淺談安全管理和態勢平臺關鍵能力建設要點

綠盟科技發表於2020-07-08

近年來,SOC、SIEM、態勢感知和安全運營平臺等網路安全熱詞成為企業安全建設的重點業務。與此同時,國家相關法規政策相繼出臺,對企業側應該建設的平臺提出了新的要求和目標,下表簡要列舉了部分相關法律法規對於態勢感知、安全管理平臺等的要求:

淺談安全管理和態勢平臺關鍵能力建設要點

隨著安全態勢感知平臺的興起,企業側建設的平臺既希望完成對安全事件的感知和理解,也期望能夠透過大資料、機器學習等技術加深對安全趨勢的預測,將態勢感知作為智慧安全運營的載體,透過服務、運維、裝置等串聯起來,使得企業的整個安全業務流程更加規範和有序。

一個能真正有效幫助客戶實現安全態勢的全面監控、安全威脅的實時預警、企業安全生命週期管理及安全自動化的應急響應、安全閉環管理的安全管理中心或態勢平臺需要具備哪些關鍵能力?

架構/部署的穩定性

此部分應考慮解決方案或平臺的體系結構及其模組部署方案和水平、垂直可伸縮性。方案或平臺架構需支援企業環境要求,從單一節點解決方案的小型企業到需要分散式N層複雜組織結構的集團性企業,未來也需要考慮雲交付和自主可控要求的部署方式。架構具備開放性,透過橫向擴充套件、穩定的技術架構適應企業多變高速發展的業務,支援更多安全領域,如資料安全、應用安全、終端安全等。

如隨著安全監測管理範圍的擴大,資料量的翻倍增長,需要一個具備大資料處理和計算能力的架構應對各種規模組織的資料量、時效性和多樣性儲存增長的變化;當資源不足以支撐業務運轉時,可新增新節點擴充套件叢集規模。隨著IT業務的變化和安全生態圈的建立,需要考慮與安全性或非安全性業務系統、平臺的整合、開放也變得尤為重要。

資料治理能力

資料治理能力是基於大資料平臺將流量、日誌、情報、脆弱性和資產等資料集中收集,並在平臺上做處理和分類,以支撐各類上層安全業務的開發。資料治理首先需要考慮資料採集、接入與預處理和資料儲存等能力,能正確或方便快捷的採集資料,從異構安全裝置的標準日誌、流量、NetFlow包、漏洞、外部資料。外部資料包括機器可讀的威脅情報(MRTI)或使用者、資產資料(AD或CMDB)等。

從本地的資料到雲端計算資料,從安全資料到非安全資料,從結構化資料到非結構資料,考慮採集管理,採集協議的適配,如syslog、FTP、TCP/UDP、SNMP、API等多種方式完成資料採集,覆蓋主動,被動採集方式,具備採集排程管理、執行管理和狀態監測。

收集到的資料可以以原始形式儲存,也可以正規化化、富化或上下文化等形式儲存,或以組合形式儲存,並提供壓縮功能,以最小化儲存,保證資料健全的同時完成資料管理生命週期,從具有不可抵賴性的資料來源的安全傳輸到具有每個事件和事件序列的保證完整性的安全儲存。考慮為日誌提供細粒度訪問控制(通常是RBAC)的功能,以及模糊化和匿名化特性以及提供多種保留策略的靈活性。

分析和情報能力

資料採集完成後,需要進行實時、多源、多維度的關聯分析,快速發現威脅,為了達到較高的精準度,多種分析方法可以並行執行,從簡單的模式匹配到複雜的、有監督或無監督的機器學習,從建模到圖譜分析等。分析能力也具備開放性,可理解和自定義、修改分析並重建新模型,靈活強大的分析能力不僅能覆蓋威脅檢測,還可發現異常行為、資料洩漏、欺詐等,並且能幹提供基於攻擊場景的分析研判,不止基於特徵監測,運用威脅情報,結合專家經驗構建基於場景的分析系統。

