[[349245]]

目前復(fù)雜嚴(yán)峻的國際形勢迫切需要我國發(fā)展自主可控的基礎(chǔ)軟硬件產(chǎn)品及其生態(tài)產(chǎn)業(yè)鏈，日趨完善的產(chǎn)業(yè)鏈推動了網(wǎng)絡(luò)國產(chǎn)化替代工程[1]的大范圍推廣。長期以來，外部網(wǎng)絡(luò)攻擊以及內(nèi)部威脅等網(wǎng)絡(luò)安全事件持續(xù)發(fā)生，針對國產(chǎn)產(chǎn)品生態(tài)構(gòu)建的網(wǎng)絡(luò)，如何充分整合自主可控產(chǎn)業(yè)鏈的優(yōu)勢，提升網(wǎng)絡(luò)安全運(yùn)維與事件處置的能力，是網(wǎng)絡(luò)安全運(yùn)維人員關(guān)注的熱點問題。

本文針對基于國產(chǎn)產(chǎn)品構(gòu)建的網(wǎng)絡(luò)，采用先進(jìn)的自動化網(wǎng)絡(luò)運(yùn)維技術(shù)手段，構(gòu)建網(wǎng)絡(luò)安全運(yùn)維[2]與事件自動化處置機(jī)制[3]，通過構(gòu)建生態(tài)內(nèi)產(chǎn)品的多源數(shù)據(jù)融合管理能力、國產(chǎn)基礎(chǔ)軟硬件以及國產(chǎn)網(wǎng)絡(luò)安全產(chǎn)品間相互協(xié)同的能力，實現(xiàn)網(wǎng)絡(luò)全景一體化安全數(shù)據(jù)融合管理[4]，并完成網(wǎng)絡(luò)內(nèi)安全事件快速高效的自動化響應(yīng)、處置。

1.網(wǎng)絡(luò)安全運(yùn)維與事件自動化處置介紹

目前國產(chǎn)生態(tài)產(chǎn)業(yè)鏈中網(wǎng)絡(luò)安全產(chǎn)品日趨完善，已出現(xiàn)了多種防護(hù)產(chǎn)品以及設(shè)備監(jiān)控與運(yùn)維管理系統(tǒng)，為了解網(wǎng)絡(luò)安全狀態(tài)提供數(shù)據(jù)基礎(chǔ)。

網(wǎng)絡(luò)安全運(yùn)維[5][6]與事件處置旨在通過利用多源數(shù)據(jù)及時發(fā)現(xiàn)網(wǎng)絡(luò)中存在的各種安全威脅和脆弱性，形成網(wǎng)絡(luò)安全事件，通過對網(wǎng)絡(luò)安全事件的綜合分析，采取有效措施阻止網(wǎng)絡(luò)安全事件的進(jìn)一步擴(kuò)散，防止網(wǎng)絡(luò)內(nèi)基礎(chǔ)設(shè)施破壞和數(shù)據(jù)篡改、泄露，保障網(wǎng)絡(luò)內(nèi)業(yè)務(wù)系統(tǒng)安全、穩(wěn)定和高效地運(yùn)行。

網(wǎng)絡(luò)安全運(yùn)維中的事件自動化處置[7]通過事先定義好的流程化框架對系統(tǒng)進(jìn)行監(jiān)控，一旦達(dá)到觸發(fā)條件，可以按照預(yù)先設(shè)置流程，通過多個設(shè)備或者服務(wù)間的事件協(xié)同，實現(xiàn)事件的自動化處置。

網(wǎng)絡(luò)安全運(yùn)維與事件自動化處置技術(shù)經(jīng)歷了2個重要的階段：安全信息及事件管理(security information and event management, SIEM)和安全編排、自動化及響應(yīng)平臺(security orchestration, automation and response, SOAR)。

