韓志峰，鄭瑞剛，許暖

（1.中移動信息技術(shù)有限公司，北京100033；2.中國移動通信集團安徽有限公司,安徽合肥230000）

1 引言

近年來，隨著萬物互聯(lián)、人工智能等新技術(shù)革命的到來，網(wǎng)絡(luò)安全進入了大安全時代，涉及到國家安全、國防安全、基礎(chǔ)設(shè)施安全、城市安全以及社會民生安全。網(wǎng)絡(luò)安全已經(jīng)成為企事業(yè)單位的支撐角色，并逐漸演變成了生產(chǎn)要素，其重要性不言而喻。

整個網(wǎng)絡(luò)世界一直在動蕩中發(fā)展。自從云計算、大數(shù)據(jù)、AI等技術(shù)大范圍應(yīng)用后，網(wǎng)絡(luò)攻擊者們更加肆無忌憚，早已實現(xiàn)網(wǎng)絡(luò)攻擊武器的升級。面對這樣嚴峻的挑戰(zhàn)，作為安全防守者，應(yīng)及時提升安全防護能力水平，應(yīng)用更加科學(xué)合理的技術(shù)手段，及時發(fā)現(xiàn)和阻止每一次的攻擊行為。

過去二三十年，國內(nèi)主流安全能力建設(shè)的重心放在安全防護、阻止和檢測等領(lǐng)域，但在安全響應(yīng)環(huán)節(jié)仍然存在很大的短板。越來越多的企業(yè)開始重視安全應(yīng)急響應(yīng)，尤其是應(yīng)急響應(yīng)處置的速度、質(zhì)量。

今天，很多大型的企業(yè)或組織已經(jīng)能夠較為準確地識別一起安全攻擊事件，但在響應(yīng)處置環(huán)節(jié)仍然存在重大短板。尤其是對風(fēng)險嚴重性的判斷、風(fēng)險遏制手段的決策和風(fēng)險響應(yīng)措施的執(zhí)行，缺少科學(xué)合理和自動化的應(yīng)對機制，導(dǎo)致安全響應(yīng)頻繁落后于攻擊者。其很大一部分原因是缺乏可靠地風(fēng)險損失量化評估模型，無法第一時間給出量化指標為響應(yīng)處置提供決策依據(jù)。

2 主流安全風(fēng)險處置邏輯

主流網(wǎng)絡(luò)安全事件風(fēng)險處置的框架或邏輯是：通過有效的感知系統(tǒng)收集各類系統(tǒng)的日志、活動和告警，之后通過相關(guān)的分析技術(shù)（可以結(jié)合AI、大數(shù)據(jù)）判定安全事件的風(fēng)險等級，然后予以告警通知，或采取初始的響應(yīng)動作。主流風(fēng)險識別與治理框架，如圖1所示。

針對安全風(fēng)險處置邏輯，目前國內(nèi)外已有相關(guān)的機構(gòu)或企業(yè)在開展各類嘗試。總體來說，先要對風(fēng)險進行計算，之后開展對應(yīng)的處置措施。常見的風(fēng)險計算主要有定量、定性和兩者結(jié)合等方式的計算。但此類風(fēng)險計算邏輯往往偏于單一場景和靜態(tài)數(shù)據(jù)，缺乏動態(tài)調(diào)整和決策能力支撐，對后續(xù)安全策略下發(fā)缺少足夠的實戰(zhàn)參考價值。

以某省級移動運營商為例，過去多年的網(wǎng)絡(luò)安全建設(shè)已經(jīng)取得一些成績，各類檢測手段、防護策略也已經(jīng)部署，但落實到具體的安全事件處置時，往往在風(fēng)險識別、計算和決策等環(huán)節(jié)仍然需要大量的人工參與和不確定性。這導(dǎo)致事件處置和響應(yīng)缺乏可衡量的機制，無法做到經(jīng)驗和邏輯的傳承和復(fù)制，不利于綜合安全能力的建設(shè)，更不能滿足新時代下網(wǎng)絡(luò)安全攻防場景的綜合挑戰(zhàn)。

