《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 基于數(shù)據(jù)驅(qū)動(dòng)的工業(yè)信息安全防護(hù)

基于數(shù)據(jù)驅(qū)動(dòng)的工業(yè)信息安全防護(hù)

2018-08-16
關(guān)鍵詞: 企業(yè)安全 360 信息安全

  近年來,,工業(yè)信息安全工作越來越受到政府、工業(yè)用戶,、科研機(jī)構(gòu)和工控系統(tǒng)廠商的重視,。工業(yè)信息安全廠商為滿足客戶合規(guī)性和現(xiàn)實(shí)中面對(duì)安全風(fēng)險(xiǎn)的需要,開發(fā)了專門針對(duì)工業(yè)控制系統(tǒng)的專用安全產(chǎn)品和安全解決方案,。這些產(chǎn)品和解決方案的設(shè)計(jì)理念大多基于IT信息安全行業(yè)傳統(tǒng)的防護(hù)思想,,雖然對(duì)解決目前迫切的工業(yè)安全防護(hù)需求有很大的幫助,但當(dāng)面對(duì)有其它國(guó)家政府或大型組織背景,,使用APT攻擊或0-day漏洞攻擊的威脅,,常常不能提供充分、有效的防護(hù),。

  經(jīng)過多年的發(fā)展,,IT信息安全領(lǐng)域的專家已經(jīng)深刻認(rèn)識(shí)到,只依靠傳統(tǒng)的基于防火墻,、防病毒軟件,、IDS等產(chǎn)品的安全解決方案不能有效應(yīng)對(duì)越來越嚴(yán)重的信息安全威脅,。IT信息安全領(lǐng)域近年來正在發(fā)生重大而深刻的變革,新的理念,、新的方法,、新的產(chǎn)品不斷涌現(xiàn)。信息安全從業(yè)者嘗試基于積極防御,、威脅情報(bào),、態(tài)勢(shì)感知、數(shù)據(jù)驅(qū)動(dòng)安全,、安全可視化等理念,,使用大數(shù)據(jù)、人工智能等新技術(shù)解決信息安全問題,,并取得了良好的效果,。國(guó)家關(guān)鍵信息基礎(chǔ)設(shè)施用戶面對(duì)的信息安全威脅常常不是僅有少量資源的“小黑客”,而是儲(chǔ)備大量0-day漏洞,,并具有將其“武器化”能力的敵對(duì)政府和組織,。對(duì)這些設(shè)施的安全防護(hù)方案需要借鑒IT信息安全領(lǐng)域最新的安全理念和成果,才能滿足安全需求,。

  與此同時(shí),,工業(yè)信息安全需要特別強(qiáng)調(diào)與工控系統(tǒng)可靠性、功能安全性等特性的平衡與統(tǒng)一,,即R可靠性(Reliability),、A可用性(Availability)、M可維修性(Maintainability),、S安全性(Safety,、Security)協(xié)調(diào)發(fā)展。IT信息安全領(lǐng)域的理念和方法不能不加選擇地照搬,。本文嘗試將IT信息安全領(lǐng)域已取得共識(shí)的,,適合工業(yè)信息安全領(lǐng)域使用的一些理念和方法引入工業(yè)信息安全領(lǐng)域,希望能對(duì)行業(yè)從業(yè)者提供一點(diǎn)參考和借鑒,。

  1 數(shù)據(jù)驅(qū)動(dòng)安全

  2011年5月,,全球知名咨詢公司麥肯錫(Mckinsey)發(fā)布了《大數(shù)據(jù):創(chuàng)新、競(jìng)爭(zhēng)和生產(chǎn)力的下一個(gè)前沿領(lǐng)域》報(bào)告,,首次提出“大數(shù)據(jù)”的概念,,并在報(bào)告中指出:“大數(shù)據(jù)已經(jīng)滲透到每一個(gè)行業(yè),逐漸成為重要的生產(chǎn)要素,,而人們對(duì)于海量數(shù)據(jù)的運(yùn)用將預(yù)示著新一波生產(chǎn)率的增長(zhǎng)和消費(fèi)者盈余浪潮的到來,?!薄皵?shù)據(jù)不是對(duì)數(shù)據(jù)量大小的描述,,而是對(duì)各種數(shù)據(jù)進(jìn)行快速地攫取,、處理和整理的過程。通過對(duì)海量數(shù)據(jù)的整理和分析,,從而挖掘出新知識(shí),,創(chuàng)造新價(jià)值?!?/p>

