《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 基于安全大數(shù)據(jù)的威脅建模與自動化響應(yīng)

基于安全大數(shù)據(jù)的威脅建模與自動化響應(yīng)

2021-08-02
來源:安全牛

  隨著企業(yè)信息安全管理的不斷深入和成熟,,我們發(fā)現(xiàn)在對企業(yè)的信息數(shù)據(jù)進(jìn)行安全層面的防護(hù)和治理過程中,,對數(shù)字資產(chǎn)進(jìn)行抽絲剝繭式的分類處理以及構(gòu)建關(guān)聯(lián)分析模型讓企業(yè)發(fā)現(xiàn)了新的業(yè)務(wù)端口,這種新收益對企業(yè)用戶來說十分珍貴,而且安全數(shù)據(jù)的威脅建模技術(shù)和響應(yīng)處置手段在這一過程中發(fā)揮了重大作用,但仍有不足,因為現(xiàn)階段大多數(shù)企業(yè)的安全數(shù)據(jù)處理能力并不能將資產(chǎn)的全部價值挖掘出來,,所以企業(yè)在對威脅檢測和響應(yīng)處置方面也面臨著許多挑戰(zhàn),本期《牛人訪談》,,我們邀請到了日志易安全產(chǎn)品技術(shù)總監(jiān)施澤寰先生,,針對數(shù)據(jù)在采集,、清洗、檢測,、響應(yīng)等方面的技術(shù)特點以及未來發(fā)展進(jìn)行了深度的解析與專業(yè)分享,。

  日志易安全產(chǎn)品技術(shù)總監(jiān) 施澤寰

  一、隨著企業(yè)業(yè)務(wù)數(shù)字化程度的不斷加深,,企業(yè)數(shù)字資產(chǎn)也在成指數(shù)增長,,數(shù)字資產(chǎn)的安全防護(hù)已經(jīng)變得越發(fā)重要,您認(rèn)為現(xiàn)階段企業(yè)用戶在日志,、數(shù)據(jù)的處理和安全檢測方面面臨哪些挑戰(zhàn),?

  施澤寰:在實際工作中,企業(yè)一般會采購不同廠家的安全產(chǎn)品,,構(gòu)建自身的安全防御體系,,這也導(dǎo)致了需要采集的數(shù)據(jù)類型繁雜,所以一般我們前期需要根據(jù)規(guī)劃(比如根據(jù)網(wǎng)絡(luò)區(qū)域,,安全風(fēng)險,,威脅場景等因素),對不同類型的數(shù)據(jù)(像安全設(shè)備,、網(wǎng)絡(luò)設(shè)備,、系統(tǒng)日志、應(yīng)用日志以及流量等數(shù)據(jù))進(jìn)行采集,,并在完成相關(guān)數(shù)據(jù)采集之后,,再對數(shù)據(jù)進(jìn)行范式化。而在范式化的過程中,,如果沒有內(nèi)置的解析規(guī)則以及靈活的解析能力,,就需要對相應(yīng)的數(shù)據(jù)源逐個進(jìn)行解析,這會耗費大量的實施時間,,從而導(dǎo)致在上層應(yīng)用場景的分析/交付上投入不足,。

  結(jié)合日志易實際經(jīng)驗,我認(rèn)為日志處理和安全檢測是一個包含全數(shù)據(jù)采集,、數(shù)據(jù)清洗,、數(shù)據(jù)存儲查詢、數(shù)據(jù)分析,、威脅建模等一系列環(huán)節(jié)在內(nèi)的威脅統(tǒng)一管理的全過程,。其面臨的挑戰(zhàn)主要有三個:

  一是(用戶環(huán)境中的)數(shù)據(jù)采集以及清洗等日志基礎(chǔ)處理能力的不足。這直接影響到安全威脅檢測模型的構(gòu)建,。在很多環(huán)境下,我們看到在進(jìn)行了日志統(tǒng)一管理之后,,實際效果并不突出,,可能最終只是淪為了一個日志存儲平臺,。安全數(shù)據(jù)資產(chǎn)得不到真正有效的挖掘和利用,深層價值凸顯不出來,,因此對于安全數(shù)據(jù)資產(chǎn)的深度管理和有效利用是目前日志統(tǒng)一管理所面臨的一個挑戰(zhàn),。

