安全态势建设需“十年磨一剑显锋芒”

什么是江湖？只要有人的地方就是江湖，人在江湖，江湖在身。

第五空间亦是江湖，本质亦是人与人的博弈，万物互联的大数据时代，网络已深入企业的生产、运营和销售当中，面对各种可知、可见和隐秘的安全威胁，多年来建设的安全防护技术体系不足以应对，对日益具有针对性、体系化、规模化的安全攻击和组织，运用态势感知做为整个安全运营和防御的枢纽与大脑，感知攻击行为、预测攻击趋势，联动各单点安全防护能力形成合力，实现威胁的快速响应、及时处置，与其进行真实的较量，形成切实有效的安全防护，从而保护企业内部资产和业务。

而无论是SOC、SIEM还是态势感知，面临平台性能与伸缩性、数据采集多样性与标准化、安全情境关联能力、安全响应处置成熟度、安全团队人才输出等问题，建设的效果往往不如预期，怎么才能达到效果呢，这需要做好长期的规划来建设好大数据架构的基础设施，明确监测目标或业务场景，持续不断的更新优化数据、算法模型，做好基本功之后再谈应急处置乃至安全运营。

平台系统化建设的思路可分四步： 夯实大数据平台设施基础 -> 持续完善大数据安全分析要素与方法 -> 制定安全威胁处置手段 -> 安全人才队伍培养 。

一、夯实大数据平台设施基础

1. 保障平台的灵活扩展性、组件兼容性与数据容错性：

• 基于分布式架构的大数据平台，随日志量增长可平行扩展，使其拥有强大分析能力、快速查询效率和长周期数据处理能力；
• 平台功能模块化，提供一定的扩展能力，保持数据采集模块、威胁检测模块与平台的松耦合，使数据输入、数据输出接口相对独立；
• 具有灵活的API接口对接能力，可与ITSM类外部系统进行交互，同时也可支持调用漏洞管理、威胁情报、安全合规等其他平台的API进行数据的传递；
• 采集、消息处理、存储、检索各组件之间保持版本兼容性，保证数据的采集、传输、处理、存储和使用过程中的流转度、保真度；
• 数据采集、程序支持及存储组件ES要有容错机制，解决数据读取失败自动重传录入、程序假死、存储设备宕机等问题。

2. 提升安全分析引擎综合能力

安全分析引擎能够提供多种分析能力，基于安全威胁不同类型提供不同的分析方法，对安全威胁情况进行刻画，使用实时分析、离线分析、智能搜索进行威胁检测及态势场景分析，为安全告警、安全态势、威胁预警等上层功能提供数据支撑。

3. 做好数据“四可”治理，打通数据壁垒

数据不仅仅为日志事件还要包括情境信息、业务信息，是安全分析的关键因子，要考虑数据多样性、标准化、分类分级及共享机制，而数据自身的安全防控也不可缺少，这些问题的规避需要通过数据“可知、可用、可管、可控”做好预处理。

• 数据“可知”： 数据源多样化，不同部门间有共性数据，也有特性数据，针对共性数据定义统一解析标准。
• 数据“可用”: 建立跨部门协调决策机制，来平衡部门间数据共享的难度，保证业务数据独立性、共性数据统一、全量数据可重复利用。
• 数据“可管”： 对数据进行分类分级，规定数据提取的范围，依据接口规范明确数据提取的形式和格式，推动数据采集、保证采集数据质量。
• 数据“可控”： 在数据共享、使用的过程中应当做好脱敏脱密、明确用户的权限范围，保护数据机密性的同时避免数据被滥用。

二、持续完善大数据安全分析要素与方法

大数据安全分析其实就是数据挖掘与分析的过程，用数据来发现问题和寻找解决方案，通过数据获取、处理、分析和展示四个环节，来快速解决安全威胁（5W1H）：

• WHO-谁来攻击的？（人物）
• WHEN-什么时间发生的攻击？（时间）
• WHERE-攻击发生的地点？（地点）
• WHAT- 攻击的对象是什么？（对象）
• WHY-攻击发生的原因？（凭据）
• HOW-攻击是怎么发生的？（动作）

