面采集网络、安全、终端、业务等日志数据,以及有效采集资产数据、网络流量数据、配置信息、漏洞数据等安全数据,兼顾安全数据采集方式方面多样性要求,例如Syslog、DB、SNMP、Netflow、API接口、镜像流量、文件等,这些现实状况对多源异构安全大数据的采集与融合带来挑战。
本平台为实现多源异构安全大数据的采集和融合,在资产数据、网络流量数据、配置信息、日志信息、漏洞数据、运行状态数据、风评等保等开展了采集手段和技术方法研究,实现结构化、半结构化、非结构化等安全大数据的采集与融合。通过采用基于网络流量的采集与处理技术方法,支持数十种网络协议的识别、解析和检测,实现各类日志、智能应用、PCAP文件回放检测等,支持失陷检测、入侵检测、病毒检测、异常流量、DDoS攻击、应用识别等威胁检测。通过采用基于大数据技术的安全日志采集和归一化处理方法,对海量异构安全日志进行结构化解析、归一化、过滤、富化等处理,能够实现解析性能的横向扩展,满足集中化的海量日志归一化处理要求。
3.安全大数据智能检测与高效分析
为提升安全大数据全面和深度分析效率,本平台创新了系列技术手段和方法:
三是创新分布式任务监控技术方法,有效解决分布式任务的监控的问题:采用基于多规则的分布式并行任务监控技术方法,“一种计算资源运行状况的实时监控处理方法及装置”(受理号201910252081.7)和“分布式任务的运行状态监控方法及装置”(受理号201910252105.9)技术实现方法,该方法可基于各个规则实时采集监控数据,精确统计系统资源的使用概况,完整展示分布式任务的运行状态,全面掌握僵木蠕毒、漏洞利用、DDOS、APT攻击等任务的执行状态和分布式系统整体状态。
4.基于攻防博弈的威胁建模与APT挖掘分析
传统单点式检测设备由于数据源单一、检测方式单一等原因,导致告警质量参差不齐,往往存在告警准确度低、误报率高等问题,提出基于多数据源关联的威胁建模方法,将网络流量传感器、服务器日志、安全设备、防火墙、VPN等各类数据源进行关联,提高威胁检测准确度和告警质量。随着攻防博弈的快速发展,新型攻击手段和新型工具层出不穷、花样翻新,传统威胁检测技术多采用基于签名和特征匹配、黑白名单等方式进行安全威胁检测,这种方式只能检测发现已知攻击行为,无法及时检测到新型威胁和未知威胁。
5.全方位立体化安全动态监测与可视化呈现
相对于地理空间和物理实体的可视化,安全威胁态势的可视化挑战主要在于对抽象概念要素的处理,即数据信息的可视化,虽然对原始数据或海量数据进行可视化的技术很多,但仍难以全面准确表示态势、较好呈现当前状态和未来趋势,如何快速、准确、完整、有效地将态势传达给安全决策者是具有挑战性的问题。
通过基于多部门分级联动的安全态势监测与可视化设计,实现态势感知多级呈现与级联管理:一是可实现上级对下级平台的数据汇聚、整合处理和统一管理,直属上级节点可以收集、展示下级单位告警信息,满足直属上级单位到下级单位的多级管理的场景,实现整合资源、统一监控的应用需求;二是划分各级平台的管理权限,由总部管理员进行权限分配,划分各级单位管理员的平台使用权限,实现平台“分权”管理;三是设计二级平台安全态势状态的可视化呈现,二级单位对告警的处置状态会自动同步到上级系统,以单位为视角集中获取下级平台的安全事件概况、事件处置状态上的到上级平台,同时上级平台可向下级平台下发告警策略,有选择性的收集下级告警信息,实时掌握下级单位中告警问题的解决情况。
6.基于积极防御的威胁精准预警和自动化响应
近年来重大网络安全事件频发,如永恒之蓝、Struts2、WebLogic远程代码执行漏洞等,这些事件对网络安全积极防御提出更高要求,网络管理者和实际运营者需要判断自身网络安全防御能力和水平,需要验证自身防御能力是否可以阻止某安全事件的发生,同时需要掌握事态发展/传播路径、事件处置、防护加固的方式方法,及时对网络中安全防御薄弱的资产进行精准预警,传统SIEM/SOC技术方法难以支撑该项工作的有效开展。
为了提高对重大网络安全事件的应急响应能力,构建威胁预警功能,可实现对目标网络防御能力的评估和潜在威胁的精准预警;同时,鉴于积极防御的响应流程和环节复杂,安全响应与处置效率较低,提出了一种安全编排与自动化响应技术方法,该方法实现安全编排与自动化响应,提高安全响应、自动化处置、响应管理等方面的效率和能力。
