本站使用 Cookies,继续浏览表示您同意我们使用 Cookies。 Cookies 和隐私政策

  • 2020-08-19

态势感知,让网络安全更可控

深信服科技股份有限公司金融事业部技术总监  岳衍

近年来,网络安全受到了越来越多的关注和重视。随着云计算、大数据、物联网等新型基础设施建设加速推进,网络的规模逐渐扩大,网络的结构、应用变得更加复杂,网络安全问题更加值得关注。“网络安全态势感知”作为网络安全主动防御的新技术,越来越受到业界的关注和认可。态势感知在许多国家被提升到了战略高度,政府、监管机构、企业等相继开始建设和积极应用态势感知系统。2016年,我国提出了“全天候全方位感知网络安全态势”的基本要求。今年,人民银行发文要求地方性银行业机构和非银行支付机构接入“金融行业态势感知与信息共享平台”,通过统一监管及安全赋能,提升金融机构应对威胁风险的能力。

态势感知,新一代防御体系的核心

随着IT基础架构大量引入云计算、移动计算等新兴技术,内外网络物理边界日趋模糊。从金融行业来看,开放银行的发展模式会推动这种趋势加速发展,传统边界防御措施面临失效挑战。为解决这些问题,“零信任”架构应运而生,首创者John Kindervag指出,以往可信的内部网络现在充满威胁,提倡从网络中心走向身份中心,在零信任网络中,通过实现对人、设备、系统、应用的自适应访问控制构建安全系统。零信任要求通过“态势感知”和强大的漏洞事件管理能力,将安全性构建到IT架构中,因此态势感知成为新一代防御体系的技术核心。

态势感知是以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析、响应处置能力的一种方式,最终是为了决策与行动,是安全能力的落地。安全态势感知系统是安全防护的大脑,可以更好地加强纵深防御,通过建设主动防御、持续监测、应急响应、溯源取证、风险预警等安全能力,最终实现安全运营等闭环管理。

态势感知的核心技术分为“态势”和“感知”两部分。态势是指,首先要了解所有的情况,这样才能帮助决策。网络安全态势感知过程可以分为以下四个过程。

数据采集:通过各种检测工具,对各种影响系统安全性的要素进行检测采集获取,这一步是态势感知的前提。

态势理解:对各种网络安全要素进行分类、归并、关联分析并进行处理融合,对融合的信息进行综合分析,得出网络的整体安全状况,这一步是态势感知基础。

态势评估:定性、定量分析当前网络的安全状态和薄弱环节,并给出相应的应对措施,这一步是态势感知的核心。

态势预测:通过态势评估输出的数据,预测网络安全状况的发展趋势,这一步是态势感知的目标。

最后,根据评估结果联动或人工进行威胁处置,形成安全闭环,此过程也称为态势感知1.0。以安全大数据为基础,从全局视角提升对安全威胁的发现识别、理解分析和响应处置,有了可视化的安全态势感知,各种威胁及风险可以变得一目了然,通过提前预警,做到防患于未然。

态势感知2.0,更好感知安全态势


目前在国内,传统安全厂商以日志、流量、沙箱为主构建态势感知,特点是组件较全面,缺点是没有优势组件;大数据平台厂商是以日志收集和分析为主,其他组件较弱或没有;小部分厂商以沙箱或者威胁情报为主,在态势感知领域中有明显短板。深信服的安全感知平台组件比较全面,以流量分析为主,再加上元数据、日志、沙箱、威胁情报等功能组件,采用机器学习模式,针对APT全攻击链中的每个步骤,渗透、驻点、提权、侦查、外发等各个阶段进行检测,建立文件异常、Mail异常、C&C异常检测、流量异常、日志关联、Web异常检测、隐蔽通道等检测模型并关联检测出高级威胁。

近两年,深信服在态势感知上扎扎实实做了几件事:第一,采用传统规则和机器学习互相融合的方式,通过DPI和DFI相互结合的核心技术,把流量检测能力做到了业界先进水平。用AI来提高检测算法的精度和应变能力,构建了包含攻防专家、数据科学家和安全分析师在内的三位一体架构,攻防专家负责安全问题的定义,数据科学家负责把问题转换成AI模型,安全分析师负责训练AI模型进行优化,三者互相配合,使得AI能够不停地迭代进化,保持对最新威胁和黑客常见攻击手法的检测能力。比如在僵尸网络检测任务的对比训练里,深信服的AI已经把检测的准确度提升到99.7%,内网穿透检测水平也相当精准。第二,结合入侵分析的钻石模型,通过保护对象来进行态势感知。钻石模型最简表述:对手借助基础设施针对受害者部署能力。除了攻击链覆盖手法以外,以资产和保护对象为中心,进行防守和态势感知,即围绕资产展开,将整个被保护系统中所需保护的资产和对象进行体系化的识别和科学建模,围绕资产行为进行异常检测。第三,深信服本身拥有全方位的安全产品体系,态势感知不只是产品更是解决方案,与其他产品相互结合,以点带面进行突破,发挥更大作用。

