2022RSA 大会已落下帷幕,其主题词 “Transform” 对当前国际安全局势进行了深度研判。在产业数字化快速推进的的大背景下,安全行业的转型也势在必行,突破传统的攻防双边关系,从更多维全面的视角考虑安全问题已经成为共识。
今年的议题涵盖范围广泛,在众多议题当中,安全架构和风险管理作为一个热门专题,仍然广受关注。其中网络防御矩阵经过数年演化,被广泛应用在安全厂商的领域分布、安全关键词分布、发现自动化机会、计算防御广度、可视化攻击面、CIS 关键安全控制映射等方面,将混乱分布的要素变得有序起来。Sounil Yu 提出的一个场景 “如何用网络防御矩阵进行 CIS 控制策略的优先级划分” 引起我们的关注。
网络防御矩阵的基本结构包括两个:横向上使用的是 NIST 网络安全框架定义的五个能力,分别为识别、保护、检测、响应、恢复;纵向上是网络安全五个主体,分别为设备、应用、网络、数据、用户。在矩阵之下还包括了一个水平抽,它描述了 NIST 网络安全框架五个能力对人、技术、流程的依赖程度,可以看到在识别、保护阶段更需要的是技术投入,而到了检测、响应、恢复阶段则越来越需要人的投入,流程的投入是贯穿整个过程的。本次 Sounil Yu 把 2021 年 5 月发布的 CIS V8 版本套入了网络防御矩阵,他将全部的 18 个网络防御组件及其相关的子项按照横向、纵向两个维度进行了划分,并结合 CIS 的实现优先级进行分组,从全局视角上清晰帮助决策者看到自身的网络安全应该先做什么,后做什么,对齐自身的现状后,将有限的资源投入最关键的防御点。
通过这个矩阵体系,混乱的点状防御被完整化、体系化、纵深化的表达出来,其对具体的防御点进行区域划分,帮助决策者在网络防御中一目了然地了解企业针对自身关注和具备的防御对象,在五个阶段分别应该采取哪些防御控制措施,从而有效精准的建设企业网络防御计划。 可以看到整个网络防御过程分为事前(识别、保护)和事后(检测、响应、恢复)两大阶段,以及设备、应用、网络、数据、用户五大防御对象,只有在人、技术、流程的高效协同配合下,才能有效落地整个网络防御矩阵的蓝图。
绿盟科技安全防御体系
与 Sounil Yu 的网络防御矩阵思想不谋而合的是,绿盟科技也一直致力于网络安全协同防御体系的建设和落地,并构建出绿盟科技纵深协同防御总体体系,与网络防御矩阵的防御对象划分思想类似,该体系划分为 5 层,包括物理层安全、网络层安全、系统层安全、应用层安全、数据层安全,具体如下:
物理层安全:物理隔离主要包括环境安全、设备安全及介质安全,其安全防护主要通过物理隔离来实现,但对于某些设备介质等的接入安全,需要通过终端安全的检测手段来确认其物理隔离的有效性。 网络层安全:由边界安全防护和终端安全补充通信链路、广域网络接入设备、无线基站设备、局域网交换设备的接入、传输及互联互通等,其安全的检测、分析、响应及防护等安全能力主要通过边界安全检测及防护设备来实现,在某些关键的交换节点,需要通过终端安全能力进行补充检测、精细化响应及防护。 系统层安全:终端安全主导各类操作系统及其所管理的逻辑计算资源、存储资源和网络资源等。其主要的安全检测、分析、响应及防护能力主要通过终端安全来保证。 应用层安全:WAF 和终端安全包括各类服务应用系统、业务应用系统、办公应用系统等,其安全的检测、分析、响应及防护能力主要通过应用安全(如 WAF)结合终端安全,来实现完整的应用环境感知、检 测、分析、响应及防护能力。 数据层安全:DLP、终端安全各类系统及业务应用系统涉及到环境数据、配置数据、用户数据、网络数据、业务数据等。其安全的检测、分析、响应及防护能力主要通过 DLP 数据安全防护系统和终端安全,来实现完整的数据环境感知、检测、分析、响应及防护能力。 