洋葱式信息安全观察-威胁情报导向的安全防御思路

楔子:“网络空间安全领域最惨痛的战役,是战役已经结束了,我们甚至都不曾察觉战役曾经发生过。”

防火墙、IDS、网络防病毒软件,已经成为企业信息安全的基本配置,也是等级保护的入门配置,同时常被人们形象的称为是网络安全的“三剑客”。很多企业在此基础上,还选配了各种其他软、硬件,它们有WAF、UTM、防毒墙、安全准入系统、备份系统、堡垒机、网闸等,不一而足。然而,在层层保护下,企业被成功入侵或攻击的事件仍不绝于耳。甚至,有些企业已经被成功入侵,数据已经泄漏,而企业无丝毫察觉,直到这些数据在网络上被明码标价出售后才恍然大悟,而时间已经过去数月,甚至数年,泄漏的数据也已经被黑色产业链利用了数轮。很显然,传统的信息安全模式已经无法满足当前网络空间的安全目标需求了。

那么,网络空间安全的目标到底是什么?

通常认为网络空间安全,亦即信息安全的目标包含以下3种:

效果目标:效果目标可以理解为企业在遭受入侵后,期望的结果,例如:遭受DDoS攻击时有足够的能力进行拦截,不影响业务的正常进行或者对业务影响极小;遭受勒索病毒攻击时,能够自己在预期时间内恢复,而不用向攻击者交保护费;数据被盗时处于加密状态,偷盗者无法阅读或者在预期时间内无法阅读。效果目标通常可以使用损失来描述和计量,对效果目标的评估可以使用BIA(业务影响分析)过程来获得。

效率目标:信息安全界普遍认为100%的安全是没有的,那么防护能力需要达到怎样的程度才可以满足,在这个x%中的x谁可以说的清楚?或许我们可以用n个9(例如:99.99%即4个9)来描述可用性,但99.99%机密性又该如何进行计算?企业需要合理定义其效率目标,包括对CIA(机密性、完整性、可用性)三个维度的分解和独立评估。效率目标往往体现一个企业管理层的风险偏好。通常情况下,风险中立的企业则会采用ROI来评估其效率目标。

时间目标:多久可以发现攻击?多久可以投入力量进行拦截?被成功攻击后,多久可以快速恢复?时间目标不是一个简单的数字存在,它需要企业扎扎实实的信息安全处置能力,每缩短1分钟都是千锤百炼的结果。时间目标体现为企业响应能力的均衡,在预防、保护、追溯等网络安全事务上对资源的安排、均衡和调度直接影响企业的网络空间安全时间目标。

孙子兵法提出“知己知彼,百战不殆”。传统的网络安全建立在纵深防御的方法论基础上,随着SIEM和SOC的运用,可谓在“知己”上尽其所能。同时,部分防护工具从基于规则的防护手段转为基于行为的防护,在“知彼”上也有所建树。然而,防护方在知彼上仍有很大的提高空间。如同“马奇诺”防线之于“闪电战”一样,战役的规则不是防守方制定的,而是攻击一方制定的,防守方往往难以在短时间内转换其防御方法,相对的攻击方则可以利用广泛的手段研究防守方的弱点,从而实现一击即中,收获丰厚。

那么,网络空间安全的防护策略和框架该何去何从?简单而言,就是加强“知彼”。如何“知彼”?回答是:利用威胁情报,完成从纵深防御的安全框架到威胁情报导向的安全防御框架,最终实现从被动防御到主动防御的模式转换。

威胁情报是什么?

关于威胁情报是什么,我们可以引用Gartner做出的定义:“威胁情报是基于证据的知识,包括场景、机制、指标、含义和可操作的建议。这些知识是关于现存的、或者是即将出现的针对资产的威胁或危险的,可为主体响应相关威胁或危险提供决策信息。”在此需要注意的是,安全安全情报是威胁情报的延申,其关注点从威胁本身延展到与威胁相关的完全网络安全领域。

为什么威胁情报能够加强“知彼”?

威胁情报通过对威胁的主体、客体、行为、工具等进行分解,提供事前、事中、事后可用的关键安全信息,实现“知彼”。包括但不限于:

  • 攻击方特征:主要包括工具指纹与手法特点等。专业网络安全情报服务商所提供的安全情报,包括攻击方所采用的威胁工具指纹、攻击手法特点等情报。通过将攻击方的特征注入专业的检测设备(例如:支持DFI/DPI的网络流量检测设备),及时识别和发现潜在的风险,从而针对性进行漏洞防护,包括漏洞修补或者补偿性控制措施(防火墙、IPS等防御性设备的规则优化),达到防护目的。
  • 防御方特征:主要包括防御方的工具和手法特点,通过广泛的与资产相关的漏洞、弱点(例如:防火墙规则)等情报,及时做出防御调整,例如:企业通常不会部署两套或以上防病毒软件,而各家防病毒软件在实践中对于新生攻击则反应速度各异,通过恶意软件情报则可以基于补偿性控制增加防护层次,等待厂商响应。
  • 威慑类:安全情报中包括溯源情报,这类情报可以帮助企业或执法机构追溯攻击的源头,从而对攻击者做出响应的追责性响应,其结果必然对攻击者形成威慑力。
  • 防御类:防御类情报是安全情报最重要的一类应用,同时和其他类情报并不冲突,亦即同一情报可以归属于多个应用类别。防御类情报是检测、防御形成闭环的基础,无论是外部情报源还是内部情报源,所产生的防御类情报均可以为各类防护性设备(例如:防火墙、WAF、IPS等)所使用,同时防护性设备也会在工作中自产情报,形成情报生产、分析、利用的闭环。
  • 反制类:部分情报可以被用来对攻击方进行反制,例如:仿冒的网站、仿冒的APP、钓鱼网站等。可以成为反制类情报。情报服务商可以通过对全网监测提供以上情报,并结合合法途径,对其进行关停,从而打击攻击方。

“知彼”能力,加强了企业在网络安全方面的预防能力、保护能力和追责能力。

威胁情报的分类和用途

从企业运用来讲,威胁情报可以分为战略类威胁情报、战术类威胁情报、操作威胁类情报。

  • 战略类威胁情报,是企业信息安全战略输入的因素之一,帮助企业判断攻击方的兴趣点、攻击方的来源等。战略类威胁情报通常带有行业特点,即同一行业的战略威胁情报高度相似,企业的高级管理人员关注战略类威胁情报。
  • 战术类威胁情报,是企业制定网络安全策略和管理流程、规划和部署网络安全技术的输入,战术类威胁情报的运用是企业网络安全战略的体现,同时由于管理、技术观点的差异,即使是在同一行业内,各企业间对战术类威胁情报的运用也体现出一定的差异。
  • 操作类威胁情报,是网络安全人员常用的情报,操作类威胁情报包括各种技术运用、攻击方的具体特征等,可以帮助网络安全人员在遭遇到攻击行为时,能够迅速运用该类情报与之对抗,从而实现对攻击的拦截、记录等操作行为。

威胁情报地图

威胁情报的运用关键是“知己知彼”,那么如何做到“知己知彼”呢?我们可以沿着“知己”到“知彼”的路径前进。

首先,“知己”最重要的一步是梳理信息资产,识别企业的核心信息资产,从而加以保护。

其次,是在识别信息资产的基础上,识别信息资产保护机制的脆弱性。信息资产的脆弱性决定了保护的程度,如同体弱的人更容易生病是一个道理。

然后,是采集企业各种资产,包括网络安全资产的运行日志,并进行分析。这一步即是企业信息资产的“持续性体检”。

到上一步止,是企业“知己”的过程,即内部情报生产过程。

接下来,企业可以通过服务商引进外部威胁情报,形成“知彼”的过程。

企业在选择威胁情报时,应当高度关注相关性。举例而言:某企业部署未部署手机应用,针对Android/IOS的攻击对其而言并不发生实际效用。

最后,是情报的整合运用,将内部产生的情报和外部资源引入的威胁情报加以复合运用,包括对预防、保护、追责能力的加强。

威胁情报的运用

根据情报产生的途径和数据特征,企业在运用威胁情报时,需要注意内部情报加上外部情报将是一个巨量的数据集合。因此企业需要以下能力:

  • 威胁情报思维导向的能力:在基于威胁情报导向的安全防御框架下,快速响应将是常态,思维方式和运营方式的转变,将对企业的网络安全组织全部成员提出新的挑战。
  • 大数据应用能力:巨量的数据对企业将会提出新的要求,数据的存储、传输、计算和使用,都将会对此前的基础架构提出挑战。大数据运用能力将会是企业网络安全的必备能力之一。
  • 安全数据治理能力:运用威胁情报除了引入了外部情报源外,还将涉及到各种设备产生的数据,这些数据和企业业务数据的治理在方法论上互通,然而专业领域却截然不同。整合这些数据,将会对企业的数据治理能力提出挑战。
  • 安全技术集成能力:仅仅获得了情报是不够的,应用这些数情报将涉及广泛的安全产品,他们很可能来自不同的厂商。因此,企业在构建安全情报中心时,还应当考虑到闭环运行的因素。

总结

 “网络空间安全领域最惨痛的战役,是战役已经结束了,我们甚至都不曾察觉战役曾经发生过。”威胁情报,让我们重新定义安全防御框架,让安全防御变的更加主动。

发表评论