  第二個是告警噪聲太多。隨著企業(yè)安全管理與防御體系的不斷發(fā)展,,即使是一些中小企業(yè),,每天各類安全設(shè)備/系統(tǒng)產(chǎn)生的告警數(shù)據(jù)都是數(shù)以萬計的,在如此量級的數(shù)據(jù)下,,難以通過人工的方式,,逐一進(jìn)行響應(yīng)處置。同時,,也需要從噪聲(安全設(shè)備所產(chǎn)生的誤報)中去提取真正的攻擊行為,,所以通過基于聚合、統(tǒng)計,、關(guān)聯(lián)分析以及安全場景等模式構(gòu)建威脅檢測模型,,與外部數(shù)據(jù)(如情報數(shù)據(jù),資產(chǎn)信息,,漏洞信息等)進(jìn)行匹配,,提升告警精準(zhǔn)度是解決這一挑戰(zhàn)的有效途徑。

  第三個是安全人員缺乏,。隨著企業(yè)安全管理與防御體系的不斷發(fā)展,,絕大部分企業(yè)安全人員負(fù)責(zé)的工作內(nèi)容也不斷增加,除了各種設(shè)備的維護(hù),,日常的日報,、周報以及月報等,安全合規(guī)管理,,項目管理等已經(jīng)耗費大部分人力,,更遑論進(jìn)行常態(tài)化的安全運營(如威脅檢測、威脅分析以及威脅響應(yīng)等),。所以這也是目前MDR市場逐步火熱的一個原因,。當(dāng)然,自動化響應(yīng)也是企業(yè)解決上述一些重復(fù)性安全工作的一種解決方案,。

  我們目前已經(jīng)在SIEM安全大數(shù)據(jù)分析平臺中,,內(nèi)置了解析規(guī)則庫,支持國內(nèi)外主流的設(shè)備/系統(tǒng)的數(shù)據(jù)預(yù)處理,,也支持多種解析方式(如正則解析,,劃選解析,KV解析,,XML解析,,JSON解析,,數(shù)據(jù)脫敏,自定義規(guī)則解析,,字段補全等方式),,可大大提高數(shù)據(jù)清洗的交付效率。同時,,我們還基于不同類型,、不同品牌的安全相關(guān)數(shù)據(jù),定義了一套數(shù)據(jù)標(biāo)準(zhǔn),,統(tǒng)一對數(shù)據(jù)進(jìn)行范式化,。

  日志易SIEM安全大數(shù)據(jù)分析平臺邏輯拓?fù)?/p>

  二、針對上述問題,,目前行業(yè)中有哪些SIEM類安全大數(shù)據(jù)分析平臺解決方案,?這些產(chǎn)品都有哪些特點?

  施澤寰:以日志易的安全分析平臺為例,,它是基于自研的高性能搜索引擎(Beaver)的威脅檢測,、響應(yīng)與分析平臺。Beaver可以滿足企業(yè)用戶安全大數(shù)據(jù)搜索和安全威脅建?;A(chǔ)需求,,并提供了安全態(tài)勢,威脅處置,,調(diào)查分析,,資產(chǎn)管理,漏洞管理,,規(guī)則管理,,任務(wù)管理,情報管理等能力,?;跉v史長周期數(shù)據(jù)以及實時數(shù)據(jù),針對企業(yè)內(nèi)外部威脅進(jìn)行檢測,、分析以及響應(yīng),,并通過自動化能力,幫助用戶減少發(fā)現(xiàn)/響應(yīng)威脅的時間,,提高安全運營效率,。

  業(yè)界有個術(shù)語叫做“威脅狩獵”,指的是安全人員產(chǎn)生假設(shè),,進(jìn)而圍繞著這個假設(shè),,對安全數(shù)據(jù)進(jìn)行主動分析與驗證。一般由某個告警事件/異常事件,如用戶權(quán)限發(fā)生變更(可疑提權(quán))為出發(fā)點,,展開調(diào)查分析,,又或者因某個指標(biāo)異常,如DNS請求數(shù)激增,、DNS子域名字段熵值激增,進(jìn)而展開威脅狩獵,。日志易的安全分析平臺基于自研搜索引擎Beaver,,并通過SPL(Search Processing Language)靈活及迅速地完成某類威脅的狩獵。SPL語言是專為實現(xiàn)對日志這種非結(jié)構(gòu)化數(shù)據(jù)進(jìn)行搜索,、分析而開發(fā)的處理語言,,它實現(xiàn)了數(shù)百個SPL函數(shù)及指令,全面覆蓋日常安全分析工作的需要,,并對接了多種機(jī)器學(xué)習(xí)算法,,以實現(xiàn)安全場景的異常檢測。

