網(wǎng)絡(luò)安全自動化:分析過程自動化策略
前 言
在網(wǎng)絡(luò)安全分析中,常見的場景是網(wǎng)絡(luò)分析師人工對網(wǎng)絡(luò)中的數(shù)據(jù)進行分析和決策,這種分析方式在當下大數(shù)據(jù)時代是十分局限的。通過一些自動化設(shè)計,如一致、快速和重復(fù)執(zhí)行條件邏輯等,可以使得整個網(wǎng)絡(luò)安全分析過程自動化。因此實現(xiàn)過程自動化對于實現(xiàn)分類和優(yōu)先級任務(wù)來說是必不可少的,使分析師可以快速關(guān)注與最大風險相關(guān)的信息和事件。
本文將主要介紹分析自動化的相關(guān)背景,自動化策略的基本方法及策略中的相關(guān)信息源,使讀者可以對分析過程自動化策略有相應(yīng)的了解。本文內(nèi)容主要參考了文獻[1]。
背 景
隨著我國計算機網(wǎng)絡(luò)技術(shù)應(yīng)用領(lǐng)域的不斷擴大,網(wǎng)絡(luò)安全問題也逐漸成為人們關(guān)注的重要話題。計算機網(wǎng)絡(luò)中包含了數(shù)以萬計的接入點和成千上萬的服務(wù)器、電纜連接,具有復(fù)雜和龐大的特點。一旦受到攻擊,企業(yè)、個人或國家遭受的損失將會是非常大的。除此之外,通過互聯(lián)網(wǎng)來進行網(wǎng)絡(luò)信息竊取和毀壞也逐漸成為現(xiàn)在網(wǎng)絡(luò)安全所必須要面臨的問題。因此我們必須要采取有針對性的安全措施來對這些網(wǎng)絡(luò)安全問題進行防范和消滅,只有這樣互聯(lián)網(wǎng)的風險才能夠得到降低,用戶的數(shù)據(jù)安全才能夠得到更好的保障。但傳統(tǒng)的網(wǎng)絡(luò)監(jiān)管,僅僅依靠網(wǎng)絡(luò)安全分析師人工對網(wǎng)絡(luò)中存在的安全威脅進行分析和處理已經(jīng)逐漸不能滿足當下大數(shù)據(jù)時代下的網(wǎng)絡(luò)安全分析要求。
自動化技術(shù)在我國交通運輸、工業(yè)、科學研究等領(lǐng)域都得到了非常廣泛的應(yīng)用,不僅能夠提高勞動生產(chǎn)率,還能夠?qū)⑷藦暮唵沃貜?fù)的工作中解放出來。因此將自動化技術(shù)應(yīng)用于網(wǎng)絡(luò)安全分析中顯得十分必要,通過使用自動化技術(shù),從而加強對網(wǎng)絡(luò)安全的監(jiān)管力度。
在網(wǎng)絡(luò)安全防護中,需要保護計算機網(wǎng)絡(luò)數(shù)據(jù)的完整性和保密性。當有病毒或者非法入侵現(xiàn)象發(fā)生的時候,要保證相關(guān)資料和數(shù)據(jù)安全。此外,一個科學的網(wǎng)絡(luò)安全管理策略對于加強對網(wǎng)絡(luò)風險的管理力度是十分有必要的,要包含攻擊和入侵的檢測和防御、網(wǎng)絡(luò)安全相關(guān)的規(guī)章制度、病毒防范、防火墻配置、網(wǎng)絡(luò)安全評估、網(wǎng)絡(luò)監(jiān)測設(shè)置等一系列內(nèi)容,以應(yīng)對隨時可能面臨的各種各樣的安全問題,比如:系統(tǒng)攻擊、物理威脅等。
當以上防護措施全部由安全分析師人工來進行分析處理時,其中一些無用的數(shù)據(jù)或者是一些簡單的處理決策會大大浪費分析師的時間和精力,使之不能快速關(guān)注與最大風險相關(guān)的信息和事件。因此設(shè)計一個分析過程自動化策略來解決以上問題,使安全分析師擺脫那些無用和簡單的任務(wù)處理,提高分析效率是十分有必要的。
基本方法
自動化策略的思路是確定安全操作,進而允許其根據(jù)本地風險策略以自動的方式處理警報、事件或外部提供的網(wǎng)絡(luò)威脅情報。關(guān)鍵在于要盡可能多、盡可能快地確定不需要分析師調(diào)查的事件。因此這里有三個需要考慮的問題:
- 什么樣的信息是必要的?
- 在什么條件下定義并批準完全自動化的響應(yīng)?
- 依據(jù)什么特點來確定事件的優(yōu)先級?