该体系在 NIST 的识别、保护、检测、响应、恢复的基础上加入预测,并通过特征库、预案库、情报库等知识库,结合风险感知,将安全能力和安全知识协同结合在一起,完成事前的防御方案制定和优化,进而结合安全编排与自动化响应能力,协同企业人员、技术、流程,实现高效自动化响应。在整体效果上,该体系将多种防御措施结合使用,增加攻击难度,降低信息破坏/泄露可能性;设立多级风险检查点,阻止大多数恶意病毒及威胁的入侵;防御策略分明,利于管理员针对不同类型威胁进行策略部署及有效防御;充分发挥不同安全厂商的产品优势,协同防御。该架构原生具备几个特点:
自适应:基于端到端的威胁安全策略自适应智能决策,实现安全防护设备的自适应部署,以及安全策略的自适应下发执行。 协同:包括协同分析、协同共享、协同响应。协同分析是指设备间覆盖域协同分析、设备间策略协同分析、威胁和安全策略的分析(确定策略有效性、执行效率);协同共享是指通过中台化建设,实现体系化安全数据共享、安全能力协同共享、威胁分析协同共享(信息推送,情报推送,威胁分析结果协同共享推送);协同响应是指协同人、设备、流程等进行威胁事件的快速响应。
- 风险协同分析和推演
在 NIST 五个阶段中,识别和保护主要作用在事前阶段,如网络防御矩阵中所描述,这两个阶段主要需要进行状态信息收集、通过脆弱性评估发现弱点、基线化正常用户交互行为和实施风险管理。旨在防患于未然,针对自身企业的安全建设情况,提供有针对性的防御方案。而制定防御方案需要知己知彼,识别是第一步,明确自身需要保护的对象有哪些,从已有的攻击分析攻击对手及潜在的攻击对手,并结合这两部分,制定防御方案。防御包括需要布控哪些防御设备、设置哪些防御策略、配置哪些人员,以及需要对企业员工进行怎样的培训等,从为企业建立起全方位的保护屏障。
对于孤立的防御资源,如设备、人员等,绿盟科技提出关联分析框架,首先,分析安全防护资源的防护分布、防护范围、防护等级,形成安全防护分布拓扑。其次,关联全网威胁事件爆发的分布,确定威胁防御资源防护缺陷。最后,关联全网漏洞分布,确定资产脆弱性防护缺陷。基于分析结果,可以给出防御资源的部署优化建议。
除防御资源的部署优化建议外,安全策略的分析及优化也是存在的典型场景。我们从三个方面进行分析:第一,基于内置规则进行策略分析,分析类型支持合规分析、策略错漏分析、策略冗余分析、策略冲突分析、策略命中分析等;第二,基于设备间协同进行关联分析,包括设备间分层的策略冲突分析、冗余分析、缺失分析;第三,针对策略和威胁事件关联分析进行策略命中分析、策略无效分析、策略误报分析。在分析防御策略的问题后,支持通过绿盟科技安全能力和管控能力,实现策略的删除、修改及封堵/隔离 IP、端口等,完成安全策略的优化。
在感知风险的基础上,针对高级复杂攻击,我们提出了三域模型对攻击进行刻画,基于此可结合风险推演,做到事前防御和部署。该模型设定了攻击源域、攻击目标域、横向被攻击域,将零散和海量的安全事件通过实体对象进行关联,建立起孤立的一个个安全事件的内在联系,还原完整的攻击过程,并在此基础上进行风险范围的分析确认。除已经发生的事实外,还可以进一步进行情报推演、失陷推演、APT 推演等。情报推演是协同威胁情报、漏洞情报分析受影响的主机,失陷推演是基于被攻陷主机的被利用特征推演网络其他主机存在的风险,APT 推演是基于 APT 攻击极端推演下一步攻击手段,基于其手段推演可能影响的主机范围,基于 APT 攻陷的利用特征推演其他可能被攻陷的主机。在这些基础之上,进行战略级的组织人员部署、安全设备部署、重大风险预警。
- 自动化协同编排响应