  大數(shù)據(jù)時(shí)代的到來,, 為企業(yè)帶來了新的安全問題,同時(shí)也為企業(yè)安全提供了新的技術(shù)手段,。Gartner副總裁,、知名分析師、Gartner榮譽(yù)研究員Neil MacDonald表示:“信息安全團(tuán)隊(duì)和基礎(chǔ)設(shè)施必須適應(yīng),,以支持新興的數(shù)字業(yè)務(wù)需求,,同時(shí)應(yīng)對(duì)日益先進(jìn)、嚴(yán)峻的威脅形勢(shì),。安全和風(fēng)險(xiǎn)負(fù)責(zé)人如果要定義,、實(shí)現(xiàn)和維持有效的安全和風(fēng)險(xiǎn)管理項(xiàng)目,他們需要全面了解最新的技術(shù)趨勢(shì),,同時(shí)實(shí)現(xiàn)數(shù)字業(yè)務(wù)機(jī)會(huì)并管理風(fēng)險(xiǎn),。”

  大數(shù)據(jù)處理的理念和技術(shù)對(duì)以積極防御為平臺(tái)的威脅情報(bào)收集和應(yīng)用,,并進(jìn)一步的工業(yè)態(tài)勢(shì)感知,,具有基礎(chǔ)性作用。

  2 積極防御

  為了實(shí)現(xiàn)持續(xù)的工業(yè)安全風(fēng)險(xiǎn)管理目標(biāo),,企業(yè)需要建立能夠隨著時(shí)間不斷演進(jìn)的安全架構(gòu)和技術(shù)支撐體系,。這會(huì)讓企業(yè)在面對(duì)威脅和挑戰(zhàn)時(shí)不斷完善自身防御體系以及強(qiáng)化防御“姿態(tài)”。

  SANS研究所的Robert M. Lee提出了一個(gè)動(dòng)態(tài)安全模型——網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型,。該標(biāo)尺模型共包含五大類別,,分別為架構(gòu)安全(Architecture)、被動(dòng)防御(Passive Defense),、積極防御,、情報(bào)(Intelligence)和進(jìn)攻(Offense)。這五大類別之間具有連續(xù)性關(guān)系,,并有效展示了防御逐步提升的理念,。

11509900573792774.jpg

  圖1 網(wǎng)絡(luò)安全滑動(dòng)標(biāo)尺模型

  (1)架構(gòu)安全:在系統(tǒng)規(guī)劃,、建立和維護(hù)的過程中充分考慮安全防護(hù),。

  (2)被動(dòng)防御:在無人員介入的情況下,,附加在系統(tǒng)架構(gòu)之上可提供持續(xù)的威脅防御或威脅洞察力的系統(tǒng),。

 ?。?)積極防御:分析人員對(duì)處于所防御網(wǎng)絡(luò)內(nèi)的威脅進(jìn)行監(jiān)控、響應(yīng),、學(xué)習(xí)(經(jīng)驗(yàn))和應(yīng)用知識(shí)(理解)的過程,。

  (4)情報(bào):收集數(shù)據(jù),,將數(shù)據(jù)轉(zhuǎn)換為信息,,并將信息生產(chǎn)加工為評(píng)估結(jié)果以填補(bǔ)已知知識(shí)缺口的過程。

 ?。?)進(jìn)攻:在友好網(wǎng)絡(luò)之外對(duì)攻擊者采取的直接行動(dòng)(按照國(guó)內(nèi)網(wǎng)絡(luò)安全法要求,,對(duì)于企業(yè)來說主要是通過法律手段對(duì)攻擊者進(jìn)行反擊)。