安全信息及事件管理[8]SIEM最初由日志管理技術(shù)發(fā)展而來，將安全事件管理與安全信息管理技術(shù)結(jié)合到一起對數(shù)據(jù)進(jìn)行收集、存儲、分析、調(diào)查和報告來實現(xiàn)事件響應(yīng)和取證。2017年Gartner提出了安全編排、自動化與事件響應(yīng)[9]，通過綜合數(shù)據(jù)收集、案例管理、標(biāo)準(zhǔn)化、工作流和分析相結(jié)合，定義事件響應(yīng)流程，最終實現(xiàn)自動化事件響應(yīng)活動。

為了保證基于國產(chǎn)產(chǎn)品生態(tài)鏈所構(gòu)建網(wǎng)絡(luò)的健康、穩(wěn)定運(yùn)行，需要深入了解基于國產(chǎn)產(chǎn)品生態(tài)所搭建網(wǎng)絡(luò)運(yùn)維面臨的新機(jī)遇和挑戰(zhàn)，充分利用產(chǎn)品生態(tài)鏈的自主可控的優(yōu)勢，采用先進(jìn)的網(wǎng)絡(luò)安全運(yùn)維與事件自動化處置技術(shù)，設(shè)置面向不同風(fēng)險的細(xì)粒度處置機(jī)制，打破各個安全產(chǎn)品以及系統(tǒng)各自為政、相互之間不關(guān)聯(lián)不聯(lián)動的局面，形成全面系統(tǒng)的一體化運(yùn)維管理體系。

2.針對國產(chǎn)產(chǎn)品生態(tài)的網(wǎng)絡(luò)安全事件高效管理運(yùn)維關(guān)鍵技術(shù)

2.1 技術(shù)框架

網(wǎng)絡(luò)安全運(yùn)維與事件自動化處置平臺從網(wǎng)絡(luò)安全產(chǎn)品獲取日志和告警事件數(shù)據(jù)信息，在核心平臺上自動進(jìn)行綜合分析整理，并最終達(dá)到安全事件的自動化處置響應(yīng)的目的。網(wǎng)絡(luò)安全運(yùn)維與事件自動化處置框架如圖1所示。

圖1 網(wǎng)絡(luò)安全運(yùn)維與事件自動化處置框架

2.2 基于SOAR的網(wǎng)絡(luò)安全事件管理與處置引擎

網(wǎng)絡(luò)安全事件管理與處置引擎依據(jù)專用運(yùn)維事件庫，對接收的運(yùn)維事件進(jìn)行分類與存儲，最后由SOAR引擎實現(xiàn)事件研判與自動化響應(yīng)[10]，圖2展示了網(wǎng)絡(luò)安全事件管理與處置引擎的流程架構(gòu)圖。網(wǎng)絡(luò)安全運(yùn)維人員可以結(jié)合國產(chǎn)產(chǎn)品生態(tài)構(gòu)建的網(wǎng)絡(luò)特點，通過持續(xù)感知網(wǎng)絡(luò)的合規(guī)性風(fēng)險以及其他隱蔽的內(nèi)部威脅和網(wǎng)絡(luò)攻擊行為，構(gòu)建專用運(yùn)維事件庫。

系統(tǒng)通過業(yè)務(wù)流程建模與標(biāo)注[11](business process model and notation, BPMN)技術(shù)進(jìn)行靈活、可配置的劇本編排[12]，將人員、流程、設(shè)備結(jié)合成統(tǒng)一的整體，根據(jù)運(yùn)維場景定制有效的劇本，完成事件研判與自動化響應(yīng)，當(dāng)有劇本涉及的告警事件發(fā)生時，網(wǎng)絡(luò)安全事件管理與處置引擎便可以按照劇本進(jìn)行(半)自動化響應(yīng)，實現(xiàn)人員、流程、設(shè)備無縫融合。網(wǎng)絡(luò)安全事件管理與處置引擎可以與某些專用設(shè)備的主動防御體系進(jìn)行有機(jī)結(jié)合，形成貫穿安全事件觸發(fā)、研判分析、處置、恢復(fù)全生命周期的自動化防御機(jī)制。