在 NIST 五个阶段中,检测、响应、恢复三个阶段主要作用在事后阶段,如网络防御矩阵中所定义,这三个阶段主要需要进行事件和活动信息收集、发现脆弱性利用和探测的证据、超预期的状态或者行为改变时触发响应、实施事件管理。旨在精准快速通报事件并响应恢复,最大化的保证业务连续性。这个阶段主要基于已经部署的防御设备、自动化工具、安全人员、既定的防御方案或者流程快速对威胁进行研判分析,并协同处置。
安全编排与自动化响应(SOAR)在经过几年的发展后,已经逐步从一开始聚焦于 SIME 或者 SOC 检测威胁告警的自动化响应处置扩展到日常事务型、应急预案型等。SOAR 天生就具备了协同基因,其联动企业环境中既有的安全设备、网络设备、常见的防御辅助工具,以及建设的各种风险管理业务系统,特别的还有自身的运营人员和云端的安全专家,集众力解决传统安全防御过程中人工响应慢、沟通困难、依赖人员经验等存在的问题。而这些问题在云化发展日益成熟,以及国家级、企业级重保、演练日益频繁和常态化的背景下更加的突出。在以上背景下,绿盟科技及时推出了适用于日常事务型、应急预案型等运行模式的工作流引擎,支持定时、实时、周期、人工触发等多种触发器模式,以及人工介入的人工与自动化相结合的高效处理框架、融合 AI 对话机器人的协同作战室。
与网络防御矩阵描绘的一致,在识别、保护阶段更多的是技术工具的参与,而在检测、响应、恢复阶段越来越需要人的参与。在过去,我们更注重端到端的全流程自动化,但是在实践中我们也逐步意识到,威胁事件及日常运营的工作极其复杂,完全的自动化很难,局部自动化与人工结合的方式才是最佳实践。人、设备、流程的协同是 SOAR 的关键,传统的工作流引擎模式则是天生与人协同的,我们借鉴其思路,与既有的 SOAR 自动化引擎有机结合,在人工介入的节点上,将流程上下文等信息进行快照保存,而在人工介入反馈后,将快照状态进行恢复,继续流程的流转,有效解决了人工介入业务长周期特性带来自动化引擎资源空占、空跑的问题。在基础的人工介入节点上之上,绿盟科技创新性的引入了人工介入节点的自动化检查点机制,解决人工介入节点长周期特性下,运营人员无法判断当前人工任务的执行进度以及是否正常在推进,自动化检查节点通过在人工介入中埋点,可以根据设定的检查时间,自动化的执行一段检查流程,比如人工修复漏洞中,若发现有责任人在超过 1 天的情况下仍然没有修复,可二次发通知给责任人进行督促。
绿盟科技协作作战室通过统一的聊天室,以自然语言、机器指令等形式,完成运营人员之间、运营人员与客户之间、运营人员与设备原子能力之间的即时交互,打通人、工具、流程三者,构建高效协同能力。在作战室内,可直接调用设备联动、Sass 服务、剧本编排、安全指令等,进行调查、分析、处置、响应,实现多地多中心协同作战。同时,研判处置过程数据上线后可支撑事件复盘和攻击链路的信息协同共享。研判处置能力调度原子化、关联事件便捷合并会诊、不同事件沟通隔离化避免互相干扰。自动化和人工会诊无缝衔接,最终提升整个运营过程的智能化和效率提升。
在当前数字化经济转型的时代潮流中,网络安全不再是过去简单的堆叠安全设备所能解决的,不管是云化战略的驱动还是疫情下人们工作生活模式的转变,都要求网络防御也必须进行转型。在网络防御矩阵设计的指导下,一方面从用户、设备、网络、应用、数据等层面进行风险感知和推演,另一方面从识别、保护、检测、响应、恢复全生命周期进行多方协同,包括人、技术、流程等,通过各种自动化工具和平台,将人、技术、流程有机的融入到各个阶段、各个防御对象中去,发挥各自的优势。相信在越来越完善、越来越主动性的网络防御方案牵引下,我们能够更快更好的解决企业、国家面临的安全威胁。