3 國內(nèi)風(fēng)險計算和處置現(xiàn)狀

國內(nèi)主流廠商或企業(yè)的風(fēng)險計算邏輯和處置策略通常缺少量化指標，風(fēng)險計算維度單一，風(fēng)險處置粗暴，總的可以概括為定性計算為主、過度依賴專家經(jīng)驗、缺少可復(fù)制性。

3.1 定性計算為主

大多數(shù)安全事件風(fēng)險計算以定性計算為主，例如給出高、中、低或緊急、重要、一般、輕微等說明，告警信息通常以圖文方式在產(chǎn)品儀表盤進行展示，缺乏可以數(shù)字化衡量的基礎(chǔ)。

3.2 依賴個人經(jīng)驗

風(fēng)險計算依賴工程師經(jīng)驗。同樣一個SQL注入告警或Webshell利用事件，不同的工程師給出的嚴重度判斷是不一樣的。單純看安全設(shè)備告警信息，普通工程師可能會定級為很高，但是了解攻擊行為和影響范圍的人員可能認為是個低風(fēng)險。

3.3 缺少可復(fù)制性

數(shù)據(jù)判定取決于樣本庫或人員主觀邏輯，不具備動態(tài)適配能力。因為風(fēng)險判斷結(jié)果不同，導(dǎo)致響應(yīng)所采取的措施也不同。而且風(fēng)險判斷依賴人工，數(shù)字化衡量不精確，導(dǎo)致風(fēng)險處置邏輯不具備可復(fù)制性。

4 國外風(fēng)險處置發(fā)展現(xiàn)狀

國外一些新型的攻防理念和技術(shù)通常較為領(lǐng)先，在安全風(fēng)險計算和處置領(lǐng)域也早已誕生一系列的標準。通常的風(fēng)險計算適用于風(fēng)險評估，而作為事件響應(yīng)處置的風(fēng)險計算雖然有量化方式，但仍然缺少動態(tài)適應(yīng)的能力，并且與國內(nèi)環(huán)境也存在適配的問題。

4.1 標準的模型僅適合資產(chǎn)風(fēng)險評估

圖1 主流風(fēng)險識別與治理框架

已有的風(fēng)險計算模型主要是信息安全風(fēng)險評估領(lǐng)域的ISO27005標準，通常從資產(chǎn)維度做風(fēng)險評估，不適合對安全事件進行風(fēng)險評估。應(yīng)對實時變化的安全攻防事件，現(xiàn)有的風(fēng)險評估模型和方式顯然不能滿足需求，安全防護者必須尋求新的突破。

4.2 風(fēng)險計算過程僵化

資產(chǎn)通常是一個固定的對象，圍繞資產(chǎn)計算的因素也是固定的，因此容易通過簡單的輸入得出一個風(fēng)險值。但事件通常是動態(tài)的，而且每個事件發(fā)生的上下文并不一樣，因此其風(fēng)險計算邏輯和處置邏輯與普通資產(chǎn)完全不一樣。傳統(tǒng)風(fēng)險計算的量化模式過于僵化，缺少上下文知識關(guān)聯(lián)。

4.3 自動化風(fēng)險處置劇本依賴專家經(jīng)驗

一些企業(yè)或機構(gòu)已經(jīng)意識到動態(tài)風(fēng)險計算和處置的重要性，并開始了相關(guān)的探索，例如：IACD框架正在尋求實現(xiàn)自適應(yīng)動態(tài)風(fēng)險治理。雖然已經(jīng)有了自適應(yīng)的思想，并采取了自動化的手段，但風(fēng)險計算和決策邏輯本身仍然落后。已有的安全策略劇本仍然需要專家提前完成，并且針對風(fēng)險處置的邏輯需要不斷調(diào)整，嚴重依賴人員。

4.4 缺乏國內(nèi)業(yè)務(wù)特征支撐

此外，國外相關(guān)的技術(shù)實現(xiàn)和規(guī)范往往有與其適配的技術(shù)場景和業(yè)務(wù)特征。相較于國外環(huán)境，國內(nèi)企業(yè)或組織的安全管理需求、方法和機制有很多差異的地方，還不能直接照搬。安全手段和技術(shù)的使用要適配國內(nèi)業(yè)務(wù)特征適配，對大型基礎(chǔ)設(shè)施企業(yè)、重點機關(guān)單位等組織更是如此。

