用户工具

站点工具


service:techmag:201612_025:04

安全情报中心与红蓝军对抗演习

本文选自《交易技术前沿》第二十五期 (2016年12月)。

张嵩
华泰证券股份有限公司信息技术部信息安全总监,南京 210019
E-mail :Zhang_song@htsc.com

摘 要:本文分析了新的安全威胁环境,引用了权威报告介绍金融服务机构在发现和响应安全事件的时间统计。结合红蓝军对抗性演习的实践,提出理念转变的观点–要敢于、主动接受系统被入侵和数据泄露要么已经发生,要么迟早而且必然会发生。本文进一步介绍了,在转变理念后如何借助新兴技术威胁情报和安全情报中心,主动适应,从传统安全的重防御,逐步转变为建设“预测、防御、检测、应对和持续性监控与分析”的安全能力。
关键词:威胁情报;安全情报中心;适应性安全架构;红蓝军对抗演习

1 新的威胁环境下需要转变安全理念

1.1 新的威胁环境

       近两年,安全威胁的发展呈现出新的特征和形势,如“乌云”社区,持续增长黑色产业规模和全业务链条,行业软件与供应链安全问题,APT,内部犯罪和欺诈等。这些较以往更高级的威胁,也呈现出新的行为和技术特征,如广泛撒网搜寻、利用被攻陷主机,Exploit Kit的采用,“免杀”型木马,绕过和逃逸技术演变,社会工程的使用,攻击与电信诈骗配合,扫描器有效性局限,Webshell群魔乱舞,更不要说0-day漏洞的利用。在当前的威胁环境(threat landscape)下,防御措施本身不足以抵御坚定、持续的攻击者或高级威胁,一些组织准备不足甚至完全不具备对成功入侵和窃取数据的感知能力。

1.2 超越被动防御与假设攻陷的理念转变

       在新的威胁环境下,越来越重要的是组织敢于、主动接受,入侵和数据泄露要么已经发生,要么迟早而且必然会发生。根据权威报告Verizon《2015 Data Breach Investigation Report》收录的80000多起安全事件,其中2122起证实存在数据泄露,其中,金融服务行业, 43%的安全事件在几天到几周内发现,38%的事件需要数个月甚至更长的时间才能发现。63%的事件中,攻击者只需要花费几分钟甚至几秒钟就可以攻陷系统。新的威胁环境对网络安全体系提出了更高的要求:首先踏实做好、完善基础安全,然后,建立从海量的安全事件中快速发现真正有价值的攻击、攻陷和数据泄露事件的能力。组织应逐步着手持续性、多维度安全监控,感知攻击态势和检测攻陷,主动应对甚至猎寻(Threat Hunting)外部威胁,常态化调查与取证,加强组织与外部社区协同联动等。

2 威胁情报的概念与国内外趋势

       早在2013年,Gartner就提出威胁情报的完整定义,即“威胁情报是基于证据的知识,包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的,可为主体响应相关威胁或危险提供决策信息”。
       威胁情报近年来在美国企业安全市场得到了快速发展。据IT-Harvest估算,威胁情报市场将在2018年达到100亿人民币。其主要形式包括战术情报,运营情报和高级战略情报。从其应用领域来看,威胁情报已与下一代防火墙、威胁情报管理平台、WAF、SIEM充分结合。从行业来看,政府、金融、交通、能源、制造业、TMT、医疗等多行业均已大规模应用威胁情报,且通常采用两家以上的威胁情报。
       国内从2015年以来,威胁情报也成为安全产业中的热词,很多对安全高度重视的重点行业,如金融、信息技术与电信、能源等,不仅开始引入国内外的威胁情报数据,同时也开始尝试构建自己的威胁情报平台。同时,国内外也涌现很多应用威胁情报的公司,又可大致分为专注于威胁情报的服务提供商和将威胁情报融入自身防御和检测产品的安全厂商。前者以微步在线、ThreatConnect, ThreatQ, CrowdStrike, AlienVault为代表;后者以360, FireEye, CheckPoint, PaloAlto, Symantec为实践领先者。
       随着威胁情报应用逐渐走向成熟,其应用正呈现出平台化、行业性和共享的特点。行业特性使得威胁情报在行业内的共享具有重要作用,帮助同行业的不同企业相互协作,共同提升整体的安全环境。