一些平臺將分析對映到7步攻擊鏈或MITRE ATT&CK框架,以更好的理解正在發生的威脅,有效的平臺一般會提供典型的安全分析場景。威脅情報對於降低大量事件和告警中的垃圾資料或降噪,幫助更快速高效地發現攻擊行為和攻擊者十分關鍵,威脅情報的質量也是平臺的關鍵能力,主要從四個方面判斷質量,相關性、及時性、精確性、決策性。威脅情報的獲取方式也是需要考慮的,外部威脅情報的訂閱和系統內部的威脅情報是當前比較常見的方式,隨著威脅情報源不斷豐富和不同廠商威脅情報的提供,平臺需要能有效的整合各廠商,各類威脅情報資料,可參考威脅情報的標準格式STIX。

響應和安全編排(行動和自動化)

企業在任何時刻都必須快速針對發現的威脅進行響應處置,圍繞威脅判斷的完整上下文,加速完成時間的響應封堵或隔離,改善整體的安全狀況。對於面臨海量安全事件處理的企業或組織,需要結合安全專家或安全運營的能力進行分配,對於複雜事件,會涉及到多個分析師或安全專家協助處置或研判,平臺應支援此種場景下正確的分配事件,透過更改事件的狀態(預配置或自定義)、說明和註釋等,將事件分配其它使用者,並可透過企業已有的IT工作臺或IT服務管理(OA、ITSM)系統的整合,與安全之外的業務單元互動。並將每個事件或案例中執行的所有操作步驟記錄並妥善保管,作為證據留存,保證每個事件的完整性和事件序列的完整性。

具備較強能力的平臺還會提供深入取證或威脅捕獲功能的介面方便企業根據上下文隨時採取措施。隨著能力的演進,平臺還應具備自動化的編排能力,從資料來源的收集、解析、完整用例,用於分析的規則和模型,以及響應和具備功能。

以上這些企業可隨時配置、管理和執行,最小化訪問、修改和部署的操作成本。多數平臺會內建案例和指令碼,企業最初依賴於平臺的內建內容,但也會透過更新、管理來豐富企業的案例和指令碼庫,為更好的滿足個性化業務要求。

取證和威脅狩獵

調查能力包括透過平臺或方案搜尋特定證據以調查事件、用於取證或支援威脅搜尋的能力。搜尋是基礎要求,可靈活的適配運營或安全專家的使用習慣,基於描述分類或固定分類進行搜尋,透過正規表示式或布林型或SQL語句等特定語言進行自由流動的搜尋查詢。能基於查詢條件快速響應,透過直觀視覺化的形式讓運營人員或安全專家能獲取有效資訊,並能在搜尋查詢過程中隨時進行案例配置操作。

使用者體驗和使用者介面

由於平臺或方案的複雜性,需要以提升企業各類角色的效率為目標,考慮使用者體驗,提供簡化操作管理,具備深入專業知識流和操作模型的同時,透過操作指導降低使用者成本。安全視覺化,視覺化資料和威脅的能力是平臺的另一個關鍵效能力要求,可以方便客戶瞭解企業自身資產安全情況,藉助多個視覺化圖表、圖形化識、資料表格化、安全評分、趨勢圖、柱狀圖、分佈圖等直觀圖形等形式,支撐宏觀的全域性可視,輔助決策,比如全網安安全態勢、全網風險監控大屏等,支撐微觀層面可視,簡化運維,支撐中層可視,可瞭解安全效能,安全度量執行情況等,從宏觀到微觀,橫、縱向可視視角。