  無論是邊界突破,、還是內(nèi)網(wǎng)橫向移動等不同場景下的攻擊,,都可以通過SPL中的不同函數(shù)對相關(guān)的安全數(shù)據(jù)進(jìn)行分析處理,從而發(fā)現(xiàn)可能存在的異常,;此外,,日志易安全分析平臺,還具有圖分析功能,。通過把企業(yè)用戶的安全數(shù)據(jù)以及相關(guān)的信息,,如資產(chǎn)信息、漏洞信息,,可視化為一個攻擊關(guān)系圖,,從而去發(fā)現(xiàn)一些可能存在異常的實體。這些實體可能是一個IP,、一個主機(jī),、一個用戶或者是某個域名等等,然后再對這些實體進(jìn)行展開進(jìn)一步的調(diào)查,,去發(fā)現(xiàn)威脅告警,、異常事件與其關(guān)聯(lián)性,實現(xiàn)對安全威脅與風(fēng)險的探索與調(diào)查分析,。所以日志易的特點在于基于自研的自研搜索引擎Beaver,,通過SPL(Search Processing Language)與圖分析為用戶提供靈活的安全分析與威脅建模能力,實現(xiàn)不同維度安全數(shù)據(jù)(安全設(shè)備告警,,流量,、主機(jī)日志,應(yīng)用日志,,情報信息,,資產(chǎn)信息以及漏洞信息等)的關(guān)聯(lián),,從而探索企業(yè)網(wǎng)絡(luò)中可能存在的異常事件,并進(jìn)行攻擊鏈路回溯,。

  三,、市場上現(xiàn)存的各類安全分析平臺產(chǎn)品主要基于了怎樣的分析和威脅檢測規(guī)則?

  施澤寰:首先,,我們把數(shù)據(jù)類型概括為兩個維度,,一個是網(wǎng)絡(luò)維度,如來自防火墻,、WAF等網(wǎng)絡(luò),、安全設(shè)備的數(shù)據(jù);以及HTTP,、DNS,、TLS、SMB,、DHCP等協(xié)議的流量數(shù)據(jù),;另外一個是端點維度,如主機(jī)系統(tǒng)日志(Linux/Windows/AIX等),,HIDS/EDR的數(shù)據(jù),,基于特定的安全場景、不同的數(shù)據(jù)源可生成不同的規(guī)則,。我們的安全分析平臺威脅檢測規(guī)則庫主要基于1000+的規(guī)則場景庫,,而且規(guī)則庫也是基于外部態(tài)勢、項目實踐以及安全研究,,不斷進(jìn)行更新迭代,。

  而目前市場,主要有黑名單檢測與白名單檢測兩種思路,。黑名單檢測思路一般以聚合,、統(tǒng)計、關(guān)聯(lián)分析(特征匹配,,情報關(guān)聯(lián),、時序關(guān)聯(lián)等)作為規(guī)則場景的主要落地模式。例如:當(dāng)在某個安全設(shè)備(如WAF或IPS)發(fā)現(xiàn)了一個攻擊來源,,未知攻擊者采用通過該IP地址發(fā)起多次不同類型的漏洞利用嘗試,,雖然從告警結(jié)果上看都未成功,但是此時發(fā)現(xiàn)被攻擊的對象(資產(chǎn)),,此后在某段時間后(這里的時間周期定義需要衡量)出現(xiàn)了一些異常行為(比如出現(xiàn)新的賬號或原有賬戶出現(xiàn)權(quán)限變更等行為),,那么從攻擊角度上看,有可能出現(xiàn)WAF Bypass/IPS Bypass等(小概率事件)的情況,那么兩個事件之間會存在關(guān)聯(lián)性(指的是多次漏洞利用嘗試與賬戶異常行為之間),,可以將其配置為關(guān)聯(lián)規(guī)則,,當(dāng)觸發(fā)告警時,值得我們更加關(guān)注,。所以這種安全場景就屬于一個威脅檢測規(guī)則,。

  另一種白名單檢測思路,一般有異常檢測模式,。一般來說,,在企事業(yè)單位中,大部分的事件(比如系統(tǒng)層上發(fā)生的事件,、網(wǎng)絡(luò)層上發(fā)生的事件)都是屬于正常事件。而異常事件,,一般都是小概率事件,。我們需要去發(fā)現(xiàn)這些小概率事件,如執(zhí)行不常見的命令,,出現(xiàn)不常見的父子進(jìn)程,,第一次出現(xiàn)的進(jìn)程,第一次出現(xiàn)的賬戶,,靜默賬戶(比如30天沒登錄行為)出現(xiàn)第一次活動等,,所以也需要基于歷史的數(shù)據(jù)構(gòu)建正常基線,,之后再與實時數(shù)據(jù)進(jìn)行對比,,進(jìn)而發(fā)現(xiàn)異常行為,這也是目前一類規(guī)則場景的落地方式,。

  四,、請您結(jié)合自身實際經(jīng)驗,談一談在安全運營中,,自動化響應(yīng)和人工響應(yīng)應(yīng)該如何配合,?目前在企業(yè)中比例分配如何?