圖2 網(wǎng)絡(luò)安全事件管理與處置引擎流程架構(gòu)圖

2.3 網(wǎng)絡(luò)安全事件分類

結(jié)合網(wǎng)絡(luò)安全防護(hù)的不同需求，網(wǎng)絡(luò)安全運(yùn)維人員需要構(gòu)建網(wǎng)絡(luò)內(nèi)安全事件類型庫。當(dāng)新的告警日志觸發(fā)后，網(wǎng)絡(luò)安全事件管理與處置引擎將根據(jù)告警事件的多維度屬性，實現(xiàn)(半)自動化的網(wǎng)絡(luò)安全事件類型判定。網(wǎng)絡(luò)安全事件通常分為內(nèi)部和外部事件，圖3展示了一個典型的網(wǎng)絡(luò)安全事件分類場景圖。

圖3 網(wǎng)絡(luò)安全事件分類場景圖

2.4 國產(chǎn)產(chǎn)品生態(tài)的多源數(shù)據(jù)融合管理

國產(chǎn)生態(tài)產(chǎn)業(yè)鏈已包含監(jiān)控與審計類產(chǎn)品、防病毒系統(tǒng)、身份鑒別系統(tǒng)、運(yùn)維系統(tǒng)等多種網(wǎng)絡(luò)安全產(chǎn)品;為滿足某些高安全等級網(wǎng)絡(luò)較高的安全防護(hù)能力要求，針對信息輸入輸出管控、可信軟件安裝卸載管控等，也出現(xiàn)了配套的網(wǎng)絡(luò)安全防護(hù)產(chǎn)品。上述產(chǎn)品為網(wǎng)絡(luò)安全運(yùn)維人員提供了大量的告警日志的同時，也為運(yùn)維人員帶來了數(shù)據(jù)碎片化、誤報率高的難題。因此，需要針對不同告警事件類型，梳理與其相關(guān)聯(lián)的網(wǎng)絡(luò)安全產(chǎn)品，通過生態(tài)內(nèi)多種網(wǎng)絡(luò)安全產(chǎn)品接口間的交互，按照預(yù)定義格式要求，對多源告警日志進(jìn)行數(shù)據(jù)融合，生成包含人員、設(shè)備、應(yīng)用系統(tǒng)/軟件、信息資源、網(wǎng)絡(luò)攻擊手段、漏洞等全方位的安全事件描述信息。

2.5 安全事件的趨勢分析與處置結(jié)果推薦

攻擊鏈經(jīng)常被用于對事件成因分析以及事件發(fā)展趨勢的評估，攻擊鏈[13]是對高級可持續(xù)威脅攻擊(Advanced Persistent Threat, APT) 的攻擊過程中各個攻擊階段以及網(wǎng)絡(luò)攻擊生命周期的刻畫。結(jié)合外部情報、事件鏈當(dāng)中的相關(guān)事件以及這些事件的組合關(guān)系，將事件鏈中的事件映射成攻擊鏈當(dāng)中的不同的階段[14]，形成可解釋的安全事件鏈，圖4為事件鏈向攻擊鏈映射的一個例子。

網(wǎng)絡(luò)運(yùn)維人員結(jié)合當(dāng)前攻擊行為所處的階段和攻擊未來的發(fā)展趨勢，充分利用人員、設(shè)備、應(yīng)用系統(tǒng)/軟件、信息資源、網(wǎng)絡(luò)攻擊手段、漏洞等全方位信息，對歷史同類安全事件進(jìn)行綜合分析，為網(wǎng)絡(luò)安全事件管理與處理引擎自動推薦合理的處置方案，指導(dǎo)引擎完成事件的快速處置響應(yīng)[15]。

圖4 事件鏈-攻擊鏈信息映射圖

3.總 結(jié)

