如何實現(xiàn)對網(wǎng)絡安全風險的快速檢測和快速響應

《關鍵信息基礎設施安全保護條例》第二十四條要求保護工作部門要及時掌握關鍵信息基礎設施安全態(tài)勢，及時發(fā)現(xiàn)網(wǎng)絡安全威脅和隱患，做好預警通報和防范工作。該條款對網(wǎng)絡安全防護手段及安全人員能力提出了更高的要求。

當前威脅檢測手段面臨的問題

當前的網(wǎng)絡安全防護手段，主要是通過從不同安全供應商采購的安全產(chǎn)品和系統(tǒng)進行構建。由于各產(chǎn)品和系統(tǒng)間關聯(lián)性不足，安全威脅仍是通過人力在不同系統(tǒng)間調(diào)度發(fā)現(xiàn)，檢測和響應效率難以應對網(wǎng)絡攻擊。如圖所示，攻擊者從初次發(fā)動攻擊到成功滲入系統(tǒng)，通常分鐘級就可以完成；再從滲入系統(tǒng)到竊取數(shù)據(jù)，也可以在幾分鐘內(nèi)完成。而對于系統(tǒng)安全防護人員，從攻擊者開始實施攻擊，滲入到系統(tǒng)中，再到其惡意行為被發(fā)現(xiàn)，往往需要幾周到幾個月。發(fā)現(xiàn)惡意行為后對其進行處置、對系統(tǒng)進行修復，又需要花費幾周時間。特別對于當前越來越復雜的系統(tǒng)來講，檢測及響應的時間進一步加長，難以滿足《關基保護條例》要求。

不同階段攻、防時間對比

威脅信息共享+自動化集成的威脅防御方案

那我們應該怎么做呢？將攻防雙方放在一個時間軸上來看，時間軸的上方是攻擊者在各個階段的攻擊動作，時間軸的下方是系統(tǒng)安全防護人員對應各階段采取的防護動作。從攻擊者開始攻擊，到系統(tǒng)安全防護人員檢測到攻擊，這段時間是攻擊者的自由攻擊時間。從系統(tǒng)安全防護人員檢測到攻擊，到整個系統(tǒng)的恢復，這段時間是系統(tǒng)安全防護人員的響應處置時間。將問題先進行抽象，再考慮整個系統(tǒng)的復雜性，本質(zhì)上要解決的是，在復雜網(wǎng)絡環(huán)境下，實現(xiàn)對網(wǎng)絡安全風險的快速檢測和快速響應處置問題，以盡可能縮短攻擊者的自由攻擊時間和系統(tǒng)安全防護人員的響應處置時間，減少威脅的影響范圍和損失。

這就要求用戶能夠?qū)⒋媪肯到y(tǒng)的安全能力和未來增量系統(tǒng)的安全能力進行充分整合，以實現(xiàn)1+1》2的效果，而不是當前“串糖葫蘆”似的構建安全能力?；趯Ω飨到y(tǒng)安全能力的有效整合，進而實現(xiàn)涵蓋IPDRR全周期的安全自動化操作，包括識別、保護、檢測、響應和恢復。與此同時，還需要構建跨組織的、可機器讀取的、上下文豐富的增強威脅信息共享機制。包括但不限于IOC失陷指標、Playbook安全劇本、TAC攻擊者上下文、報告和規(guī)則特征等內(nèi)容，以降低攻擊者的攻擊靈活性，從而在速度和規(guī)模上提高自動化防御的有效性。

要推動上述目標的達成，在技術方面，需要構建一套安全能力、數(shù)據(jù)的集成方案和機制，以實現(xiàn)對多個不同來源數(shù)據(jù)信息的集成，進而開展自動化的風險判定和響應處置的決策，并將響應決策同步到設備中進行操作。另外，威脅信息的不斷豐富及自動化共享也是非常必要的步驟。具體可以考慮從以下四方面進行重點構建。