1、明确安全分析目标，按需获取分析三要素

The Relationship Among Use Cases From Gartner

• 场景：要解决什么安全问题？

互联网攻击：外部黑客攻击检测、勒索病毒防范、DDOS攻击等；

内部攻击：数据防泄漏侦测、内部资产风险监测、内部人员违规等；

业务风控：薅羊毛、撞／脱库、异常业务办理、接口安全分析、业务风险云图等。

• 数据：需要什么样的数据源？

Activity : 日志、流量、应用、终端、元数据及其它第三方数据等；

Context : 用户身份、资产、脆弱性信息、行为信息、情报信息。

• 分析：运用什么样的分析方法？

关联分析（专家规则）、动态基线（用户行为分析）、机器学习（模型分析）、对比分析（威胁情报关联）、用户画像等。

2. 依据场景和数据建立相适的分析算法/模型

在使用分析算法和建模之前，需要了解研究的对象是什么，通过业务场景多维度挖掘可用的信息，依据维度数值特征和统计特征建立合适的算法模型。同一个场景可能存在很多不同的检测方法，例如Webshell的异常检测：

• 最直接的方法就是使用字符进行规则匹配，这种做法准确率高、速度快，但是随着时间的变化规则库中的字符就会过时，达不到预期的检测效果；
• 通过把url转换成词向量，使用分类模型（例如随机森林）的方法可以在某种程度上补充规则的不足，但是这种做法还是没法做实质性的提升，同时这种还需要大量的label数据；
• 通过对webshell网页访问路径和其它正常网页访问路径的被访问区别（例如页面出入度、页面曝光时间、来访IP数量等维度存在差异），将网页访问路径这方面的属性提取，利用非监督学习（如孤立森林）有针对性的将webshell网页被访问特征孤立出来达到检测webshell的目的，但是这种做法需要的后期验证较多。

所以在建模时需要综合考虑企业的实力、安全需求和各种算法的优缺点，从实际情况出发选择算法。目前主流的分析算法包括分类、聚类、关联分析等，对于在异常检测中的应用，可从场景概念、数据属性、当前挑战、常用手法四个角度来看。

3. 基于Threat Hunting安全攻击威胁分析方法

所谓“知彼，方能出奇制胜”，对于黑客的非法入侵也有行迹可寻，基本的套路是reconnaissance(侦察)，weaponization(武器构建)，delivery(载荷投递)，exploitation(漏洞利用)，installation(安装植入)，command and control(C2)(指挥和控制)，and actions on objectives(目标达成)7个阶段，每个阶段都有特定的攻击手段。基于洛克希德·马丁Cyber Kill Chain攻击链模型，构建网络攻击生命周期，提供安全分析与监测、安全防御与控制的全景图。

网络攻击生命周期

依据黑客攻击的路径和手段，建立基于Threat Hunting安全攻击威胁分析方法，对安全事件结果提供以攻击技术为分类的展示功能。将攻击过程简化为探测、攻击、安装、控制四个级别，在攻击过程中快速了解目标资产的伤害程度、攻击者的意图、利用的 工具 等等，实现针对性的策略响应，比如黑IP禁用、攻击范围限定等，必要时配合蜜罐蜜网进行主动欺骗防护，帮助管理人员争取更多的响应时间，避免威胁的范围扩散和资产价值的进一步损失。

• 探测阶段：攻击者通过扫描、钓鱼及社工等方式来获取主机、应用系统及网络设备存在的漏洞。
• 攻击阶段：针对探测阶段发现的漏洞，制定攻击策略及攻击工具，实施有针对的攻击。攻击活动包括暴力破解、访问控制漏洞利用、业务逻辑漏洞利用及系统可用性攻击等。
• 安装阶段：攻击者进行文件上传及漏洞利用的过程。攻击活动包括上传脚本、上传木马、上传病毒、访问绕行及权限提升等。
• 控制阶段：攻击者发起潜伏、隐藏行迹及发起攻击等过程。攻击活动包括横向移动、嗅探、数据收集、外部通讯等。