5 現(xiàn)實安全應(yīng)急響應(yīng)的痛點

網(wǎng)絡(luò)安全應(yīng)急響應(yīng)通常需要企業(yè)內(nèi)部多組織、多人員相互配合，完成一起事件的處置。這樣事件運營過程通常需要安全系統(tǒng)或人員基于已有的安全告警信息，進行綜合風(fēng)險判斷，最終決策要采取的響應(yīng)動作。但現(xiàn)實應(yīng)用場景與理想的標準模型存在的巨大的差異，實際響應(yīng)過程中有很多痛點和問題。

5.1 業(yè)務(wù)系統(tǒng)間存在依賴路徑

業(yè)務(wù)系統(tǒng)之間的通常有這個相互依賴或關(guān)聯(lián)的關(guān)系。企業(yè)業(yè)務(wù)邏輯比想象的復(fù)雜得多，不僅僅是簡單的幾個網(wǎng)站或系統(tǒng)?，F(xiàn)在信息系統(tǒng)往往都是分布式、集群模式構(gòu)建，分為前端、中臺、后臺和底層數(shù)據(jù)等模式。系統(tǒng)內(nèi)部有層級依賴，系統(tǒng)之間有相互依賴關(guān)聯(lián)。例如管理系統(tǒng)需要調(diào)用SSO單點登錄系統(tǒng)，業(yè)務(wù)系統(tǒng)需要與OA系統(tǒng)關(guān)聯(lián)等，如圖2所示。

當(dāng)一個系統(tǒng)出現(xiàn)安全風(fēng)險或者問題時，受影響的可能還包括其他系統(tǒng)。因此，評價一個安全事件所產(chǎn)生的風(fēng)險，需要更加科學(xué)、合理的計算方法。

5.2 缺少信息關(guān)聯(lián)導(dǎo)致告警不準

傳統(tǒng)安全告警基于配置檢查或漏洞掃描，依賴于特征庫覆蓋范圍和特征庫的更新。漏掃不及時，不準確都會影響到告警和后續(xù)處置。安全事件日志的完整性、及時性和準確性也會影響已有的告警統(tǒng)計分析。傳統(tǒng)的安全風(fēng)險發(fā)現(xiàn)都是單個時間點的狀態(tài)值計算，即使增加了一些關(guān)聯(lián)分析，也是繼續(xù)靜態(tài)數(shù)據(jù)的疊加計算，仍然存在誤報、漏報的問題。

6 基于風(fēng)險損失量化模型的應(yīng)急處置方法

6.1 主要思路

經(jīng)過過去幾年網(wǎng)絡(luò)安全事件運營的積極參與和快速、高質(zhì)量的安全應(yīng)急處置策略的持續(xù)探索，文章針對上述遇到的問題和難點，給出了一種基于風(fēng)險損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置的技術(shù)對策?；诖?，傳統(tǒng)的安全風(fēng)險計算和處置的邏輯和質(zhì)量將得到更大的改進優(yōu)化。

圖2 業(yè)務(wù)系統(tǒng)依賴關(guān)系圖

要解決風(fēng)險計算難以量化，過于依賴人員，容易產(chǎn)生單點依賴，不支持動態(tài)更新的問題，嘗試著從如下思路解決：構(gòu)造一種新的風(fēng)險損失量化模型計算方法，將事件類型、嚴重度、資產(chǎn)嚴重度、系統(tǒng)依賴關(guān)系等等因素納入到風(fēng)險計算邏輯，由此打破僵化，拒絕靜態(tài)，規(guī)避單點計算。