1、實現(xiàn)對安全設備和系統(tǒng)能力的統(tǒng)一調(diào)度

目前的網(wǎng)絡防護系統(tǒng)大多都是孤立運行，并且常常是靜態(tài)配置，這導致網(wǎng)絡安全防護操作只能依靠人來執(zhí)行，效率極低。對于用戶而言，應對網(wǎng)絡攻擊往往需要多種安全技術協(xié)同工作，但是不同的安全防御組件和技術的集成往往代價很高，通常需要定制通信接口（專有API）。另外，由于各廠商安全產(chǎn)品的功能差異，產(chǎn)品中的某個功能模塊可能會與其他功能模塊緊耦合，無法通過API直接訪問，從而降低了產(chǎn)品與其他工具動態(tài)整合的靈活性。因此，引入標準化、以功能為中心的命令和控制接口可以增強技術多樣性和系統(tǒng)功能調(diào)度的能力，同時降低設備管理的復雜度、簡化集成過程。

2、對關鍵數(shù)據(jù)進行標準化定義，實現(xiàn)機器讀取

標準化、規(guī)范化是安全自動化的基礎，但標準化的粗細粒度和范圍則直接影響工作量和可落地性。筆者認為，對不同類型的數(shù)據(jù)需要采取不同的標準化策略：

對于跨域/跨系統(tǒng)流動的數(shù)據(jù)、差異性/變動性較小的數(shù)據(jù)，是標準化的重點，如威脅信息數(shù)據(jù)、用于安全能力調(diào)度的命令和控制數(shù)據(jù)等。

對于一直增加且持續(xù)變化的數(shù)據(jù)，如脆弱性數(shù)據(jù)、資產(chǎn)描述數(shù)據(jù)、事件描述數(shù)據(jù)等，需要有專業(yè)組織來定義和維護。

對于業(yè)務差異和變化較大的數(shù)據(jù)，如告警日志、樣本檢測結果、安全事件等內(nèi)容，建議通過枚舉的方式對部分關鍵字段或補充字段內(nèi)容進行標準化，如在告警日志、安全事件內(nèi)容中補充攻擊手法或攻擊模式信息，便于更高層次的綜合分析。

對于當前采用較多的安全數(shù)據(jù)集中化存儲方案，建議補充跨廠商、跨產(chǎn)品的數(shù)據(jù)分布式存儲方案，作為客戶可選方案。通過構建統(tǒng)一的數(shù)據(jù)中間件，實現(xiàn)標準化的數(shù)據(jù)查詢和結果返回，進而構建全面的雙邊連接，實現(xiàn)跨網(wǎng)絡、文件和日志域的復雜查詢和分析。

3、構建數(shù)據(jù)承載機制，確保數(shù)據(jù)的高效流動

傳統(tǒng)安全設備之間通過接口進行點對點的連接，一旦業(yè)務復雜后，隨著安全設備數(shù)量的提升，點對點的連接數(shù)量呈指數(shù)級增長，部署效率和通信及時性都受到嚴重影響。而通過定義一套通信模型，使得傳統(tǒng)一對一的通信演變成開放數(shù)據(jù)交換層，使接入的安全設備能夠?qū)崟r共享威脅信息和協(xié)調(diào)安全操作，提升事件處置的效率和及時性。

4、在特定應用場景下，牽引安全能力和數(shù)據(jù)集成方案的落地

市場需求往往是由特定安全應用場景進行引導，而要實現(xiàn)不同場景下安全能力的有效整合和復用，則需要在這些安全場景下實現(xiàn)上述標準和機制的應用。筆者建議優(yōu)先在零信任、態(tài)勢感知、響應編排、威脅信息共享等場景，推動標準的應用和改進，并最終實現(xiàn)落地和推廣。

結束語

最后，在產(chǎn)業(yè)和政策方面，建議構建產(chǎn)品的能力和標準認證體系，為企業(yè)的集成能力背書；同時，將互聯(lián)互通相關標準的應用，納入到事前招標要求和事后跟蹤監(jiān)督，確保能力集成的真正落地。