  施澤寰:基于我們的研究與實踐,,我們認(rèn)為自動化響應(yīng)實現(xiàn)的前提是要確保告警的準(zhǔn)確度,,威脅檢測模型要能夠輸出精準(zhǔn)的分析,然后再將這些告警交給自動化響應(yīng)平臺(或者說模塊)去處理,。如果告警的誤報率很高,,噪聲很大,這種情況下做自動化響應(yīng)是沒有意義的,,反而會影響到業(yè)務(wù),。所以,SIEM是實施SOAR的前提。

  目前的安全事件自動化響應(yīng)過程是怎樣的,?舉個例子,,當(dāng)平臺檢測到了邊界區(qū)域一個WEB類的攻擊事件(比如某個簡單場景:某個源地址發(fā)起多次SQL注入或某個源地址發(fā)起多種不同類型的攻擊向量)后,能夠自動地針對這一攻擊事件中的源地址進(jìn)行情報查詢判斷,,并智能地根據(jù)情報查詢結(jié)果,,判斷該攻擊IP是否已經(jīng)被標(biāo)記為惡意標(biāo)簽;如果它被標(biāo)記為惡意標(biāo)簽,,并且已經(jīng)在平臺封禁列表中,,系統(tǒng)則結(jié)束響應(yīng)流程;如果不在平臺封禁列表中,,則再進(jìn)一步判斷,,該IP地址是第一次出現(xiàn)還是此前出現(xiàn)了多次,并根據(jù)它出現(xiàn)的頻率智能化,、自動化地聯(lián)動邊界安全設(shè)備實現(xiàn)不同時長的封禁,,這是一個常見的的自動化響應(yīng)過程。

  而人工響應(yīng)主要是指通過人工來針對一些不在自動化安全知識庫(或者說不存在對應(yīng)的Playbook)中的安全事件或者說一些可疑線索進(jìn)行響應(yīng)處置,。人工響應(yīng)也包括了分析工作(類似于前面提到的威脅狩獵),,因為這是一個基于不同安全場景下,分析各種問題并做出決策的過程,,而從我們看來,,自動化響應(yīng)前期需要人工響應(yīng)的驗證,判斷某類安全事件是否可以采用固化的自動化分析響應(yīng)流程,,同時也需要企業(yè)單位各個部門(比如由安全部門主導(dǎo),,業(yè)務(wù)相關(guān)部門,網(wǎng)絡(luò)相關(guān)部門參與)之間去進(jìn)行評審,,對流程無異議后,,便可形成自動化響應(yīng)流程。

  所以自動化響應(yīng)和人工響應(yīng)之間的配合,,以現(xiàn)實環(huán)境來看,,很難達(dá)到對所有的安全事件都進(jìn)行自動化響應(yīng)。而自動化是由人工分析響應(yīng)衍生出的產(chǎn)物,,人工響應(yīng)始終具有重要意義,。具體的分配情況,在具備安全運營相關(guān)技術(shù)與流程制度的前提下,,我們認(rèn)為80%的安全事件應(yīng)該交給自動化響應(yīng)流量進(jìn)行處理,,人工專注于20%的安全事件的深層關(guān)聯(lián)分析與響應(yīng)。

  五,、市場上的主流安全分析平臺產(chǎn)品都是如何實現(xiàn)流程編排和自動化響應(yīng)(SOAR)的,,其技術(shù)路線是什么,?

  施澤寰:國外SOAR市場相對國內(nèi)市場較為成熟,目前我們看到主要有兩種技術(shù)路線,,一種為以Case Management為目的,,以Splunk Phantom為代表,一種是融合了Chat ops的理念,,也衍生出如作戰(zhàn)室的功能,,以Demisto(被Palo Alto收購,改名為Cortex XSOAR)為代表,,但其最終要達(dá)到的目的都是相同的,。即降低對安全事件的處置時間,提高響應(yīng)效率,。