4. 安全威胁可视化，洞察网络环境和资产安全动态

• 问题导向 – 从一个客观存在的安全问题，深入、细化到问题内部的方方面面，分解出问题考量的安全指标。
• 数据分析 – 将海量的、复杂的、看起来无法关联的数据通过数据挖掘建立关联关系，获得具有分析价值的信息。
• 可视设计 – 将抽象的数据转化为可见的图形符号，用人可理解的图形语言来描述数据的内涵。

通过在海量数据中提取真正需要关注的碎片化内容，与用户的个性化安全场景、业务安全指标的关联，利用图表工具简单直观的去描述网络环境和资产方面的安全状态、安全趋势来发现和解决问题。

三、制定安全威胁处置手段

1. 跨部门协作，实现处置“五步”闭环

安全事件处理流程应定义不同级别的事件需要什么样的人，在多长时间内按什么标准处理完成。当发现安全威胁时，能以邮件、短信、微信等方式提醒通知平台运维人员，通过前期的预判分析，明确威胁类型和级别，按照事先定义好的处理流程，以工单类形式发送给相关责任人进行处理；在规定时间内完成处理和反馈，平台运维人员核查处置效果，并对安全威胁进行风险评估，判断是否存在残余风险，如存在，则继续分析、抑制和恢复整改；最后对发生的安全事件、处置方法、处置效果等进行总结记录加入知识库，当发生相似事件时为处置人员提供参考依据。

在此基础上制定安全威胁应急处置预案，对影响范围广、影响程度高的高级安全威胁提前做好应对措施，形成行之有效的网络安全协同处置机制，最终实现根据事件的类型与级别把事件处理工作分流到对应的责任单位或人，完成从“预判-派发-反馈-核查-总结”五步闭环。

2. 安全任务统一管理，完善安全台账工作

通过安全任务管理模块实现安全督促、安全检查和安全汇总，做好协调和安全台账完善工作，起到自我督促、强化安全管理的作用。安全任务管理模块包括消息推送、事件通报、计划管理、策略管理、报告报表等。

• 消息推送与事件通报：按需向各管理人员推送安全消息，比如业务安全指标情况、行业安全资讯、监管政策等，高效挖掘与业务价值有关的信息；对表彰性、批评性和政策性的安全事件/活动进行通报，传达管理层“重要精神或情况”，提高网络安全保护意识，明确哪些事情该做哪些不该做。
• 计划管理：结合PMP进度管理思想，将重大安全任务（如攻防演练、重大活动保障等）分割细化，明确任务完成的时间和负责人，让管理层实时了解任务进展情况，在任务推动困难时，可进行资源的调度。
• 策略管理：统一制定全网安全策略，下发给各相关部门进行配置落实；结合业务的变化、各部门反馈来的意见，不断调整、优化安全策略。
• 报告报表：面对管理层和管理员需提供不同的安全报告，对安全事件综合分析，把控全局安全状况和安全态势信息，提供不同层级的安全决策支持。

3. 第三方安全服务协调机制

• 安全响应支撑服务

基于第三方提供的安全事件响应及技术支持服务，服务内容可为远程协助服务、安全分析服务、策略优化服务、应急响应服务、重大活动保障服务等。以保障业务系统可用性及业务连续性为目标，提高安全事件排查效率，并通过事件分析和整改建议来降低安全事件发生率。

• 行业威胁信息管理

基于第三方安全厂商威胁监测的知识库共享，监测全球安全事件和行业威胁，及时发现针对行业的安全事件，实时推送预警和防护方案，快速调整策略应对安全威胁，形成“行业威胁监测-风险主动预警-防护策略调优”处置链。