本文基于先進(jìn)的自動化網(wǎng)絡(luò)運(yùn)維技術(shù)手段，對網(wǎng)絡(luò)安全運(yùn)維與事件自動化處置機(jī)制關(guān)鍵技術(shù)進(jìn)行探討，通過構(gòu)建針對國產(chǎn)產(chǎn)品生態(tài)的網(wǎng)絡(luò)安全事件管理與自動化引擎，融合網(wǎng)絡(luò)安全事件分類、多源數(shù)據(jù)融合管理以及安全事件趨勢分析與處置結(jié)果推薦的能力，通過國產(chǎn)產(chǎn)品生態(tài)內(nèi)產(chǎn)品間的協(xié)同，解決長期以來運(yùn)維所面臨的數(shù)據(jù)碎片化、事件處置效率低下等問題，實現(xiàn)網(wǎng)絡(luò)內(nèi)安全事件的綜合分析以及快速高效的自動化響應(yīng)、處置，提升國產(chǎn)產(chǎn)品生態(tài)的網(wǎng)絡(luò)安全運(yùn)維能力。

注：該文章發(fā)表于《信息安全研究》，第10期

參考文獻(xiàn)

[1]胡志強(qiáng)。基于自主可控技術(shù)的國產(chǎn)化替代綜述[J]。網(wǎng)絡(luò)空間安全, 2018, 9(8): 1-1

[2]劉學(xué)。新形勢下的網(wǎng)絡(luò)信息安全運(yùn)維[J]。網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 2020(1):7-8

[3]王理想, 符睿。網(wǎng)絡(luò)自動化運(yùn)維管理技術(shù)研究[J]。數(shù)字化用戶, 2019, 25(10):24,26

[4]孫立雷。網(wǎng)絡(luò)安全管理平臺中的數(shù)據(jù)融合技術(shù)[J]。電子技術(shù)與軟件工程, 2018, 133(11):225-225

[5]Miloslavskaya N G 。Security operations centers for information security incident management[C]//Proc of IEEE Int Conf on Future Internet of Things & Cloud。Piscataway, NJ: IEEE, 2016：131-136

[6]Cichonski P, Millar T, Grance T, et al。Computer security incident handling guide[OL]。[2020-09-09]。https://nvlpubs。nist。gov/nistpubs/SpecialPublications/NIST。SP。800-61r2。pdf

[7]Carver M, DiValentin L W, Lefebvre M L, et al。Method and system for automated incident response: US, 9807120[P]。2017-10-31

[8]Bhatt S, Manadhata P K, Zomlot L。The operational role of security information and event management systems[J]。IEEE Security & Privacy, 2014, 12(5): 35-41

[9]Gartner says detection and response is top security priority for organizations in 2017[OL]。[2020-05-15]。https://www。gartner。com/en/newsroom/press-releases/2017-03-14-gartner-says-detection-and-response-is-top-security-priority-for-organizations-in-2017

[10]Ohmori M。On Automation and Orchestration of an Initial Computer Security Incident Response by Introducing Centralized Incident Tracking System[J]。Journal of Information Processing，2019,27:564-73

[11]Kocbek M, Jošt G, Heričko M, et al。Business process model and notation: The current state of affairs[J]。Computer Science and Information Systems, 2015, 12(2): 509-539

[12]Luo S, Salem M B。Orchestration of software-defined security services[C]//Proc of 2016 IEEE Int Conf on Communications Workshops (ICC)。Piscataway, NJ: IEEE, 2016: 436-441

[13]Martin。The cyber kill chain[OL]。[2020-04-22]。 https://www。lockheedmartin。com/en-us/capabilities/cyber/cyber-kill-chain。html

[14]Milajerdi S M, Gjomemo R, Eshete B, et al。Holmes: real-time apt detection through correlation of suspicious information flows[C]//Proc of 2019 IEEE Symp on Security and Privacy (SP)。Piscataway, NJ: IEEE, 2019: 1137-1152

[15]Chen Zhong, Yen J, Peng Liu, et al。An integrated computer-aided cognitive task analysis method for tracing cyber-attack analysis processes[C]//Proc of the 2015 Sympand Bootcamp on the Science of Security (HotSoS '15)。New York：ACM, 2015:1–11

【本文為51CTO專欄作者“中國保密協(xié)會科學(xué)技術(shù)分會”原創(chuàng)稿件，轉(zhuǎn)載請聯(lián)系原作者】

戳這里，看該作者更多好文