  現(xiàn)階段大多數(shù)工業(yè)企業(yè)的工業(yè)信息安全工作都聚焦于“架構(gòu)安全”和“被動(dòng)防御”,,對(duì)“積極防御”和“情報(bào)”則涉及較少,,因此在設(shè)計(jì)工業(yè)安全防護(hù)方案時(shí)應(yīng)該聚焦于回顧“架構(gòu)安全”補(bǔ)強(qiáng)“被動(dòng)防御”,重點(diǎn)發(fā)展“積極防御”和“情報(bào)驅(qū)動(dòng)”,,以有效提高企業(yè)的信息安全防護(hù)能力,。

  在進(jìn)行“被動(dòng)防御”改進(jìn)與“積極防御”進(jìn)階時(shí),Gartner的自適應(yīng)安全架構(gòu),,則可作為較好的參考,。

21509900586787481.jpg

  圖2 自適應(yīng)安全架構(gòu)

  自適應(yīng)安全架構(gòu)將持續(xù)的監(jiān)控和分析過程分為:預(yù)防預(yù)測(cè)、阻止與防護(hù),、檢測(cè)與監(jiān)控,、響應(yīng)與調(diào)查四個(gè)主要環(huán)節(jié),每個(gè)環(huán)節(jié)中包含多個(gè)監(jiān)控和分析方法,。而支撐這些監(jiān)控和分析方法的是企業(yè)或組織內(nèi)部的各層數(shù)據(jù)和威脅情報(bào),。

  3 威脅情報(bào)

  依據(jù)美國(guó)國(guó)家安全系統(tǒng)委員會(huì)(CNSS)提供的定義,在網(wǎng)絡(luò)安全領(lǐng)域的態(tài)勢(shì)感知是指:在一定的時(shí)間和空間范圍內(nèi),,對(duì)組織的安全狀態(tài)以及威脅環(huán)境的感知,,理解這兩者的含義以及意味的風(fēng)險(xiǎn),并對(duì)它們未來的狀態(tài)進(jìn)行預(yù)測(cè),。

  這里面我們可以解讀出兩種含義:

 ?。?)態(tài)勢(shì)感知需要掌握組織內(nèi)部的安全狀態(tài),以及相關(guān)的外部威脅環(huán)境數(shù)據(jù),。掌握組織內(nèi)部的安全狀態(tài)主要依賴主動(dòng)防御措施,,采用數(shù)據(jù)驅(qū)動(dòng)的持續(xù)監(jiān)控方案,而相關(guān)的外部威脅環(huán)境數(shù)據(jù),,就是指威脅情報(bào),。

  (2)態(tài)勢(shì)感知的目的是深入理解當(dāng)前的風(fēng)險(xiǎn),并可以對(duì)未來的風(fēng)險(xiǎn)進(jìn)行預(yù)測(cè),、預(yù)防,。試想下面一種情況:內(nèi)部發(fā)現(xiàn)有一臺(tái)終端被黑客的木馬控制,單純這一個(gè)事件并不能讓我們對(duì)其風(fēng)險(xiǎn)有深入了解,,如果我們通過威脅情報(bào)判定黑客的攻擊目地,就可以對(duì)風(fēng)險(xiǎn)有進(jìn)一步的理解,,如果進(jìn)一步獲取其團(tuán)伙的技術(shù)水平,、經(jīng)常使用的技戰(zhàn)術(shù)手法等情報(bào),就可以反觀組織現(xiàn)有的檢測(cè),、防御措施,,給出預(yù)警以及配套的預(yù)防改進(jìn)措施。

  威脅情報(bào)是基于證據(jù),、有關(guān)已知或新型威脅或危害的知識(shí),,包括上下文、機(jī)制,、檢測(cè)指標(biāo),、影響和活動(dòng)建議,能夠作為應(yīng)對(duì)的決策依據(jù),?;诮M織中安全人員不同角色的決策需要,我們還可以把情報(bào)分為3類:

 ?。?)高層管理者使用的戰(zhàn)略情報(bào)

