數據:需要什么樣的數據源?
數據“可知”: 數據源多樣化,不同部門間有共性數據,也有特性數據,針對共性數據定義統一解析標準。 數據“可用”: 建立跨部門協調決策機制,來平衡部門間數據共享的難度,保證業務數據獨立性、共性數據統一、全量數據可重復利用。 數據“可管”: 對數據進行分類分級,規定數據提取的范圍,依據接口規范明確數據提取的形式和格式,推動數據采集、保證采集數據質量。 數據“可控”: 在數據共享、使用的過程中應當做好脫敏脫密、明確用戶的權限范圍,保護數據機密性的同時避免數據被濫用。
安全責任人或首席安全執行官(CSO),負責整個機構的安全運行狀態,對公司內部的安全工作進行監督、協調,為平臺相關的部署、成本、必要技術、設備以及員工培訓等方面提供決策; 安全運維人員,負責7*24日常監控、事件響應、初步調查、信息通告、日/周/月報等; 安全分析人員,負責安全檢測規則/模型和安全二線、事件調查、安全分析報告、規則/模型持續改進等; 安全運營人員,負責運營工作規范、響應與處置流程的制定、應急預案的制定、安全運營報告與管理層匯報等。
通過安全任務管理模塊實現安全督促、安全檢查和安全匯總,做好協調和安全臺賬完善工作,起到自我督促、強化安全管理的作用。安全任務管理模塊包括消息推送、事件通報、計劃管理、策略管理、報告報表等。
所謂“知彼,方能出奇制勝”,對于黑客的非法入侵也有行跡可尋,基本的套路是reconnaissance(偵察),weaponization(武器構建),VPS租用 國內服務器,delivery(載荷投遞),exploitation(漏洞利用),installation(安裝植入),command and control(C2)(指揮和控制),and actions on objectives(目標達成)7個階段,每個階段都有特定的攻擊手段。基于洛克希德·馬丁Cyber Kill Chain攻擊鏈模型,構建網絡攻擊生命周期,提供安全分析與監測、安全防御與控制的全景圖。
安全任務統一管理,完善安全臺賬工作
江湖俠客VS黑紅客
基于第三方提供的安全事件響應及技術支持服務,服務內容可為遠程協助服務、安全分析服務、策略優化服務、應急響應服務、重大活動保障服務等。以保障業務系統可用性及業務連續性為目標,提高安全事件排查效率,并通過事件分析和整改建議來降低安全事件發生率。
威脅情報
分析:運用什么樣的分析方法?
而無論是SOC、SIEM還是態勢感知,面臨平臺性能與伸縮性、數據采集多樣性與標準化、安全情境關聯能力、安全響應處置成熟度、安全團隊人才輸出等問題,建設的效果往往不如預期,怎么才能達到效果呢,這需要做好長期的規劃來建設好大數據架構的基礎設施,明確監測目標或業務場景,持續不斷的更新優化數據、算法模型,做好基本功之后再談應急處置乃至安全運營。
在此基礎上制定安全威脅應急處置預案,對影響范圍廣、影響程度高的高級安全威脅提前做好應對措施,形成行之有效的網絡安全協同處置機制,最終實現根據事件的類型與級別把事件處理工作分流到對應的責任單位或人,完成從“預判-派發-反饋-核查-總結”五步閉環。
跨部門協作,實現處置“五步”閉環
什么是江湖?只要有人的地方就是江湖,人在江湖,江湖在身。
保障平臺的靈活擴展性、組件兼容性與數據容錯性: 基于分布式架構的大數據平臺,隨日志量增長可平行擴展,使其擁有強大分析能力、快速查詢效率和長周期數據處理能力; 平臺功能模塊化,提供一定的擴展能力,保持數據采集模塊、威脅檢測模塊與平臺的松耦合,使數據輸入、數據輸出接口相對獨立; 具有靈活的API接口對接能力,可與ITSM類外部系統進行交互,同時也可支持調用漏洞管理、威脅情報、安全合規等其他平臺的API進行數據的傳遞; 采集、消息處理、存儲、檢索各組件之間保持版本兼容性,保證數據的采集、傳輸、處理、存儲和使用過程中的流轉度、保真度; 數據采集、程序支持及存儲組件ES要有容錯機制,解決數據讀取失敗自動重傳錄入、程序假死、存儲設備宕機等問題。 提升安全分析引擎綜合能力
安全的攻與防猶如江湖俠客過招,通過了解對方的名諱,觀察對方的樣貌、服飾、兵器、口音甚至感觀氣場等,快速搜索所掌握的信息,判斷對方為何派別,擅長使用的招式、功法,功力達到什么層次,結合對戰周邊的環境信息,根據自身修煉情況選擇對招致勝的策略。這不就是態勢感知在收集有效數據,利用分析引擎對安全威脅進行檢測,快速查詢威脅情報中有關風險信息,綜合分析出攻擊者的攻擊意圖、攻擊工具、攻擊手段、攻擊路徑以及預測攻擊,在網絡殺傷鏈(Kill chain)被成功攻擊之前,聯動自身防御能力進行阻攔、截斷,也就是所謂的“破招”。
