Focus    焦点
安全态势感知的创新和实践
文/孙松儿
分享

当前网络安全形势复杂,网络攻击仍处于高发态势,涉及到国家级网络公共基础设施、国计民生的重要信息系统和日益增长的移动终端,涵盖了病毒、木马、漏洞、流量攻击等多种类型,攻击门槛不断降低,攻击对象更加广泛,攻击手段复杂多样,攻击范围跨洲跨国,攻击目的利益驱动,总体来看,现阶段的安全攻防形势呈现出专业化、商业化、国际化和移动化等特点。

面对这种复杂的安全攻防形势,国内的监管机构也在逐步深化落实安全等级保护等合规制度。在完成多种安全设备的部署实现被动的防御之后,用户开始考虑更深层次的问题:1)安全风险的主动检测问题,系统是否具备对于未知威胁的云端识别和检测能力?能否实现提前的威胁预警?2)多设备协同防护的问题,是否具备对攻击进行快速响应联动以及对攻击路径进行追踪溯源的能力?3)安全防御体系建设和安全情报共享相结合的问题,能否结合安全情报实现二次攻击的分析和挖掘?对用户行为和流量趋势能否准确检测判断异常情况?4)简易化运维管理的问题,企业是否能实现安全合规的定期自检测能力?海量设备能否实现云中的智能配置管理和故障诊断?在这种背景下,安全态势感知应运而生。

态势感知是以安全大数据为基础,对能够引起网络态势发生变化的要素进行获取、理解、评估、呈现以及对未来发展趋势预测的一个过程;是从全局视角提升对安全威胁的发现识别、理解分析、响应处置的一种能力;是通过智能分析和联动响应,结合机器学习和人工智能,实现“安全大脑”的闭环决策,并在云端实现安全能力的落地实践。

图1 态势感知的定义

安全态势感知将围绕风险、资产、业务应用等对象,从安全日志、终端行为、网络流量、业务运营数据、资产管理和故障诊断等多源数据采集着手,通对全局安全状态评价、外部攻击评级、系统自身状态合规自检等手段,实现“事态可评估”;通过对攻击趋势分析、异常流量趋势判断和终端行为异常检测,实现“趋势可预测”;通过对未知威胁的检测识别、流量/行为/资产的状态监控和多维度风险分析和可视化呈现,实现“风险可感应”;通过对攻击溯源取证、云网端的协同联动、工单流程的闭环处理、以及设备策略的自适应调整,实现“知行可管控”。围绕态势感知的定义和内涵进行落地实践,才能实现用户对于安全态势的全面掌控。

一、态势感知的主要内容和设计思路

1、态势感知的主要内容

安全态势感知是一个系统性工程,需要从技术支撑、组织保障、运行维护、外部合作等方面进行协同联动,才有可能真正发挥价值。从技术支撑的角度看,安全态势感知需要涵盖以下六个方面的内容。

● 攻击态势感知

通过对各种网络安全设备、服务器中间件和主机安全日志等信息采集分析,实现对整网安全攻击情况的可视化呈现和趋势预测。除了攻击类型、攻击趋势,攻击源和攻击目的TOP分析呈现外,对于二次攻击的模型分析和数据挖掘、攻击路径分析和追踪溯源等方面进行突破,为后续的安全策略生成和联动响应提供必要的技术支撑。

● 威胁态势感知

威胁态势主要涉及的是针对安全漏洞利用、病毒、蠕虫、木马和恶意代码等风险检测情况,针对入侵防御、防病毒网关、WEB安全网关、email安全网关、沙箱等多种设备进行信息采集和分析预测,从多个维度对这些威胁形势进行呈现,同时结合外部情报信息实现对未知安全风险进行分析判断和预警,为后续的响应决策赢得时间。

● 流量态势感知

流量分析是态势感知的重要内容,围绕用户、业务、关键链路和互联网访问等多个维度的流量分析,一方面可以实现对用户和业务访问的精细化管理,建立网络流量的多种流量基线,从而为后续的链路、带宽和服务器扩容提供技术支撑。另一方面,通过对多维度实时流量的监控,可以有效发现网络中的异常攻击流量,用户访问异常行为,以及诸如DDOS攻击和病毒蠕虫攻击的信息,提升对于流量攻击的风险把控和防御。

● 行为态势感知

用户行为态势分析,是提升内网安全合规的重要手段,通过分析监控用户终端的进程、终端外部媒介的使用行为、互联网出口用户的流量访问、以及用户主机的各种email/FTP/HTTP等外发行为,结合机器学习和人工智能算法,准确找到用户行为之间的关联,一方面可以为用户进行画像,对其访问轨迹、互联网访问的内容和关注重点等进行分析,同时通过数据挖掘找到其兴趣爱好,为后续的信息推送等服务提供支撑。另一方面,对用户的外部文件传送、HTTP访问、以及诸如email邮件发送等行为进行安全审计,通过机器学习的算法找到其不同行为之间的关联,对潜在的用户异常行为进行挖掘和判断,确保安全合规和信息泄露防护的需求。

● 运维态势感知

围绕着用户、资产、和业务的关联,聚焦资产或业务的状态监控、性能监控、配置基线管理、运维告警和故障诊断,结合大数据的分析方法,全面感知和监控资产的运营状态和安全指数,为运维决策和联动响应提供可视化的呈现和简易化的操作;同时也可以实现对用户的远程代维代管,为后续的安全云运维增值业务的开展提供帮助。

● 合规态势感知

在当前强调等保合规的情况下,企业安全合规检查一直是用户感兴趣的话题。通过安全合规自检平台,内置专业等保工具箱,针对业务和应用层面,全面评估系统在业务流转、业务逻辑、业务交付等环节的安全风险,深度挖掘和识别网络各层存在的安全漏洞,提升系统和业务的可控性可靠性和合规性。

