“把网络安全当作一个战场,攻方可以在任意时间和地点,利用任意漏洞发起攻击;守方必需全时全网防护,很难用一个固定的产品实现全数据的监测。安全只能反映某个时间点攻防力量的暂时状态,终极安全结果很难达到。而只要保证过程持续安全,则结果更加趋向安全。”在第五届可视化网络安全技术论坛暨SIIP过程安全架构发布会上,安博通CEO苏长君谈到。
如今,网络攻击者正变得善于规避安全解决方案,攻击质量提升,而在指挥和控制方面变得更加隐秘,通用类的安全监测很难察觉。同时,应用层、协议级的攻击正在成为主要威胁,攻击者可以发起多维的向量攻击。调查显示,在DDoS保护服务遇到的攻击中有86%以上使用了两个或多个威胁媒介,其中8%包含五个或多个媒介。
云计算、AI、物联网等技术的兴起,网络威胁的方式也变得逐渐多元化,从钓鱼邮件到撞库攻击,再到DDoS、网络爬虫,被攻击和如何防护是一个网络安全行业的长期命题。随着技术的发展,勒索软件攻击在20多年间呈在指数级上升的同时也在不断演化,并在近年间逐渐体现危害,通过加密企业宝贵的数字资产来获得利益,许多受到攻击的公司都付出了惨重的代价。
对于金融行业来说,安全防护和风险管理就更为关键。在东方证券信息安全执行总监邬晓磊看来,金融系统所包含的信息维度众多、数据种类复杂、维护成本高是资产威胁管理中的难题所在。为此,东方证券构建了高价值的CMDB(配置管理数据库)进行多平台的信息融合,把这些信息通过数据接口的方式交叉比对、使用,以自主开发和合作开发的模式形成一系列自动化的操作。在安全性方面,打通内外部信息源的API,将漏洞信息关联到资产摸清背后的联系以加强防护。
例如在CMDB数据关联后,会根据评估结果对具体信息进行打分,根据结果和规则发送邮件或者发送工单到系统和设备的负责人,实现漏洞持续监测。再如设备上线过程中的安全状态监测,根据设备和状态信息进行自动检查,如果发现补丁没有安装,或者有安全的Agent没有安装,会通过工单和邮件的方式发送给上线单负责的人由其,直到状态达到上线要求,之后流程继续,设备会进入资产库CMDB库,后者会同步到堡垒主机系统,这个时候运维人员可以申请相应权限,整个过程自动化处理,不需要人干预。
苏长君表示:“网络安全并不是一种或者多种有形的硬件或者软件的成果,并不是我们买了硬件和软件就可以保证安全,而我们认为安全其实是一种无形的柔性的能力,这种能力需要融入到网络中任何系统,让这些数据之间跨平台流动起来,这样保证持续优化,包括组件之间关联和协同,我们认为是一种能力。”
2019年,中信银行启动全行网络访问控制策略智能化管理平台的策略,目前已经基本建设完毕投产,支撑了全行集约化运维工作的顺利开展。至此,实现了网络访问控制的端到端配置自动化生成,有效降低了管理员工作量,提升了变更步骤的准确性和网络访问准确效率,可以基本实现T+1,对总分行进行网络访问控制开通的交付。同时,还实现了网络访问控制策略的一体化和全项目周期的管理,做到同一套标准和规范统一运维,确保后续的合规管理顺利开展,提升了全行网络运维安全保障能力。中信银行网络架构师王一凡称,全行集约化运维带来一点很大的价值,就是分行科技人员在进行转型,慢慢参加到一些业务当中,形成了业务和科技双轮驱动的模式。
平安集团信息安全部银河实验室 蓝军(猎鹰)团队负责人“高小厨”所负责的团队,支撑了整个集团及平安集团旗下的各个子公司红蓝对抗的工作。安全蓝军所做的工作更偏向在漏洞利用和深入的过程中发现安全管理、安全运营、APT、架构的一系列问题,涉及的技术栈包括与安全运营对抗、与安全设备对抗,Oday漏洞瓦解,漏洞利用,工程化的能力,包括持久化,还有木马技术等。“安全蓝军可以检验安全运营的发现率和阻断率,发现问题进行整改,完善ATT、CK矩阵中的薄弱项。这个过程其实是一个对抗升级的过程。”高小厨说。
国融证券数据中心基础架构、网络安全团队负责人欧林升则认为,对于大部分中小金融企业,普遍存在费用、人力等资源不足的问题,安全建设的重点首先还是满足监管合规要求。以可以帮助企业实现监管合规要求的解决方案或工具为切入点,循序渐进推动完善企业网络安全体系化建设。
