介绍
时至今日,对于企业而言,如果竞争对手需要渗透进入他们的网络,那他们就能进入。下图呈现出近年来日益增长的全球性信息安全事件的调查图表。(图片来源:PwC, The Global State of Information Security Survey 2015, www.pwc.com/gsiss2015)
Gartner 副总裁 Neil MacDonald 这样说到,到 2020 年企业的信息系统无疑将持续受到威胁,而面对先进的有针对性的攻击,他们根本无能为力。但至今仍有诸多企业把精力投放在防御措施上面,试图防护住所有针对他们的攻击,这样做极可能会得不偿失。如今信息安全转向快速的检测和响应能力,随之再进行深化部署防御,从而阻止攻击的近一步蔓延。关键在于快速应急响应能力,通过定义一个过程体系,来快速了解掌握发生的异常情况的影响范围。
高风险时间段:从威胁发生到得到缓解
如今,安全事件以每小时上千、上万起的高度频率爆发着。而在这其中夹杂着的更是数之不尽的威胁信息,它们如同将安全团队置身于迷雾,利用传统安全设备—诸如防火墙、
IDS/IPS、应用网关、反病毒反恶意软件等—进行威胁检测已是难以应付,更别提进行及时响应了。
衡量企业安全能力的两条重要指标分别是平均检测时间(MTTD)和平均响应时间(MTTR)。其中,MTTD 指企业发现一个对自己造成影响的并需要深入分析和应对的潜在威胁所花费的平均时间,MTTD 指企业全面分析威胁并缓解此次事件所花费的时间。
很多企业的这两项指标所花费的时间往往数周甚至是数月之久,而这个数值就意味着企业将在这段期间遭受极高的安全风险,即高风险时间段。同理,为这样的风险,我们应将这两项指标控制在天、小时的范围,最理想的情况则是将数值减低为小时、分钟。下图将展示
MTR 与 MTTD 的时间级与风险级别的关系曲线。
这曲线让我想到典型信息系统安全模型与框架中 P2DR 的数学模型。即 S 系统防护、检测和反应的时间关系如下:
If Pt > Dt + Rt, 那么 S 是安全的;
If Pt < Dt + Rt, 那么 Et = (Dt + Rt) – Pt。
其中,Pt=防护时间(有效防御攻击的时间)Dt=检测时间(发起攻击到检测到攻击的时间)Rt=响应时间(检测到攻击到处理完成的时间)Et=暴露时间。当企业的 MTTR 与 MTTD 时间所花费越长,在 Pt 时间一定的情况下,那么 Et 时间即企业安全威胁暴露在外的时间就越长,那么遭遇到的风险就越高。
安全情报的必要性
安全情报在某种程度上就如同商务情报一般。我们知道,重要的商务情报可以使得我们在众多繁杂的情报中快速筛选掉无关的信息并从中寻找出我们以前没有注意到的、最有价值的商业机会。而安全情报就是在众多繁杂的威胁情报中促使企业清楚地看到威胁的核心,它旨在合适的契机与情景下传递最准确的消息从而显著降低检测、应急响应所花费的时间,也就是对企业 MTTD 与 MTTR 两项标准的能力进行提升。
由于安全情报往往因人而异,所以目前来说并没有统一的标准。安全情报是捕获关联的、可视化的信息并分析取证数据,从而可以有效检测和缓解那些对企业真正有害的威胁,同时建立起积极防御以备后患的过程。安全情报可以缩短用户 MTTD 与 MTTR 所花费的时间、对当前安全工具的价值进行扩展并可以结合机器学习发现一些潜在的、我们平常观察不到的威胁细节。
无论威胁是通过企业大量传感器检测到的、还是通过机器分析检测到的,安全情报的角色都是通过取证数据和情报的上下文,传递哪些真正潜在威胁的信息和结论。安全团队可以据此快速评估出这次安全事件是否会爆发以及它的威胁等级。确保有充分的信息提供给安全专家从而对此次事件作出快速、准确的决策。
当更深一步挖掘整个检测、响应过程的关键时,我们可以发现,一个理想的安全情报平台可以简化每个处理过程的工作流,尽可能提供自动化。而如果一个组织可以如此完善检测、响应生命周期中的每一个步骤,那么也就意味着降低了 MTTD 与 MTTR 的时间,更重要的是,减少了威胁暴露的时间。
从威胁检测到应急响应的生命周期
当某个威胁被确会使业务遭受风险并必须展开调查时,我们就可以说响应周期开始了。在当调查已全面完成并且成功解决了此次威胁时响应周期才结束。故而如果企业想避免这其中的损失,那么就必须把响应周期从几个月缩短到几分钟。
在这里,安全情报完全可以通过如下特点缩短响应周期:
▪ 通过高强度分析工具将威胁的多个维度和与事件关联的信息进行集中化
