欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

企业安全建设与态势感知

来源:本站整理 作者:佚名 时间:2019-08-12 TAG: 我要投稿

安全在今天越来越受重视,各类企事业单位也不断加大安全投入,很多度过了安全建设初级阶段(被动防御)的安全团队开始做态势感知。然而,市场很多声称具备安全态势感知的产品大多是厂商站在乙方视角推出的SOC产品,在甲方发挥的主要作用是安全可视化,往往成为一个观赏性的玩具。
下面谈一下笔者在安全建设中对态势感知系统的思考和理解,望能抛砖引玉。
安全建设目标
首先我们回顾一下为什么要有态势感知系统?
安全建设的三大驱动力之一是安全事件驱动,而不断的“事后灭火”过于被动。显然我们都希望在事中甚至事前就能对攻击有了解。所以安全建设初期在IT基础设施中部署各类威胁检测/防护系统是构建纵深防御体系是首要目标。

数据来源:The Black Report 2017
在其建设过程中,我们还需要量化指标,如TTD注1来度量系统的成熟度。如图,如果我们能在2小时内检测对业务造成实质影响的攻击(TTD)并响应威胁(TTR)注2,就能大概率抵御80%以上的攻击。要做到这一点,不仅仅需要广泛部署先进的入侵检测系统还需要专业的安全工程师持续运营。
检测能力的构建对于预算充足的团队,可以通过采购注3来完成。如果安全设备的部署不影响业务或不需要和业务耦合,那么“堆盒子”这个工作虽然会有困难,但总是可以完成。
完成了以上工作,安全挑战从开始的没有威胁感知能力变为真正的安全威胁被海量安全日志和告警淹没。这时候安全团队不仅疲惫不堪,而且也无法让管理层感知到巨大的安全投入带来的收益。此时安全主管一般将目光转向SIEM(Security information and event management)。并期望SIEM具备强大的交互式分析能力,支撑安全团队通过关联分析,(安全告警)冒泡模型等方式来消减告警和进行事件调查,帮助团队提升安全分析效率,缩短TTR。
然而较短的TTR并不等同于业务(IT资产)是安全的,所以还倾向于SIEM具备安全可视化能力,让管理层从资产的视角看到安全态势,呈现安全价值。同时考虑到威胁情报,事件调查,UEBA(User and Entity Behavior Analytics)等场景的需要,安全团队这时就希望有个全功能的统一作战分析平台来搞定一切,这时安全态势感知系统(NG-SIEM注4)登场了,但如前所述,其落地不好,很容易沦为“玩具”。
态势感知系统建设失败原因和建议
那么为什么会出现这样的结果,笔者认为一般有如下原因:
1. 构建基础错误
鉴于NG-SIEM并不是一个新事物和小项目,一个相对简单快捷的方式是直接购买成熟的商业产品,并在这个基础上定制开发。这也是绝大多数安全团队的优先选择。然而购买的产品是传统的偏向于告警聚合和展示的SOC注5还是安全分析的SIEM,效果截然不同。
前者一般是乙方安全公司提供的产品,往往是该公司自己的全线产品管理和告警聚合平台发展而来,侧重于各类安全系统的运维管理和告警聚合,再加上一些对友商告警的解析支持和安全可视化模块,如果用户有办公网安全需求,甚至还会加上所谓的APT检测模块(基于流量或终端安全的传统检测设备加强版)。
而后者(SIEM)通常侧重安全分析,但并不支持对安全设备的策略管理。典型代表可以参考Gartner的SIEMMagic Quadrant报告。该报告中第一阵营中的商业产品都比较成熟。用户可以在这类产品上持续创建运营告警的冒泡模型和自定义报表,有足够人力还可以做深入的数据挖掘,如根据User-agent识别爬虫和扫描工具,并联动WAF阻断,统计分析DNS日志,识别DNSTunnel。根据报文大小,识别异常流量。限于篇幅这里不一一展开。

数据来源:Cisco 在BroCon 2014 上的OpenSOC主题演讲
商业产品的一个显著缺点就是资金成本高,定制功能交付周期长,所以另一个选择是参考OpenSOC自行开发NG-SIEM系统。需要注意,这个选择仍然要较高的人力成本,好处是自由度高,团队可以随着产品的完善而不断成长,小公司也能用其满足关键需求。
2.输入数据质量低劣
有了NG-SIEM这个“基座”,很多安全团队往往迫不及待的不区分场景积极收集各类机器数据,试图收集的大而全后再开始进行数据挖掘,构建分析模型。然而在输入至SIEM时,很多数据就存在大量的无效告警注6和误报,典型如NIPS和WAF的告警以及海量的Access。log日志,这给资源有限的安全分析工作带来极大的挑战。而当其试图进行数据降噪(标记无效告警和失败攻击)时,由于SIEM对安全探针策略支持的不完善和详情展示不足(很多安全设备通过syslog吐出来的数据和原生portal上展示的数据详情有较大差异)会大概率再一次遭到挫折。最终变的garbage in,garbage out(垃圾数据进,垃圾数据出)。
因此笔者建议按照下面的思路来采集和处理安全数据更容易事半功倍。
2.1 在安全设备上优化安全策略和检测规则(Signature),消减误报。
2.2 在SIEM上对接CMDB(Configuration Management Database)以方便标记无效告警;并将同一威胁类别,同一时间窗口的不同安全探针的告警基于专家经验关联分析,标记失败攻击。
2.3 在NG-SIEM平台上使用机器学习进一步对安全告警进行降噪,典型如使用HMM算法对WAF告警进行降噪。
3.资产画像未能反映IT资产的真实安全状况
如前所述,很多国内的SOC产品都具备资产画像安全可视化能力,基本原理是用公式来计算资产的安全风险程度并将资产安全评分以图表方式呈现。如[不同威胁等级漏洞(A1)]*权重+[不同威胁等级告警(A2)]*权重+[不安全的配置(A3)]*权重+[资产敏感程度(A4)]*权重。而在日常的安全分析活动中,安全团队也会把原始安全告警中的无效告警和误报剔除,再对剩下的有效告警区分为成功的攻击和失败的攻击。只有成功的攻击才会对资产有实质的影响。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载