可以看到,无论是技术赋能于安全体系的防护,还是安全网络和信息化系统的体系化建设,过程安全都至关重要。经过自身的经验总结与实践,安博通提出SIIP(Security is in Process)过程安全架构。强调:网络安全是一种过程,而不是一个结果。从2011年洛克西德马丁公司提出的网络入侵杀伤链模型,到2014年、2017年Gartner先后提出的资讯安全架构和持续持续自适应风险与信任评估战略方法,都强调了过程安全的重要性。
SIIP基于大数据与AI能力,深度融合了网络安全基础架构建模、脆弱性评估与分析、高级威胁检测技术,构建了可视化的网络安全风险评估态势监测和响应处置的模型,实现了资产、业务、网络结构、安全控制、脆弱性以及入侵事件等要素的关联分析,能够对网络攻击面进行精确的评估,可以为客户提供更高的网络安全可建性,从而帮助使用者看清网络攻击面,并及时准确的发现网络攻击行为与过程。
SIIP过程安全架构
同时,该架构还可以根据预设的剧本和不同的分类优先级提供个性化的响应处置能力,从而提高安全管理的工作效率,避免使用者陷入网络安全疲劳的状态,并且提供系统化与自动化的网络安全运维工作流,将网络安全防御工作融入到日常的网络运维工作中,使网络安全工作可以做到常备不懈。
此外,过程安全架构面向用户业务视角,按照安全防御体系的事前、事中、事后三个阶段提供了闭环的网络安全管理界面与处置能力:事前实现网络攻击面的风险评估,优化漏洞的处置排序以及收敛网络攻击面;事中提供高精度的用心检测能力与自动化的响应能力;事后提供安全事件数据挖掘和回溯分析能力。
整体而言,SIIP实现了网络攻击面计算、风险排序、攻击面收敛,在攻防对抗中可以极大提高攻击门槛。具体来看,SIIP在检测环节可通过三种方式提升检测精度,包括主机侧与网络侧的检测结果相关联分析、机器学习和深度学习的算法,以及引入威胁情报。之后,根据检测的结果的知信度以及事件的属性进行分类,并且自动化调用不同的处置方式。在事件处置时,对于知信度高且处置方式明确的事件或者紧急程度高的事件,进行网络侧或者主机侧的安全策略自动下发。对于其他类型的事件调用人工处置流程,提供相应的分析数据和分析工具。
安博通副总裁薛洪亮介绍称,SIIP主要有三个特点,首先是实现了安全架构与安全要素的结合,基于网络安全基础架构建模和对逻辑连接以及安全控制连接关系的客观描述,进一步实现了资产、应用、业务、脆弱性与入侵事件等要素的关联分析,安全要素的位置与访问关系实现清晰可见,使得暴露风险评估、入侵检测响应、网络攻击溯源、事件调查处置等安全业务变得更加精确。
攻击面分析与收敛
其次,实现了风险分析与检测响应相结合,即网络攻击面的量化评估,提供了网络攻击面自动化收敛的手段,有效提升了网络攻击门槛。在此基础之上,又可进行多维度的攻击检测、关联分析,将被动检测上升为主动的部署,从而做到知己知彼,提升网络安全防御体系的整体水平。
此外,实现了网络安全与网络运维相结合,一方面做到网络安全业务事前防御优化,事中检测响应,事后恢复分析的全流程闭环,自动化的应急处置,有效提升网络攻击防御体系的效果与效率。另一方面,提供了多种网络安全运维应用,包括安全策略全流程变更自动化,主机资产与脆弱性的自动盘点,可视化的逻辑拓扑与安全拓扑的管理、网络故障的排查和优化等,使得网络安全业务与网络运维业务实现了相互调用和相互促进。
安全监控与响应
安全策略自动化运维
据了解,过程安全架构是一个标准开放的架构,不仅可以依托于安博通自有能力完成相应的业务流程,还支持通过Syslog、SNMP、Telnet/SSH、APICClog和SSP和API方式对接第三方的安全检测能力、防御能力,或者是SOC系统。通过这种对接,可以进一步提升安全检测的精度和广度,提升调查处置的能力和效率,帮助用户构建高可建性、高精度、高效率、高自动化的网络安全防御体系。
“过程安全对网络安全防御体系提出了更高要求。具体表现为需要具备更高的安全可见性、更强大的自动化处置能力,及更严谨的安全运维流程。它是一种安全理念或一种安全框架,同时是一种可落地且可演进的网络安全解决方案。”薛洪亮表示。