▪ 综合工作流和协作能力,加快分析和响应流程
▪ 自动化支持事件响应过程并部署解决方案从威胁检测到应急响应的生命周期各阶段详细过程如下图所示。
◎ 威胁检测阶段
▪ 线索发现
检测的第一步就是识别潜在的威胁,比如这个异常流量的交互到底是来源于我们的新客户还是黑客。而这个过程就要依托于在取证数据的噪声中进行近一步分析了。而主要的分析方式就是用户分析和机器分析这两种。
用户分析基于人,通过监测、观察指示器,认为评估趋势、行为和建模。
机器分析就是通过软件捕获数据流并持续对其进行的监测的分析,通过复杂分析算法优先识别出威胁的存在。
▪ 事件确认
评估威胁,确认威胁存在的真实情况,是属误报、可忽略容忍的风险等级,还是确实需要进一步深入调查的潜在威胁。
(其中这里所搜集的取证信息包括捕获到的日志、计算机上的数据、生成的取证数据以及整个安全事件的信息记录)
◎ 应急响应阶段
▪ 深度调查
安全小组在初步检测认定遭遇了安全事件的威胁后,会立即步入响应状态。开始深度调查分析威胁情况与风险规模,从而判断此次安全事件的整体态势,是正在进行,还是已经发生并开始启动缓解工作。
▪ 威胁缓解
这个阶段需要对于该事件发生根本原因、威胁影响规模、应急技巧等各方面有着充足的认识与丰富的经验。专业人员此时针对安全事件有着高度一致的观点和态度、与其它组织部门的合作沟通能力、充足的知识储备以及自动化的响应应急机制。
▪ 恢复加固
这是该生命周期的最后一个步骤,也算是为事件应急处理后做“清扫战场”的工作,诸如在环境中根除环境中的所有威胁情况、清理恶意资源、加固环境,最后对引发事件的根源问题进行分析总结,预防同样情况再次发生。
LogRhythm 安全情报成熟度模型(SIMM)
我们说安全是一个过程而非终点,因此需要花费时间和资源逐渐打造企业成熟的安全能力。从某种意义上讲,这就是降低企业的 MTTD 与 MTTR。然而,对于希望减少网络安全风险状态的组织来说,拥有高等级 MTTD 与 MTTR 的能力确实是必不可少的。
安全情报其实是企业对于降低 MTTD 与 MTTR 最为有效的投资。SIMM 模型可以帮助组织评估当前的安全情报能力以及相关的风险状态。这种模型还为他们寻求近一步的提高提供了蓝图。
该模型旨在建立和完善一个组织的安全检测和响应能力,并强烈反对仅仅简单将个人安全产品的投入使用。然而。以技术为基础的解决方案在如上所述的各个阶段都起到了至关重要的作用。理想情况下,功能是通过端对端的闭环威胁检测与响应过程的集成和统一平台来进行交付的。
对于安全情报平台,防止受到网络安全威胁的关键举措如下所示:
▪ 提供集中化的、实时获取日志取证的平台并从完整 IT 大环境中提取机器数据
▪ 提供持续的或按需的传感器,可以从网络节点、服务器、网络、高风险区域中获取额外的取证数据
▪ 统一处理采集到的数据,将其情景化再现并高度分类以方便下游进行分析
▪ 提供最高端的机器进行分析以便通过如下方式,持续化自动化收集、分析风险与高级威胁:
– 可以 100% 获取取证数据
– 从相关性分析的混合技术的应用到基于行为建模机器学习
– 分别从情景与基于风险取证的方面对威胁的优先级进行智能排序
▪ 对需要通过事件应急响应近一步进行调查和持续管理的高风险级别事件提供实时的、可视化的平台
▪ 通过高强度基于搜索技术的分析工具,使得应急者可以通过集中化获取原始的、高度情景化的取证数据来全方位观察事件
▪ 通过情报驱动和高度集成工作流提供最优决策与自动化事件响应能力
SIMM 成熟度模型包含了不同等级的合规,从 Level 0 等级(没有基础的安全情报能力,使得企业完全暴露风险)到 Level 4 等级(有成熟完整的安全情报能力,拥有卓越的安全态势感知能力),其中 MTTD、MTTR 时间值与安全情报能力成熟度的线性关系如下图所示。
其中 4 等级的划分矩阵如下所示。
Level 0 盲区状态
★ 时间级别:
MTTD -> 月计 ;MTTR -> 月计 或 周计
★ 安全情报能力:
无
★ 组织特征:
▪ 以预防为导向;有诸如防火墙、反病毒软件等设备
▪ 技术部门与职能部门的日志独立,但没有集中的可视化日志记录
▪ 有针对风险与威胁的监控,但没有投资人力去维护或者无法甄别噪声
▪ 没有正规的事件响应过程,只落实在个人能力
★ 风险控制能力:
▪ 合规风险 (因未遵循法律法规、监管要求、规则、自律性组织制定的有关标准而可能遭受重大财务损失、声誉损失、如今有可能遭受法律处罚)
▪ 无应对内部威胁的能力