凭借多年金融行业实践经验,深信服发布的态势感知2.0,从概念上更为清晰,吸收PPDR5安全模型,借鉴Gartner自适应安全防御理念,在获取、理解、评估和预测的基础上,增加了行动环节,使整个态势感知2.0更为完整,更好地支撑安全运营领域的应用。

态势感知2.0通过在网络、中间件、主机等设备上部署探针和日志收集程序,获取基础设施、安全设施、网络和应用系统等相关的日志信息。将获取到的信息使用大数据技术存储到大数据日志平台,同时将资产信息、安全扫描结果、威胁情报等信息一并存储到大数据平台,利用规则引擎和智能分析模型对数据进行统计、分析和挖掘,结合历史的基线数据与分析结果一起输出给到Dashboard图和风险态势视图,运营人员通过监控告警或预测信息,即可全面了解安全风险,识别到安全风险后即可生成工作流任务工单,按照企业事件管理流程,协调各责任方进行快速处置。在处置过程中,可通过软件定义安全平台与安全设备、系统或安全管理平台进行联动,自动下发拦截和阻断策略。

深信服安全感知平台上分析和预测的结果可以按要求生成合规报告,也可以通过第三方接口输出给行业共享与系统对接,让整个安全感知平台服务于更多的行业和应用场景。

金融行业“态势感知”建设路线


金融机构建设态势感知系统,首先要明确建设的目标和范围,梳理清晰需要监测与防护的最关键的业务资产,然后应用合适的技术获取完整的安全数据,再结合态势感知系统平台以及大数据威胁情报,分析数据、发现威胁和异常,合理运用安全服务来落地安全能力。态势感知系统,旨在实现“安全集成、智能分析、态势感知、协同处置、运营可视”五大目标。

大型金融机构在原有大数据平台除了对日志进行收集分析外还进行大量其他来源数据收集和对接,如流量、威胁情报等,投入开发和安全人员进行模型抽取和模型匹配,通过人工和AI技术进行威胁分析,以工单或其他方式通知安全运维团队进行处置,已经形成初代SOC规模,建立了较为完整的安全运营中心。因为他们的开发和安全人员较为齐全,通过大量资金和时间来进行威胁分析和闭环处置,联合其他团队分析整个内外部安全威胁,已具备初代SOC雏形,为金融机构探索出一条通往安全运营中心的可行路线。

中大型金融机构使用安全平台部分开源软件进行开发,先进行安全设备日志、流量收集,配合安全平台自身模型进行威胁分析,同时配合安全运维团队进行处置;部分用户使用流量分析先了解内部安全问题,再根据自身人员和业务发展情况选择合适时间建立SIEM平台,逐步通过日志和流量结合完善安全模型。中大型用户要根据自身业务情况选择合适的工具或模块建立态势感知平台,不要盲目投入SIEM平台,以免达到反面的效果。

中小型金融机构因其人员和资金限制,需求直接定义为能够发现问题、实现安全设备联动、减少人工投入、能够辅助分析安全威胁的工具,该种需求基本定义为以流量分析为主平台,再根据其自身情况选择是否投入SIEM平台。简单有效是主要选择,而流量分析是最直接也是有效的安全威胁分析方式,但因其自身特点,中小用户走向安全运营中心的路还很长。

“态势感知”不仅可以赋能金融机构建立防御体系,还可以赋能监管部门实现检测通报预警能力。未来,随着态势感知系统更加广泛的应用,或将成为金融行业安全防护的“大脑”,为金融机构更好地加强纵深防御,实现主动防御、持续检测、应急响应、溯源取证、风险预警等安全能力,为保障网络信息安全发挥出更大效能。我们也将继续跟紧金融行业发展动向,围绕网络安全的重点领域深入研究,积极助力金融行业网络安全体系建设。