安全管理制度與持續化的安全運營團隊

隨著複雜且快速的環境變化,在具備安全管理和態勢平臺的同時,也需要完善的資訊化運營及安全管理制度。2020年RSA大會上也提到了基於GQIM模型參考制定企業的安全度量各個階段內容。企業的安全度量指標是風險管理的基礎,以始為終,從業務安全為起點,細化安全度量指標並執行,明確制定業務安全目標,運營目標,考核指標,度量方式和度量細則,為更有效和完善的落地安全管理制度,企業需要考慮專業的安全運營和攻防團隊的建立,運營團隊完成7/24小時的事件分類管理處理、事件升級控制等實際事件閉環運營管理,攻防團隊會透過攻防演練的實戰對抗下,提升企業的整體的攻防能力,安全管理視野及方法論,工程化能力和業務影響範圍等。

體系化的安全管理制度和流程、專業的安全運營和攻防團隊是企業安全建設可持續監控運營的核心三要素。在實際的企業團隊建設中,很多企業的安全運營和攻防團隊都是考核引入安全廠商的人員力量,提升整個企業的安全攻防能力和實戰化能力。安全管理制度體系、安全團隊都是一個隨業務擴張和逐漸完善的過程,需要根據企業的安全建設階段和情況逐步調整。

在洞察網路安全態勢後,綠盟科技全面推進智慧安全2.0戰略,幫助企業安全建設升級,釋出以運營為中心,智慧化、全場景的統一安全管理平臺——綠盟智慧安全運營平臺(ISOP)。

綠盟智慧安全運營平臺(ISOP)是以資產為核心、風險為導向的安全運營解決方案,能夠透過多源異構的日誌資料、流量資料採集和大資料分析,利用場景關聯分析、機器學習、異常行為分析等先進技術,協助企業IT運維人員和安全分析人員快速發現資產面臨的威脅和脆弱性。並且以情報為驅動,針對企業IT資產情況進行全方位的監控和告警,協助使用者進行安全閉環管理。綠盟智慧安全運營平臺(ISOP)具備以下特性:

分層異構大資料自適應接入,降低各類日誌接入技術&人力成本

針對各種層出不窮的資料來源型別,綠盟科技提出了互動式日誌語義解析的實現思路,保證了多廠家、多層次資料免外掛、自動柔性接入,大幅降低後期各類資料接入的技術及人力成本。不僅可實時採集不同廠商的安全裝置、網路裝置、主機、作業系統以及各種應用系統產生的多源異構的日誌資訊,還使用大資料技術,在併發記憶體的內處理機制方面能夠帶來數倍於採用磁碟訪問方式的解決方案,藉助離線計算引擎在小時級別內,實現百億秒級查詢、百萬每秒資料接入分析。

綠盟智慧安全運營平臺(ISOP)採用高可擴充套件性的元件化架構,從底層為模組快速加入調整提供基礎,元件設計遵循高內聚、低耦合原則,對外介面穩定。架構分層上,水平和垂直拉伸擴充套件,越底層通用性越強,越上層業務性越強。同時也支援分散式叢集部署,級聯部署。

淺談安全管理和態勢平臺關鍵能力建設要點

安全資料智慧分析,完整覆盤整個攻擊過程,為安全事件的準確響應提供依據

面向不同安全業務場景,綠盟科技構建多種智慧安全分析引擎,包括多源資料關聯分析引擎、攻擊鏈分析引擎、安全態勢理解及推理引擎、威脅情報分析引擎、機器學習引擎、使用者行為分析引擎等。對攻擊行為、使用者異常行為進行獵捕和追溯,快速定位攻擊背後的黑手。

透過深度的網路會話關聯分析、資料包解碼分析、載荷內容還原分析、特徵分析和日誌分析,攻擊過程視覺化(攻擊特徵及高亮、流量上下文及會話日誌、情報命中及擴充套件調查、攻擊鏈模型、ATT&CK),對網路安全事件進行精準的定性分析,快速提取多維度的網路後設資料進行異常行為建模,為後續異常資料探勘、分析、取證建立扎實的基礎。