依據場景和數據建立相適的分析算法/模型
依據黑客攻擊的路徑和手段,建立基于Threat Hunting安全攻擊威脅分析方法,對安全事件結果提供以攻擊技術為分類的展示功能。將攻擊過程簡化為探測、攻擊、安裝、控制四個級別,域名注冊,在攻擊過程中快速了解目標資產的傷害程度、攻擊者的意圖、利用的工具等等,實現針對性的策略響應,比如黑IP禁用、攻擊范圍限定等,必要時配合蜜罐蜜網進行主動欺騙防護,幫助管理人員爭取更多的響應時間,避免威脅的范圍擴散和資產價值的進一步損失。
定期巡檢服務除了信息系統健康檢查、設備系統故障排除,更應輔助用戶對威脅檢測規則進行優化,提高威脅檢測率;更新最新威脅檢測模型,及時應對新型威脅等。
定期展開產品的專業技術交流、新技術新應用等培訓,通過知識傳遞,讓平臺管理人員能夠掌握相關知識并具有相關技能。
大數據安全分析其實就是數據挖掘與分析的過程,用數據來發現問題和尋找解決方案,通過數據獲取、處理、分析和展示四個環節,來快速解決安全威脅(5W1H):
一、夯實大數據平臺設施基礎
最為重要的是,平臺系統化的建設是一個持續優化和運營的過程,首要前提是需要公司和高層的大力支持及持續的安全投入,其次需要在不斷的實戰中進行磨合、沉淀,感悟實戰經驗后,通過長時間的持續對抗進行數據補充優化、場景建模優化、應急處置流程優化、安全服務團隊優化的過程,結合企業自身的業務、組織架構和安全管理制度,運用PDCA來不斷的校驗、改正、提升,以技術硬實力震懾,讓攻擊者付出巨大的攻擊成本而自然避讓,所以“十年磨一劍方顯鋒芒”。
第五空間亦是江湖,本質亦是人與人的博弈,萬物互聯的大數據時代,網絡已深入企業的生產、運營和銷售當中,面對各種可知、可見和隱秘的安全威脅,多年來建設的安全防護技術體系不足以應對,對日益具有針對性、體系化、規模化的安全攻擊和組織,運用態勢感知做為整個安全運營和防御的樞紐與大腦,感知攻擊行為、預測攻擊趨勢,聯動各單點安全防護能力形成合力,實現威脅的快速響應、及時處置,與其進行真實的較量,形成切實有效的安全防護,從而保護企業內部資產和業務。
借助在平臺系統化實施工作的過程中,培養一支有素質、有水平、作風優良的復合型人才隊伍,以“人”為本,依據平臺的建設、流程的制定實現安全運營,運營團隊的人員配備和能力培養考驗的是安全責任人或首席安全執行官(CSO)的經驗與學識,所以安全責任人或首席安全執行官(CSO)是整個運營團隊最重要的一個角色,為了更好的貫徹安全策略以及完成日常的運營工作,其他人才也必不可少,至少包含安全運維人員、安全分析人員、安全運營人員等。
場景:要解決什么安全問題?
互聯網攻擊:外部黑客攻擊檢測、勒索病毒防范、DDOS攻擊等;
消息推送與事件通報:按需向各管理人員推送安全消息,比如業務安全指標情況、行業安全資訊、監管政策等,高效挖掘與業務價值有關的信息;對表彰性、批評性和政策性的安全事件/活動進行通報,傳達管理層“重要精神或情況”,提高網絡安全保護意識,明確哪些事情該做哪些不該做。 計劃管理:結合PMP進度管理思想,將重大安全任務(如攻防演練、重大活動保障等)分割細化,明確任務完成的時間和負責人,讓管理層實時了解任務進展情況,在任務推動困難時,可進行資源的調度。 策略管理:統一制定全網安全策略,下發給各相關部門進行配置落實;結合業務的變化、各部門反饋來的意見,不斷調整、優化安全策略。 報告報表:面對管理層和管理員需提供不同的安全報告,對安全事件綜合分析,把控全局安全狀況和安全態勢信息,提供不同層級的安全決策支持。 第三方安全服務協調機制 安全響應支撐服務
四、 安全人才隊伍培養
基于第三方安全廠商威脅監測的知識庫共享,監測全球安全事件和行業威脅,及時發現針對行業的安全事件,實時推送預警和防護方案,快速調整策略應對安全威脅,形成“行業威脅監測-風險主動預警-防護策略調優”處置鏈。
Context : 用戶身份、資產、脆弱性信息、行為信息、情報信息。
內部攻擊:數據防泄漏偵測、內部資產風險監測、內部人員違規等;
數據不僅僅為日志事件還要包括情境信息、業務信息,是安全分析的關鍵因子,要考慮數據多樣性、標準化、分類分級及共享機制,而數據自身的安全防控也不可缺少,這些問題的規避需要通過數據“可知、可用、可管、可控”做好預處理。