本平台采用基于积极防御的安全防御能力评估与威胁精准预警技术方法,在威胁大面积爆发前,给用户发出紧急预警信息、报告威胁情况,用户通过导入下发的预警包,自动化完成对网络的安全影响面评估;当重大安全事件发生时,安全管理人员通过威胁预警功能,导入对应事件的预警包或发起自定义预警,快速评估事件在漏洞、攻击、病毒三个维度的影响面,完成风险评估、威胁分布、事态发展及传播路径分析,并提供持续的攻击监测以及历史攻击溯源。采用基于积极防御的自动化响应技术方法,通过在系统中实现安全编排与自动化响应,实现安全告警、案件管理、工单管理和安全编排自动化,提升了安全事件调查分析(含MTTD)的速度、安全响应(MTTR)的速度、分散安全系统的整合能力,以及单个安全运维人员的生产率,提高了本平台在安全响应、自动化处置、响应管理等方面的效能;采用基于多维度风险关联的网络风险计算方法,基于资产价值、威胁值和脆弱值的多维度因子,综合计算资产和资产组的风险值。
三、技术实现特点
1.全面性
在基础安全体系建设完善的基础上,通过构建能够应对海量数据量级下的全流量未知威胁感知系统,结合专业安全运营组织架构和严谨的运营流程设计,实现全面且可闭环的安全运营体系建设。
2.持续性
围绕以“防御、检测、响应、预测”为核心的自适应安全架构构建态势感知和安全运营能力,实现态势感知能力的持续建设,保障安全运营能力的持续提升;
3.创新性
在数字化转型的背景下引入多类创新型的技术构建全流量未知威胁感知系统,例如大数据、威胁情报、机器学习等,体现整个态势感知与安全运营体系的创新型与前瞻性;
4.合规性
四、项目过程管理
五、运营情况
1.运行情况
目前,该项目已建设覆盖包括湖南省联社和全省17个二级机构在内的全流量未知威胁感知平台建设,基于管理和业务现状考虑,在技术路线上采用二级管理平台架构,即省联社全流量未知威胁感知平台为一级管理平台,作为全省威胁感知与安全运营统一管理中心,向上对接人行态势感知与信息共享平台,向下级联管理二级平台;二级机构全流量未知威胁感知平台为二级管理平台,向上对接一级管理平台。
随着项目的建成,将逐步实现全省联社单位业务流量接入,规划接入流量将达到100G,面向全省农信系统、40000+人员提供统一的威胁感知与安全运营服务,项目体量位于全国农信社同类项目前列。
自平台上线运行以来,持续进行深化应用,依据网络安全现状和业务场景,已完成三个定制化场景威胁建模,包括:1)堡垒机绕过攻击场景检测:即针对逃逸堡垒机审计直接操作业务系统的行为,通过定制化威胁建模,及时发现此类安全隐患。2)DDOS攻击导致业务系统资源耗尽场景检测:即对于抗D产品未彻底清除DDoS攻击流量而又缺乏检测机制,进而影响业务的场景。3)安全设备急危告警关联分析场景:即将两个厂商的威胁检测设备的急危告警(能直接拿到系统权限的告警)进行关联分析,来提高威胁检测的准确度,减少分析人员的压力。上述威胁模型在现网运行中为提升省联社网络安全威胁检测能力起到了关键作用,有效弥补以往安全措施的不足。
在整个ApacheLog4j2漏洞事件响应处置过程中,全流量未知威胁感知平台为省联社应对应急事件提供了集中处置平台和抓手,极大的提升了省联社安全事件发现和响应处置效率。
2.推广应用
省联社作为关键信息基础设施的运营者,肩负着维护国家金融安全和人民群众切身利益的责任,维护网络安全责无旁贷。当前,全国各省联社基本都已搭建纵深安全防护体系,而随着数字化转型催生的新场景、新威胁,以及网络安全攻击的常态化、实战化,防御体系是否完善、威胁检测是否全面等成为困扰省联社的难题。同时,公安部《认真落实网络安全等级保护制度构建新时代国家网络安全综合防控体系》要求网络安全工作以“三化六防”为新思想,以”实战化,体系化,常态化”为新理念,以”动态防御,主动防御,纵深防御,精准防护,整体防护,联防联控”为新举措,构建网络安全综合防控系统。
在此背景下,湖南省联社先行先试,率先开展全流量未知威胁感知系统项目建设,为全国各省农信系统搭建立足省联社、覆盖全省行社的威胁感知与安全运营体系提供了新范式,项目建设推进过程为建设威胁感知与安全运营体系从0到1、从1到N分阶段建设提供了关键路径参考。
六、经验总结
作为全省级农信系统全流量未知威胁感知项目,在建设过程中应统筹规划、先行探索、分期推进,即由省联社牵头统筹规划,并在省联社先行先试,对项目实施过程、建设效果、运营流程、应用场景等进行充分探究与实践,在具备成熟条件之后,再进一步面向全省联社系统进行推广覆盖,将省联社经验复制到各地市州,最终平稳顺畅实现全省农信系统的全流量未知威胁感知。