• 定期巡检和培训

定期巡检服务除了信息系统健康检查、设备系统故障排除，更应辅助用户对威胁检测规则进行优化，提高威胁检测率；更新最新威胁检测模型，及时应对新型威胁等。

定期展开产品的专业技术交流、新技术新应用等培训，通过知识传递，让平台管理人员能够掌握相关知识并具有相关技能。

四、 安全人才队伍培养

借助在平台系统化实施工作的过程中，培养一支有素质、有水平、作风优良的复合型人才队伍，以“人”为本，依据平台的建设、流程的制定实现安全运营，运营团队的人员配备和能力培养考验的是安全责任人或首席安全执行官（CSO）的经验与学识，所以安全责任人或首席安全执行官（CSO）是整个运营团队最重要的一个角色，为了更好的贯彻安全策略以及完成日常的运营工作，其他人才也必不可少，至少包含安全运维人员、安全分析人员、安全运营人员等。

• 安全责任人或首席安全执行官（CSO），负责整个机构的安全运行状态，对公司内部的安全工作进行监督、协调，为平台相关的部署、成本、必要技术、设备以及员工培训等方面提供决策；
• 安全运维人员，负责7*24日常监控、事件响应、初步调查、信息通告、日/周/月报等；
• 安全分析人员，负责安全检测规则/模型和安全二线、事件调查、安全分析报告、规则/模型持续改进等；
• 安全运营人员，负责运营工作规范、响应与处置流程的制定、应急预案的制定、安全运营报告与管理层汇报等。

通过以上四个步骤完成平台系统化建设，做到安全威胁事前、事中及事后的灵活应对，提高运维及应急响应速度和质量，将安全威胁的闭环处置周期缩短，大幅降低安全风险及处置成本，构建成为预警、防护、检测、响应闭环的自适应安全运营体系，实现安全与业务发展的紧耦合。

最为重要的是，平台系统化的建设是一个持续优化和运营的过程，首要前提是需要公司和高层的大力支持及持续的安全投入，其次需要在不断的实战中进行磨合、沉淀，感悟实战经验后，通过长时间的持续对抗进行数据补充优化、场景建模优化、应急处置流程优化、安全服务团队优化的过程，结合企业自身的业务、组织架构和安全管理制度，运用PDCA来不断的校验、改正、提升，以技术硬实力震慑，让攻击者付出巨大的攻击成本而自然避让，所以“十年磨一剑方显锋芒”。

未来态势建设技术应用趋势

• 威胁情报

在业界已经谈了很多年，由于企业安全防御理念向“主动检测响应”的转变，使其更加受到关注和热议，以“威胁情报驱动”的威胁检测体系将是趋势。从实用性上，要考虑情报的Accuracy(准确性)、Relevance(相关性)、Timeliness(时效性)；从落地性上，要考虑如何利用情报提升网络安全，进行威胁情境关联、告警溯源查询、安全数据与情报自动化对比、行业威胁信息管理等。将威胁情报与态势感知或大数据安全分析平台结合，补充安全威胁强关联的上下文信息，增强安全团队对各类威胁的识别能力；在威胁处置可实施性方面提供建议，缩短安全事件发现和分析周期，提升安全团队处理威胁的响应效率。

• 安全运营自动化和编配技术

企业战略集团(ESG)的研究表明，19%的企业组织(比如超1000员工数的企业)已经在广泛引入安全运营自动化和编配技术，39%正有限度的开展此项工作，26%参与了增加安全运营自动化与编配技术的项目，13%计划在未来实现安全运营自动化与编配技术。 （此段摘自安全牛）

不管是从市场势能、用户效益还是为了实现SOAR原生功能的扩展来打造企业级SOAPA平台，积极推动了此项技术的发展，自动化和编配将发展成为平台不可或缺的安全工具。

通过理解每一项安全任务工作流，收集全流程所需的数据，对其整个生命周期进行记录、管理和跟踪，实现平台支撑人员、安全运营团队及IT运营团队间所必要的交接。将简化例行程序、减少重复性任务的情况，实现良好的“全自动化”；将可能影响IT基础设施和业务运行的情况，以“半自动化”方式进行辅助，自动化收集所需信息，用“人工”的方式对可用数据进行调用。通过自动化安全检测、自动化交互式分析、自动化响应处置，来提升整体安全响应的效率，解决企业信息安全人才短缺的问题。

【作者简介】

擅长领域：项目管理、安全解决方案、大数据安全产品。