透過UEBA分析,完成賬號失陷檢測,主機失陷檢測,資料洩漏檢測,內部使用者濫用,提供事件調查的上下文。透過視覺化威脅狩獵能力,覆蓋IP、資產、MD5及URL的線索式狩獵能力,並內建攻擊者、攻擊路徑、攻擊目標、攻擊型別等。

淺談安全管理和態勢平臺關鍵能力建設要點淺談安全管理和態勢平臺關鍵能力建設要點淺談安全管理和態勢平臺關鍵能力建設要點

高效的情報關聯分析,縮短應對新生威脅時間

綠盟智慧安全運營平臺將本地告警資料、網路資產資料、漏洞資料與綠盟威脅情報資料按照多個維度進行關聯分析,實時感知資產的威脅和脆弱性,透過平臺安全規則的篩選和過濾最終形成漏斗效應,保證告警的更加精準和有效,並洞察新的威脅動向。

淺談安全管理和態勢平臺關鍵能力建設要點

自動化安全編排,提升運維效率,縮短響應時間

透過視覺化編排將人、安全技術、流程進行深度融合;透過Playbook劇本串並聯構建安全事件處置的工作流,自動化觸發不同安全裝置執行響應動作。基於對安全事件上下文有更全面、端到端的理解,有助於將複雜的事件響應過程和任務轉換為一致的、可重複的、可度量的和有效的工作流,變被動應急響應為自動化持續響應。透過高階分析和工單流轉系統,自動化分析威脅和響應處置,攻擊源頭一鍵秒封,提升客戶安全運營整體效率,縮短運維響應時間。

淺談安全管理和態勢平臺關鍵能力建設要點

威脅態勢感知全面呈現,三重視角,管理落地

綠盟智慧安全運營平臺態勢感知可以針對整體範圍或某一特定時間與環境進行因素理解與分析,最終形成歷史的整體態勢分析以及對未來短期的預測。透過綜合態勢、威脅態勢、運維響應、脆弱態勢和環境感知等態勢進行多維度分析,能夠洞察企業內部整體安全狀態,並透過量化的評判指標直觀的理解當前態勢情況,幫助高層管理者掌握企業全網安全狀況,幫助中層管理者落地安全管理和技術體系,幫助運維人員精準攻擊發現,減輕運維工作量,提高工作效率。

淺談安全管理和態勢平臺關鍵能力建設要點

融合安全運營服務,減輕安全運營負擔

綠盟科技此次將安全運營服務融入到智慧安全運營解決方案中,全運營服務是採用一體化整合的方式為企業提供端到端的服務。藉助這種新的服務模式,企業可以規避資訊保安建設專案人員、技術、流程和管理的風險,有效避免投資浪費。另外一方面,企業無需為安全運營投入大量精力進行規劃、設計、部署和運維,可大幅度降低安全運營帶來的負擔,使企業可以集中資源和精力再自有業務上創造價值。從部署角度,MDR支援雲端安全專家提供遠端服務,也支援本地安全專家提供駐場服務,或者兩者的組合,靈活方便,方便各種使用場景。

隨著“網際網路+”的全面推進,資訊科技在國家社會經濟建設中的應用也越來越廣泛,新型的網路安全威脅也更加突出,傳統以“防護”為主的安全體系將面臨極大挑戰。未來網路安全防禦體系將更加看重網路安全的監測和響應能力,充分利用網路全流量、大資料分析及預測技術,大幅提高安全事件監測預警和快速響應能力,應對大量未知安全威脅。

作為業務、場景和資料三驅動的自適應安全綜合管控平臺,綠盟智慧安全運營平臺(ISOP)將原本分散的各種安全資訊予以整合提煉,不但使運維效率大幅度的提高,而且使運維人員的安全分析視角在廣度和深度方面得到全面的突破,進而推動了以人為安全運營主體向以平臺為安全運營主體的安全運營思路進行躍變,可逐步降低運維人員在安全運營中的投入比重,最大程度的實現智慧化的安全自運營治理生態體系。

相關文章