  其中Case Management的方式來看,,以Event(事件)和Case(某個事件或者某些事件形成的)作為驅(qū)動,通過定義好的Playbook(劇本)來實現(xiàn)整個流程的自動化響應(yīng),。這種技術(shù)路線實現(xiàn)層級和理念也非常明確,,更接近一種決策思路,所以要實現(xiàn)SOAR的能力,,也就是要具備可視化流程編排(通過拖拉拽的方式,快速定義劇本),、組件化(應(yīng)用管理)能力和任務(wù)管理能力,。

  從架構(gòu)而言,第一層級是劇本(Playbook),,其中包含了流程的決策步驟(如過濾,、判斷、格式化以及人工審核等基礎(chǔ)能力)和應(yīng)用組件(如某類安全設(shè)備的某個接口,,自定義的API接口),;第二個層級是應(yīng)用,即集合了某個產(chǎn)品的所有接口,,可在Playbook中提供選擇調(diào)用,;第三個層級是動作(Action),即對應(yīng)著具體的某個接口,,比如情報查詢接口,、IP查詢接口;第四個為資產(chǎn),,比如說企業(yè)中部署了10個防火墻,,這就是10個資產(chǎn),在編排Playbook的時候,,需要定義和哪一個資產(chǎn)進(jìn)行聯(lián)動,;第五個層級為用戶,,系統(tǒng)在對資產(chǎn)進(jìn)行聯(lián)動的時候,需要安全設(shè)備上一個有相應(yīng)響應(yīng)權(quán)限的賬戶去進(jìn)行聯(lián)動,。

  而在聯(lián)動的過程中一般會有兩類動作,,一個是“讀”的動作,一個是“寫”的動作,?!白x”的動作就是通過接口從安全設(shè)備或其他第三方系統(tǒng)中獲取信息;“寫”的動作就是通過接口,,往安全設(shè)備或其他第三方系統(tǒng)添加/更新/刪除新的策略,,比如說,把某個IP地址寫到防火墻的黑名單中以此來實現(xiàn)對惡意IP的阻斷,,通過用戶來實現(xiàn)權(quán)限控制,。

  第二種路線其實與第一種殊途同歸,融合了Chat ops的理念,。在某個安全事件發(fā)生之后,,在對其進(jìn)行響應(yīng)處置過程中,需要增強各個部門之間或不同人員之間的協(xié)作,,并能較為智能地推薦合適的處置動作,。這種路線就是將這一邏輯和理念延伸到SOAR中來,其實就是結(jié)合攻防對抗歷史經(jīng)驗,,通過加強安全體系中各個產(chǎn)品和模塊之間的主動調(diào)用和深度配合,,來實現(xiàn)更智能的自動化響應(yīng)。

  六,、您認(rèn)為未來安全響應(yīng)處置的發(fā)展趨勢是什么,?會有哪些新的發(fā)展特點?

  施澤寰:未來安全響應(yīng)處置從我們的研究與實踐情況來看,,還是會朝著自動化與智能化的方向發(fā)展,,應(yīng)用場景(不僅僅只是一系列的分析判斷后,去封禁IP/鎖定賬戶)也會越來越豐富,。而且隨著安全編排與自動化響應(yīng)的發(fā)展會幫助安全人員從重復(fù)性的安全運營工作(比如威脅管理)中脫離出來,,讓安全人員能把更多的精力投入到安全分析層面的工作中去,由此來發(fā)現(xiàn)一些潛在的或者威脅更大的安全風(fēng)險,,這種風(fēng)險對企業(yè)造成的危害性往往會更大,,所以我們也認(rèn)為,對威脅狩獵場景的探索也會進(jìn)一步深入,。

  同時,,自動化響應(yīng)也可以更加智能。舉例來說,,平臺在觸發(fā)告警之后,,可以基于過往同類型的案例進(jìn)行綜合評估,,為用戶推薦一個合適的處置策略和解決方案。所以,,在我們看來,,自動化和智能化是未來安全響應(yīng)處置的兩個發(fā)展特點。

  安全牛評

  為了應(yīng)對類似于對抗性機(jī)器學(xué)習(xí)的高級復(fù)雜威脅,,企業(yè)需要采用更高級的解決方案,。日志易一直致力于研究數(shù)據(jù)及日志信息的智能化處理,通過自研的高性能搜索引擎和SPL語言滿足企業(yè)用戶的大量數(shù)據(jù)搜索和安全威脅建?;A(chǔ)需求,。使用大數(shù)據(jù)及人工智能的方法,對日志信息中隱藏的威脅進(jìn)行智能檢測與自動化處置,,實現(xiàn)更快速的安全威脅檢測和響應(yīng),,提升了企業(yè)安全運維團(tuán)隊的工作效率,對企業(yè)的安全發(fā)展提供了一個高效的解決方案,。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。