6.2 實現(xiàn)方法

基于風(fēng)險損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置方法，是對當(dāng)前主流風(fēng)險計算和處置的一種優(yōu)化，是安全攻防實戰(zhàn)過程的實踐與總結(jié)。為滿足應(yīng)急處置風(fēng)險決策要求，系統(tǒng)設(shè)計需要遵循必要的原則，例如清晰的定義系統(tǒng)、科學(xué)地計算數(shù)據(jù)，數(shù)字化體現(xiàn)風(fēng)險和損失。參與風(fēng)險和損失計算的關(guān)鍵要素至少包括：資產(chǎn)嚴重度、漏洞嚴重度、受影響資產(chǎn)和被依賴資產(chǎn)、當(dāng)前系統(tǒng)安全風(fēng)險等級。

傳統(tǒng)風(fēng)險計算表達式主要是面向單資產(chǎn)的風(fēng)險計算，以風(fēng)險計算因子的乘積作為最終結(jié)果，如：

風(fēng)險 = 威脅×影響×可能性

基于風(fēng)險損失量化模型的計算方法實際上要計算多個依賴項各自的風(fēng)險，并將結(jié)果再根據(jù)一定的邏輯合并，從而產(chǎn)生本次計算的數(shù)值。

以某個安全攻擊事件為例，針對目標資產(chǎn)的直接風(fēng)險計算邏輯如下：

A = 資產(chǎn)重要性（金額）， V=漏洞嚴重程度（百分比；表示資產(chǎn)受影響的概率），L=當(dāng)前內(nèi)部網(wǎng)絡(luò)整體風(fēng)險等級 （百分比，表示對漏洞防護的失效率）。

核心邏輯是 f'= A*V*L，注意這里的A，V，L通常都表現(xiàn)為概率分布（比如我們無法確定多少用戶可能會受到一次攻擊的影響），因此最終結(jié)果由將以數(shù)值模擬得出：f=MC(f')，MC表示蒙特卡洛模擬。偽代碼如下：

Sum ＜- 0

for (i from 1 to 1000) {

A ＜- random(A_min， A_max);

V ＜- random(V_min， V_max);

L ＜- random(0， 1);

Sum ＜- Sum + A*V*L

}

r ＜- Sum/1000

由于目標資產(chǎn)可能是其它關(guān)鍵系統(tǒng)的依賴項，因此根據(jù)依賴路徑，其它系統(tǒng)可能也存在風(fēng)險，我們將其稱為間接風(fēng)險。以網(wǎng)站遭黑客SQL注入導(dǎo)致用戶信息泄露為例，直接風(fēng)險表現(xiàn)為老用戶失去信任、不再使用產(chǎn)品帶來的經(jīng)濟損失。間接風(fēng)險是由此帶來的政府罰單、排查問題、修復(fù)系統(tǒng)、長期的信譽損失等等。每一項間接損失，都可以按照前述直接風(fēng)險的計算方式來進行量化，數(shù)據(jù)是可復(fù)用的。

綜合風(fēng)險由直接風(fēng)險和所有間接風(fēng)險的求和得出：

R=最終風(fēng)險數(shù)值， M=風(fēng)險計算模型

d=依賴被攻擊資產(chǎn)的一個對象，可能有多個對象

模型M是針對當(dāng)前目標資產(chǎn)風(fēng)險和依賴該資產(chǎn)其它項的綜合風(fēng)險計算模型。通過該模型可計算出某個攻擊事件可能產(chǎn)生的最終風(fēng)險損失數(shù)值。

此外，用戶還可以從信息安全三要素C、I、A角度對模型做細化，計算在不同側(cè)重面的風(fēng)險損失數(shù)值，從而滿足不同場景、不同業(yè)務(wù)的風(fēng)險管理要求。針對機密性、完整性和可靠性的影響，可采采取的響應(yīng)措施也不盡相同。

M' =風(fēng)險計算模型變化版

C=保密性、I=完整性、A=可用性

風(fēng)險計算的數(shù)值取值有一個集合空間，例如[0，9]。安全人員可以根據(jù)具體需要動態(tài)調(diào)整名參數(shù)和輸出格式，從而實現(xiàn)適合自身的風(fēng)險損失量化計算過程。下圖是整個風(fēng)險損失量化模型下，網(wǎng)絡(luò)安全應(yīng)急處置的整體流程，如圖3所示。