3 安全情报中心架构与应用场景

3.1 Gartner适应性安全架构与情报中心的关系

       近年来,研究机构Gartner提出适应性安全架构理念,并认为是未来10大科技趋势之一。如图1所示,除了防御和响应的基础上,适应性安全架构还包括了预测、检测和持续监控,这三个领域的能力与情报中心的理念和定位比较契合,也可以是情报中心落地的主体功能。其中,如图2所示,持续性监控与分析应是情报中心的核心能力。

图1 Gartner适应性安全架构

图2 Gartner:持续监控与分析是落地适应性安全架构的核心

3.2 安全情报中心的情报组成

       从来源的角度,情报分为组织内、外两个部分,安全情报中心应涵盖收集、处理、集成和展示如下类型的情报:
       1)组织内部情报:

  • 资产情报:从攻击角度关心的IT资产,尤其是面向互联网的攻击面(Attack Surface),如域名、IP、端口、URI,开启服务、软件版本;
  • 内部漏洞情报:漏洞的生命周期信息;
  • 攻击告警情报:NGFW、IPS、WAF、终端安全软件上的告警;
  • 流量分析情报:全网络流量;
  • 日志分析情报:OS日志、Web与中间件访问日志、恶意软件在主机的行为;
  • 用户与实体行为情报:匹配某一个自定义策略产生的告警,如数据泄露监控、数据库审计、主机安全策略违反(如登录次数超限)、配置基线违反;Gartner在其最新的《Top 10 Strategic Technology Trends for 2017》报告中阐述适应性安全架构时强调了用户与实体行为分析,如图3所示。

       2)组织外部情报:

  • 漏洞通告情报:如厂商的漏洞,尤其是附带了优先级、影响分析、是否可以利用、利用方式、修复方式的漏洞情报,厂商安全通告;
  • 网络基本信息情报:如PDNS(被动DNS)、Whois历史数据、恶意软件及其行为库、子域名、指向同一域名的IP分析、数字证书等
  • 攻陷指标情报:IOC-Indicator of Compromise涉及C&C及黑客资产的域名与IP,恶意样本hash,Webshell特征;
  • 信誉情报:恶意IP、僵尸网络IP、TOR IP、匿名代理、地理信息、Spam IP、恶意手机号、恶意手机设备信息、扫描器IP、SQL注入IP;
  • 机器人(Bot)情报:如扫描器、爬虫、蠕虫;
  • 社区防御情报:某防御类设备厂商在客户端设备采集的信息、社区提交和共享的情报信息。

       还有一些类型的情报不易于机器读取,难被情报中心集成,可用于辅助分析:

  • TTP:特定黑客群体的特征;
  • 行业态势:行业内的安全新闻、分析;
  • 安全社区新闻:安全社区发生的新闻。

图3 Gartner:用户与实体行为分析

3.3 安全情报中心集成

       如上一节描述的,情报中心需要处理多种类型的情报,而各类情报的提供方式、载体、落地点又各异,情报的多样化给情报的集成造成诸多挑战,但也带来混搭的乐趣,在摸索和实践后有以下的发现和建议:

  • 安全情报中心能力可以解耦成几个单元:
    • 采集:漏洞与资产发现、流量监听、网络安全设备日志采集、主机日志采集、主机日志收集转发;
    • 处理分析:数据清洗ETL、实时处理分析与外部API调用;
    • 存储:源数据存储、分析结果存储(列式数据库);
    • 展示:模块化仪表板、BI工具集成;
    • 订阅信息查询:一般指情报厂商提供的信息门户。
  • 总体架构原则:情报中心的架构设计与建设,宜跨厂商和解决方案混搭,避免单一厂商产品的局限。
  • 采集:漏洞和资产的发现、动态展示、量化支持,是情报中心的重要能力;流量监听是十分重要但又容易被忽视的组成部分,流量分析可以用于监控打穿NGFW、WAF到达计算资源的攻击代码,也可以用于数据库审计等内部调查。
  • 处理分析:情报中心宜轻载,专注处理分析后交付分析结果,专注可视化和分析过程的便利。
  • 存储:日志分类存储,应综合成本、日志量、区别定位什么类型的日志,适合放在哪个平台的存储,而不是一味地存储在传统SIEM/SOC导致因性能瓶颈、收费模式、TCO过高等限制造成数据无法分析;要考虑海量日志的长期连续保存(如Web服务器访问日志),用于追溯历史事件;甚至进一步考虑海量日志在威胁情报更新后,处理分析单元可以被清洗并分析历史数据。可以考虑将SIEM定位成日志汇聚的部分。
  • 展示:情报中心的报表展示功能是关键考虑点,需要考虑使用专业BI对接存储分析结果的数据库。

3.4 威胁情报在初期的应用场景

       场景一:NGFW、WAF关联后的告警信息与漏洞信息联动
       通过将NGFW(或IPS)、WAF的告警通过情报中心关联,识别出高危的攻击源和被攻击资产;若情报中心具有漏洞信息(尤其是Credential Scan后的精准漏洞和资产信息),“打补丁”将变得很有针对性,明确从组织角度的优先级。
       场景二:持续性漏洞与攻击面运营管理
       传统漏洞扫描重检测,忽视攻击面分析、持续跟进、优先级管理、动态量化展示,安全人员往往无奈地“说不清楚”哪些资产、哪些漏洞。情报中心应具备对漏洞与攻击面的持续运营管理,并能动态量化度量每个IT责任组的漏洞修复的“贡献度”。
       场景三:网络IOC威胁情报用于实时攻陷检测
       网络IOC一般指黑客资产的域名和IP信息,通过监控组织的主机连接黑客资产,可以高置信水平地过滤出已经被攻陷的主机。IOC应用过程中,集中性地收集DNS请求、外联IP,是IOC情报落地的基本功和大前提。
       场景四:Web、中间件访问日志的大数据分析
       传统安全中,较少的组织会收集、分析Web服务器和中间件的访问日志。红蓝军对抗演习中发现,防守方的一种主要分析方法是识别打穿两层防火墙、到达主机的攻击代码,搜寻系统攻陷痕迹和线索,再进一步核实、应对和溯源。这就意味着,组织需要做好安全基础工作,收集面向互联网系统的Web访问日志。为溯源过去发生的系统攻陷和数据泄露,日志通常需要保存一年甚至更长,这就需要合理选择架构解决海量日志持续存储、控制TCO、当攻击攻陷特征更新后能够重新清洗历史数据的挑战。实践中,日志采集方式、成本优化的存储、基于大数据技术的数据清洗、列式数据库应用和集成商业化BI的展示宜解耦,分别由专业解决方案提供,最后再集成,交付对系统攻陷的快速检出能力。

3.5 情报中心落地的演进路线

       情报中心落地的演进路线,非常依赖于组织现有的IT和IT安全基础设施,如日志集中收集平台、流量监控平台、漏洞运营管理平台,演进路线因此比较灵活。新版本网络安全等级保护制度已在公开征求意见,在行业与标准起草专家组沟通中了解了国家标准的主要变化,分析后发现,“新等保”新增的漏洞和风险控制点,加强的入侵防范、集中管控和安全事件处置等领域,都为情报中心理念和实践的落地提供了国家层面的制度支持和方向性指导。从情报中心项目群(Program)建设和运营的视角,建议采用小版本迭代的方式推进,例如:

  • 0.1完善组织基础安全建设,也就是顶层规划组织的防御阵线和内部情报数据采集;
  • 1.0建立漏洞运营管理机制,打好漏洞、资产和攻击面分析的基础;
  • 2.0利用网络IOC快速检测系统、终端攻陷;利用Whois、域名、IP分析、恶意样本溯源攻击者;
  • 3.0集中收集网络安全攻击告警日志,关联分析,保护重点资产群,管理漏洞的优先级;
  • 4.0收集网络流量日志,分析打穿防护设备的攻击、攻陷,分析数据库访问;
  • 5.0收集主机Web、中间件访问日志,利用大数据技术分析当日打穿防护设备的攻击、攻陷;
  • 6.0收集主机操作系统日志、进程与关键文件hash,针对性分析系统攻陷的迹象;
  • 7.0结合信誉情报,分析特定高价值资产访问页面、特权用户远程访问、远程办公和邮件访问入口等场景,建立攻击者画像,识别撞库和利用窃取的帐号密码进行二次攻击;
  • 8.0结合App设备指纹技术,利用业务安全和风控的情报,如羊毛党特征、恶意手机号,保障面向客户系统的业务风控与安全;
  • 9.0 结合Endpoint Detection & Response技术的发展,分析恶意程序的行为特征等;
  • 10.0进一步集成分析和联动,如与外部社区联动、情报中心调用防护设备策略等。

4 红蓝军对抗演习

       为持续“适应”新的、不断变化威胁环境,不断提升安全运营人员的威胁应对的内功,增加组织对攻击者、攻击手段、黑色产业行为模式的感知,引入国内外大公司近年开展并逐步成熟的红蓝军对抗演习,需要被提到公司管理层、CISO、安全管理人员新的日程上来。鉴于篇幅,本文只抛砖引玉,演习编排、场景、红蓝方协同、演习对防御体系的指导和修正、行业性协作等实践经验将另撰文分享。

4.1 红军vs.蓝军

4.1.1 红军

       红军常指组织内部的安全运营人员,尤其是应对外部威胁、安全事件处理及应急响应的人员组成。一大挑战是,甲方组织一般人员有限,安全人员更多偏重于运维、合规和制度管理,极少有组织非常重视持续性威胁对抗并建立起自身的应对力量。实践中,红军一般由提供专业安全服务的公司提供技术专家和教练队伍,同甲方安全主管共同策划与编排演习,并在初期的演习中担当观察、应对、教练等作用。

4.1.2 蓝军

       蓝军是组织内或者组织合作的专注于“攻击”组织系统、IT基础设施和提供的IT服务的一只队伍。在军事活动中,早已有了特种部队中的特种部队之称,用于检验、提升传统的队伍,更好的适应实战。实践中,蓝军一般由第三方注册、实名认证、管理、监督和监控,集中参与测试的“白帽子”组成;一些比较大的公司,如微软、阿里,也已组织起了自身的蓝军。

4.2 演习的初期目标与发现

4.2.1 演习的目标

       在演习的初期,目标可以更多地侧重在对组织投入的设备、工具的有效性验证上,逐步可以过渡到软实力的验证和持续培养上,例如:

  • 验证NGFW、WAF的有效性,验证各类测试工具的有效性,为设备调优提供专业输入;
  • 从攻击者的角度发现切入点、存在隐患的资产和重大高风险漏洞;
  • 明确基础安全的范围和积累,如日志收集、流量采集;
  • 制定IOC和攻击、攻陷检测特征,预警防御设备的沦陷;
  • 摸索、成熟组织的事件管理、应急响应、威胁应对和Threat Hunting实践,锻炼追踪溯源能力;

4.2.2 演习的主要发现

       在演习初期,演习的主要发现往往是对假设的验证,但同时也会有意外的收获,例如:

  • 作为“防御”类控制, NGFW和WAF的“双墙组合”是合理和必要的,可在“网络防护层面”有效地降低攻击者的“攻击成本”,实质性降低追求效率的非坚定攻击者(如黑产)攻陷系统的几率;
  • 作为“预测”类控制,自主运营多扫描平台,精细管理攻击面,持续漏洞管理是必要的;
  • “没有不透风的墙”。组织往往会验证,就算是顶级的“双墙组合”是可以被打穿的,建立“持续性监控和分析”,威胁发现和应对能力是不容回避的。

参考文献

service/techmag/201612_025/04.txt · 最后更改: 2017/08/16 16:56 由 内部用户