▪ 无应对外部威胁的能力
▪ 无应对 APTs 攻击的能力
▪ 遭遇信息泄露
Level 1 最小合规
★ 时间级别:
MTTD -> 月计 或 周计;MTTR -> 周计
★ 安全情报能力:
▪ 安全信息和事件管理,目标日志管理
▪ 目标服务器取证(例如 文件完整性监测)
▪ 最低程度的、授权的、面向合规的监控和响应
★ 组织特征:
▪ 常因为合规要求而进行投资或者针对其环境中一个选好的特定区域进行保护
▪ 通过审查报告来对合规风险进行识别,但不乏报告外存在的风险或不合规管理过程的误报
▪ 提高目标保护区域威胁的可视化能力,但依然缺少人力投资、过程的有效评估能力以及对威胁的优先级处理能力
▪ 无正规的事件应急过程,依然只落实于个人能力,但对于影响受保护环境的突发事件可以有更好的处理能力
★ 风险控制能力:
▪ 大幅度降低合规风险,但主要依赖审计的能力
▪ 无应对大部分内部威胁的能力
▪ 无应对大部分外部威胁的能力
▪ 无应对 APTs 的能力
▪ 遭遇信息泄露
Level 2 安全合规
★ 时间级别:
MTTD -> 日计 或 时计 ;MTTR -> 日计 或 时计
★ 安全情报能力:
▪ 整体日志管理
▪ 更广泛的、风险一致性的服务端取证
▪ 有针对的环境风险特性
▪ 有针对的脆弱性情报
▪ 有针对的威胁情报
▪ 有针对的机器分析能力
▪ 已建立部分监控和应急过程
★ 组织特征:
▪ 期望超越最小合规程度,寻求效率、提高保障能力
▪ 对于大多数威胁不存在盲区,并且针对潜在的高影响威胁的检测和响应能力有实质上的提高同时专注于高风险区域
▪ 建立了正规的流程,对于高风险警报区域的监控进行责任的指派和分配
▪ 对于事件应急已建立基础正规的流程
★ 风险控制能力:
▪ 有较好的业务弹性并具高效的合规能力
▪ 可以发现内部威胁
▪ 可以发现外部威胁
▪ 对 APTs 攻击仍然存在盲区,但有可能检测到线索并进行取证
▪ 无法应对国家层面的安全威胁
Level 3 警戒状态
★ 时间级别:
MTTD -> 时计 ;MTTR -> 时计
★ 安全情报能力:
▪ 整体的服务端取证
▪ 有针对性的网络取证
▪ 有针对性的结点取证
▪ 多维度的、商业型的威胁情报
▪ 整体的脆弱性情报
▪ 有针对性的行为分析
▪ 完整、成熟的监测和响应流程
▪ 建立功能性安全管理平台(SOC:Security Operation Centre)
▪ 有针对性的信息检索(IR:Information Retrieval)业务流程和自动响应过程
★ 组织特征:
▪ 已经认识到对很多威胁仍存在盲区,而这些威胁极有可能对企业造成实质性危害
▪ 已经对组织流程进行投资并斥资人力去提高针对各层级威胁的检测和响应能力
▪ 已经投资并建立了正规的安全管理平台,并由经过培训的员工进行事件的应急响应
▪ 已有自动化的事件响应措施与应急对策
▪ 通过指示与搜索积极捕获业务环境中的风险
★ 风险控制能力:
▪ 有较好的业务弹性并具高效的合规能力
▪ 发现并快速响应内部威胁
▪ 发现并快速响应外部威胁
▪ 可以在较早的生命周期阶段发现 APTs 攻击痕迹
▪ 即使是 APTs 类型的网络犯罪性行为也具有较好的应对弹性
▪ 仍然应对国家层面的安全威胁具有脆弱性,但具有了被动防御的能力
Level 4 弹性状态
★ 时间级别:
MTTD -> 分计 ;MTTR -> 分计
★ 安全情报能力:
▪ 综合网络、服务端、节点的整体取证能力
▪ 整体环境的风险控制能力
▪ 整体的、多维度的机器分析能力
▪ 主动的威胁情报
▪ 主动的脆弱性情报
▪ 建立功能性安全管理平台(SOC:Security Operation Centre)
▪ 整体性的信息检索(IR:Information Retrieval)业务流程和自动响应过程
★ 组织特征:
▪ 是一个诸如国家层面、网络恐怖份子和有组织犯罪的高价值目标
▪ 持续受到各种层面的攻击:包括物理的、逻辑的、社会的
▪ 代表组织最高级别的服务或基础设施,不容受到损坏的
▪ 针对威胁管理或者安全性问题具有前瞻性
▪ 针对行业一流的人才、技术和设备进行投资
▪ 时刻监测数据域新型威胁
▪ 时刻对响应过程、应急对策进行自动化处理
★ 风险控制能力:
▪ 有卓越的业务弹性并具高效的合规能力
▪ 发现并快速响应所有层面上的威胁
▪ 可以在较早的生命周期阶段发现 APTs 攻击痕迹并具有响应处理能力
▪ 可以抵挡和防卫国家层面的安全威胁
发表评论
您还未登录,请先登录。
登录