2、态势感知的设计思路

分析态势感知的定义和内容,可以发现其有四个明显的特点:

● 行业需求差异性:针对不同的行业,其输入的数据源和分析的目的都会有所不同,好的态势感知系统,要具备用户个性化和行业化的定制能力,深入了解各个行业的特定应用和用户关注的重点需求,这就要求态势感知需要具备平台化的设计要求;

● 环境动态变化性:网络中影响安全形势变化的因素随时都在变化,包括网络中的人、设备、应用等各个方面。面对这种变化,需要态势感知具备对环境变化的敏感性和智能化、提高对风险分析的快速性和准确性,实现对安全风险的及时响应和决策。

● 多角色/多维度的层次化呈现:安全态势感知是一个复杂的系统,围绕资产、业务、用户的安全风险分析和异常行为挖掘都会有差异化的呈现要求,包括为了满足三权分立的要求需要对管理员角色进行严格的权限控制。在多租户的环境下,也需要考虑不同租户的数据隔离和可视化内容呈现的区别。这意味着要有很好的可视化技术来支撑。

● 趋势或态势的全局性:安全态势感知是面向全局的趋势分析和态势掌控,结合安全情报形成的各种安全风险或态势的预警信息,可以反馈到数据源接入的各层用户,其本身也可以作为一种服务能力交付给有需要的用户。

根据态势感知的四个特点,安全态势感知的设计需要遵循四个原则:平台化、智能化、可视化、服务化。

● 平台化是基础。需要构建开放式的态势感知系统平台框架,通过提供开放安全数据接口API,实现用户数据的差异化导入和用户业务需求的个性化呈现;

● 智能化是核心。面对多样化的安全风险,需要充分利用多种安全分析引擎设计,并借助机器学习和人工智能等高级算法,实现对安全风险的准确识别和深度挖掘;

● 可视化是手段。要从不同视角和维度进行风险呈现,以恰当、直观的图表,针对不同角色定义差异化将数据指标形象化、直观化、具体化的呈现,支持多维联动交互,为管理决策提供支撑。

● 服务化是目的。通过安全即服务的交付模型,在安全态势感知的情况合作共享、安全态势感知云中心的安全检测和防御等方面,为各级租户提供差异化的服务能力交付。

二、 态势感知关键技术实现

1 、基于机器学习的深度威胁分析

深度威胁分析一直是目前的热点研究方向,尤其是针对未知攻击流量进行检测和预警。机器学习结合情报共享是一种检测未知威胁的有效方法。利用机器学习技术,可以对成千上万的网络日志、威胁情报等信息进行自动分析处理与深度挖掘,充分融合借鉴有监督、无监督和半监督模型的特点,通过分类、聚类、回归、深度学习等算法进行模型训练,从海量数据中甄别出潜在的安全威胁并提取关键特征,真正实现机器学习在安全态势感知的落地实践,掌控全网安全态势,提前预警安全风险。

2 、用户 / 流量异常行为预测

在异常行为分析预测过程中,围绕网络流量、用户行为、外部情报等数据,利用数学建模、机器学习、关联挖掘等核心技术,为每个用户行为进行精确画像,建立用户行为模型和用户行为基线。通过用户历史行为学习,同类用户行为偏离,危险行为模型三个维度挖掘用户异常行为,防止内网用户进行资产破坏和数据窃取。同时围绕用户和业务的流量访问模型,基于业务、用户和关键链路建立流量访问基线,结合情境分析和机器学习算法实现对异常流程的有效检测,为企业的安全合规和信息泄露保护提供有效的参考。

3 、云化安全运维技术

充分利用安全云平台,实现智能化安全运维是提升运维效率的有效手段。在对全网资产进行资源管理的基础上,以业务应用为牵引,实现多维度数据采集和状态监控、性能监控以及全生命周期配置管理的流程,并充分利用可视化技术呈现实现全景运维。在这个落地实践的过程中,紧密围绕管理统一化、决策智能化、服务容器化和运维可视化这四个原则,实现平台型运维的最佳实践。在满足企业简易化运维的基础上,还可以对未来的云运维SAAS服务提供技术支撑。

4 、可视化技术实现

系统可视化设计是人机交付的重要窗口,根据不同行业的业务特点,结合多角色的差异化呈现需求,提供多维度的视图剖面和多样化的数据显示效果,使得不同的监管角色能够实时掌握全局安全态势状况,保障业务的顺畅运行。为了达到这个效果,可以充分利用3D图表、雷达图、拓扑图、热度图等样式,清晰完整展现整个网络的运行状态。从不同视角和维度对攻击、威胁、风险等进行实时呈现,对全网资产、流量、业务和行为进行多维度透视呈现。通过访问关系分析、路径分析、合规分析、变更分析等环节,实现安全策略的生命周期闭环且可视化。

结束语

态势感知系统的落地实践,可以提升用户的安全体验,成就客户价值。首先,用户通过对已知风险和未知风险的多维度分析和可视化呈现,可以快速发现问题并通过联动响应来解决问题;其次,通过对安全风险的趋势分析和异常行为预测,能够提早感知风险,增强了对风险的预判和决策能力;另外,通过云化运维的设计实现,可以提升全局安全设备的运维效率,减少故障诊断和业务恢复的时间;最后,根据态势感知专业安全合规自检结果,可以对系统进行安全加固完善,满足企业的安全合规的要求,真正实现对安全风险的“主动发现、协同防御、智能进化、预知未来”。

分享到
关闭