通過以上考慮從而使自動化策略丟棄不相關(guān)事件信息,執(zhí)行自動化的響應(yīng)操作,為分析人員提供自動化的建議以進行審查。
什么樣的信息是必要的。在安全策略中我們首先要十分明確什么樣的信息是必要的,從而根據(jù)這些信息來確定某個事件是不相關(guān)的或假陽性的,通過自動化決策邏輯自動丟棄或不顯示相應(yīng)的事件信息,為自動化分析人員節(jié)省時間和資源。例如,在由安全供應(yīng)商實現(xiàn)的阻止列表中顯示的折衷指示符(IOC),或來自入侵檢測系統(tǒng)(IDS)的警告,這些信息都說明存在試圖對Linux資產(chǎn)進行的攻擊,也即為我們所說的必要信息。
在什么條件下定義并批準完全自動化的響應(yīng)。對于許多活動的威脅,響應(yīng)的操作值直接與檢測和響應(yīng)的速度有關(guān)。能夠處理更多警報和事件,并快速識別何時滿足授權(quán)自動響應(yīng)的條件,是防范這些威脅的關(guān)鍵步驟。例如,當一個可靠的源將其標記為惡意軟件時,阻塞來自IDS警報的IOCs,該警報符合威脅標準,滿足定義和批準完全自動化響應(yīng)的條件。自動化可以有效地為分析師審查或批準構(gòu)建豐富的憑據(jù)。憑據(jù)可以包含預(yù)先批準的建議、用于提出建議的信息,甚至還可以包含執(zhí)行響應(yīng)的代碼。以前的經(jīng)驗表明,盡管不是完全自動化的,但使用自動化來推薦分析師審查和批準的響應(yīng)會提高操作效率。隨著時間的推移,可以確定完全自動化響應(yīng)的條件。
依據(jù)什么特點來確定事件的優(yōu)先級。使用與簽名關(guān)聯(lián)的嚴重性評級或資產(chǎn)的臨界級別來確定事件的優(yōu)先級。當前的大多數(shù)傳感器配置、過濾器以及操作分析,都旨在識別高優(yōu)先級警報或事件。將流程自動化,使其在最后而不是一開始就實現(xiàn)此邏輯,使設(shè)備能夠處理更多的警報和事件,并將分析人員的注意力集中在調(diào)查和降低最高風險項上。
主要的,權(quán)威的和確證的信息源
通常,信息的來源決定響應(yīng)是否被授權(quán)完全自動化,或者需要分析師的批準。用于做出響應(yīng)決策的許多條件、特征或?qū)傩圆⒉皇菑膯我豢煽康膩碓传@得的。確定主要信息源是非常有價值的,這些信息源始終具有對某一類型的所有對象可用的相同信息,即使該信息并不總是精確到所需的水平。通常情況下,分析人員已經(jīng)知道在環(huán)境中可以使用哪些其他信息(例如,確證信息)來確定這個信息源在什么時候?qū)σ粋€特定的響應(yīng)決策來說是足夠準確的。
大多數(shù)組織已經(jīng)確定了作出響應(yīng)決策所需的權(quán)威信息源,但沒有考慮何時使用主要信息源更合適或更合理。權(quán)威信息源很少包含對所有對象的及時洞察,因為做出更準確的判斷需要額外的資源。等到相應(yīng)的信息源可以獲得對特定對象的洞察時,可能會延遲響應(yīng)的時效性,影響有效性。因此需要考慮哪些反應(yīng)決定可以依靠主要的和確證的信息源,而不是總是使用有限的或不一致的權(quán)威信息源。
對于給定的屬性,這些類型的源的一個例子是使用軟件管理服務(wù)器作為主要源,端點代理作為確證源,以及經(jīng)過認證的漏洞掃描器的輸出,作為識別易受特定漏洞攻擊的資產(chǎn)的權(quán)威來源。
某些軟件應(yīng)用程序版本或補丁可能明顯與某些漏洞相關(guān)聯(lián),從而使軟件管理服務(wù)器信息更適合某些決策(例如,運行紅帽操作系統(tǒng)的設(shè)備不容易受到針對Windows服務(wù)器的攻擊)。有時,關(guān)于安裝了特定應(yīng)用程序的設(shè)備上是否存在易受攻擊的庫的詳細信息可以從端點管理服務(wù)器獲得。有時,確定資產(chǎn)是否易受攻擊的唯一方法是通過認證掃描。
考慮主要的、權(quán)威的和確證的信息源可以讓設(shè)備更有效地自動化分類和優(yōu)先級決策,使之與本地策略保持一致。
小 結(jié)
實現(xiàn)自動化是每一個希望解決現(xiàn)代網(wǎng)絡(luò)攻擊速度和規(guī)模的設(shè)備的關(guān)鍵組成部分。這就是為什么大多數(shù)組織都向安全操作的自動化投資。在開發(fā)自動化工作流時,重要的是要知道,人工流程是為分析人員優(yōu)化的。重新設(shè)計流程,利用自動化來執(zhí)行分類和優(yōu)先級劃分,允許計算機自動處理更多的警報/事件,減少分析師參與。本文中的基本方法期望可以幫助組織開發(fā)和部署更有效的自動化操作。這種方法很容易擴展,以支持在檢測和響應(yīng)過程中包含更高級的分析。
參考文獻
[1]《Enabling Automation in Security Operations - Strategy for Efficient Process Automation》