  以CSO為代表的公司高層管理者最重要的工作之一是在管理層溝通、獲取資源并進(jìn)行資源的分配。其中的挑戰(zhàn)是其它管理層難以了解攻防技術(shù),、眾多安全建設(shè)工作的優(yōu)先級(jí)排定缺少依據(jù),。戰(zhàn)略情報(bào)提供組織需要面對(duì)的攻擊者類型、動(dòng)機(jī),、能力及潛在風(fēng)險(xiǎn)方面的情報(bào),。CSO可以使用自身或行業(yè)面對(duì)的真實(shí)對(duì)手及其風(fēng)險(xiǎn)來更好地和管理層溝通,也可以基于這些風(fēng)險(xiǎn)和攻擊的可能性提供優(yōu)先級(jí)排序進(jìn)而優(yōu)化資源分配,。這部分的情報(bào)可以由有豐厚威脅情報(bào)能力的安全廠商以服務(wù)的形式提供,。

  (2)SRC或安全分析團(tuán)隊(duì)使用的運(yùn)營(yíng)層面的情報(bào)

  SRC團(tuán)隊(duì)的主要工作是對(duì)已經(jīng)發(fā)現(xiàn)的失陷攻擊事件進(jìn)行深入分析,、確定攻擊細(xì)節(jié)和影響面,,并采取緩解、清除等響應(yīng)活動(dòng),。同時(shí)SRC團(tuán)隊(duì)也會(huì)進(jìn)行Hunting(安全狩獵)的工作,,主動(dòng)發(fā)現(xiàn)可能存在的失陷情況。這樣的工作都需要他們掌握更多的不同攻擊類型相關(guān)的TTP知識(shí)(戰(zhàn)術(shù)、技術(shù)和過程方法),,以及了解更多攻擊相關(guān)的上下文信息(攻擊目的,、危害、傳播方式等),,以加快分析溯源的時(shí)間并掌握更多識(shí)別失陷的分析模式,。這些情報(bào)通常以云端威脅情報(bào)平臺(tái)等形式提供。

 ?。?)機(jī)器可自動(dòng)化處理的機(jī)讀情報(bào)(MRTI)

  安全運(yùn)維人員使用這些情報(bào)一般有兩個(gè)作用,,一是作為檢測(cè)指標(biāo)(IOC)下發(fā)到安全設(shè)備中,檢測(cè)其它安全產(chǎn)品未能發(fā)現(xiàn)的威脅,,如CnC類別的威脅情報(bào),;另一個(gè)作用就是用來判別誤報(bào)及確定高優(yōu)先級(jí)的報(bào)警,如IP信譽(yù),、域名信譽(yù)等,。這種類型的情報(bào)常常和安全產(chǎn)品緊密結(jié)合在一起使用。

  安全廠商生成威脅情報(bào)是一個(gè)復(fù)雜的過程,,需要具備多種能力才有可能完成,,一般可以分為如圖3所示的八步。

31509900599115196.jpg

  圖3 威脅情報(bào)的產(chǎn)生過程

 ?。?)數(shù)據(jù)收集

  數(shù)據(jù)收集是威脅情報(bào)生成最關(guān)鍵的環(huán)節(jié),,決定了產(chǎn)生的情報(bào)是否能最全面的覆蓋威脅,因此往往會(huì)聚集多種不同來源的情報(bào)數(shù)據(jù),。

 ?。?)數(shù)據(jù)清洗

  將以上數(shù)據(jù)根據(jù)后續(xù)加工的需要進(jìn)行整理、去除不可信數(shù)據(jù),、將關(guān)鍵數(shù)據(jù)結(jié)構(gòu)化等過程,。

  (3)數(shù)據(jù)關(guān)聯(lián)

  數(shù)據(jù)關(guān)聯(lián)是數(shù)據(jù)驗(yàn)證的前提條件,,通過數(shù)據(jù)關(guān)聯(lián)梳理不同類型數(shù)據(jù)間的關(guān)系,,如樣本、樣本不同方式的檢測(cè)分析結(jié)果,、樣本的網(wǎng)絡(luò)行為,、域名注冊(cè)者、域名指向的IP,、IP上面的其它域名等,。

  (4)驗(yàn)證

  通過建立關(guān)聯(lián)關(guān)系的數(shù)據(jù),,再利用機(jī)器學(xué)習(xí)的方式(有可能結(jié)合部分的人工分析)對(duì)情報(bào)的準(zhǔn)確性進(jìn)行驗(yàn)證,,并賦予相應(yīng)的可信度指標(biāo),。

  (5)上下文

  包括如攻擊類型,、樣本家族,、攻擊團(tuán)伙、攻擊目地,、傳播渠道,、具體危害等報(bào)警響應(yīng)需要的內(nèi)容。

 ?。?)優(yōu)先級(jí)

  根據(jù)攻擊目的,、具體危害等信息,確定報(bào)警優(yōu)先等級(jí)信息,。

 ?。?)格式化

  根據(jù)分發(fā)的要求,,將情報(bào)以特定的格式輸出,,如:STIX、openIOC,、JSON,、xml等,非MRTI類型的情報(bào)還可能以PDF,、word等類型提供,。

  (8)情報(bào)分發(fā)

  根據(jù)不同類型情報(bào)的用途,,可以推送給安全產(chǎn)品,、打包供下載,或者郵件發(fā)送,。

  4 基于威脅情報(bào)的態(tài)勢(shì)感知

  威脅情報(bào)在態(tài)勢(shì)感知中可以發(fā)揮多重的作用,,比較關(guān)鍵的有以下幾種:

  (1)在大數(shù)據(jù)平臺(tái)等態(tài)勢(shì)組件中集成威脅情報(bào)的檢測(cè)能力

  如C&C類的威脅情報(bào),,通過流量或者日志的匹配檢測(cè),,可以幫助組織盡快發(fā)現(xiàn)內(nèi)部被黑客控制的傀儡機(jī),防止木馬后門等惡意軟件帶來的數(shù)據(jù)失竊問題,。

 ?。?)提供配套的報(bào)警分析處置工具,加速事件響應(yīng)進(jìn)程

  通過良好的情報(bào)工具,,安全響應(yīng)人員可以更好地完成以下任務(wù):報(bào)警等級(jí)以及誤報(bào)判別,、攻擊目地判定、攻擊者畫像(通過關(guān)聯(lián)分析,,查找攻擊者相關(guān)的攻擊事件及技戰(zhàn)術(shù)分析等),。

  5 安全可視化

  數(shù)據(jù)可視化是研究如何將數(shù)據(jù)之間的關(guān)聯(lián)關(guān)系以及蘊(yùn)含的意義,,通過可視化方式進(jìn)行展現(xiàn),便于分析人員的深度分析技術(shù),。尤其對(duì)于情報(bào)分析領(lǐng)域,,可以極大地提升情報(bào)分析的效率和效果。在工業(yè)安全方面,,一方面可利用可視化技術(shù),,將原本碎片化的威脅告警、異常行為告警,、資產(chǎn)管理等數(shù)據(jù)結(jié)構(gòu)化,,形成高維度的可視化方案,以便于用戶理解,;另一方面可以通過可視化技術(shù)將威脅事件與企業(yè)業(yè)務(wù)進(jìn)行有機(jī)結(jié)合,,通過態(tài)勢(shì)感知大屏將內(nèi)網(wǎng)全局的安全態(tài)勢(shì)以圖形化的方式直觀呈現(xiàn),將安全由不可見變?yōu)榭梢姟?/p>

  6 結(jié)語(yǔ)

  本文將IT信息安全領(lǐng)域數(shù)據(jù)驅(qū)動(dòng)安全,、積極防御,、威脅情報(bào)、基于威脅情報(bào)的態(tài)勢(shì)感知,、安全可視化理念和方法引入工業(yè)信息安全領(lǐng)域,。其中數(shù)據(jù)驅(qū)動(dòng)安全是技術(shù)基礎(chǔ),積極防御是平臺(tái),,威脅情報(bào)是核心,,態(tài)勢(shì)感知是結(jié)果,安全可視化是手段,。希望這些理念和方法能夠促進(jìn)工業(yè)信息安全行業(yè)的發(fā)展,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。