根據(jù)不同的風(fēng)險數(shù)值可以決策出要開展的應(yīng)急響應(yīng)處置動作，典型的風(fēng)險處置的決策選項包括網(wǎng)絡(luò)封禁、應(yīng)用封禁、通知告警、提升系統(tǒng)風(fēng)險等級、凍結(jié)用戶賬號、用戶降低權(quán)限、啟動防病毒升級等等。

6.3 應(yīng)用落地

技術(shù)團隊一直在探索嘗試將基于風(fēng)險損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)應(yīng)用在某企業(yè)內(nèi)部的網(wǎng)絡(luò)安全防護平臺的風(fēng)險處置環(huán)節(jié)。迄今為止，該平臺已經(jīng)集中了態(tài)勢感知安全告警、CMDB（配置管理數(shù)據(jù)庫）、資產(chǎn)系統(tǒng)、業(yè)務(wù)關(guān)系拓撲、知識圖譜和安全劇本編排能力。其中關(guān)鍵環(huán)節(jié)是在安全劇本中使用模型計算的結(jié)果進行智能化的風(fēng)險決策，根據(jù)風(fēng)險計算的結(jié)果給出風(fēng)險處置的手段，并在特定場景下直接采取風(fēng)險處置手段。

目前該技術(shù)思路已經(jīng)在成熟使用，重點實現(xiàn)了動態(tài)風(fēng)險決策、自適應(yīng)風(fēng)險治理等目標，如圖4所示。

如圖4所示，圖中的主要邏輯是安全事件發(fā)生后，系統(tǒng)會根據(jù)事件的嚴重度、資產(chǎn)的重要性、資產(chǎn)漏洞弱點信息和受影響的可能性等做基礎(chǔ)風(fēng)險計算，之后使用兩個以上的風(fēng)險計算模型，對資產(chǎn)及依賴該資產(chǎn)的其它資產(chǎn)項風(fēng)險做綜合計算，最終獲得綜合風(fēng)險損失精細化計算數(shù)值。

這個數(shù)值在實際應(yīng)用中可以體現(xiàn)為損失的金額，根據(jù)事先確定的風(fēng)險等級定義，轉(zhuǎn)化為風(fēng)險等級。系統(tǒng)根據(jù)風(fēng)險等級及風(fēng)險類型智能決策要采取的措施，如資產(chǎn)單點隔離、資產(chǎn)網(wǎng)段隔離、系統(tǒng)賬號停用、攻擊流量清洗等手段，如表1所示。

圖3 網(wǎng)絡(luò)安全應(yīng)急處置的風(fēng)險計算和處置決策流程

表1損失數(shù)值金額與等級映射關(guān)系（示例）

自適應(yīng)的風(fēng)險治理除了需要能夠動態(tài)計算安全事件風(fēng)險數(shù)值并予以決策支持外，還需要能夠和企業(yè)內(nèi)部安全管理系統(tǒng)打通，實現(xiàn)動態(tài)獲取全局風(fēng)險，并根據(jù)事件風(fēng)險實時更新已有的系統(tǒng)風(fēng)險等級。只有這樣風(fēng)險計算才不會成為單個事件的過程，而涉及到全局系統(tǒng)，成為真正意義上的自適應(yīng)安全防護，該過程如圖5所示。

如上圖所示，安全威脅被發(fā)現(xiàn)后系統(tǒng)自身的整體風(fēng)險等級也參與了模型計算。根據(jù)最終計算結(jié)果，識別出要執(zhí)行的安全策略。而當(dāng)安全策略執(zhí)行完成后，再次執(zhí)行風(fēng)險計算模型，同時更新系統(tǒng)整體綜合風(fēng)險等級。通過該過程，安全風(fēng)險計算不僅僅與單個事件有關(guān)，更增強了與整體系統(tǒng)風(fēng)險的關(guān)聯(lián)關(guān)系，使得自適應(yīng)安全風(fēng)險治理在技術(shù)上成為可能。

圖5 風(fēng)險損失量化模型參與整體系統(tǒng)風(fēng)險等級計算實現(xiàn)自適應(yīng)安全防護

7 技術(shù)應(yīng)用價值

通過基于落地風(fēng)險損失量化計算模型的網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)，企業(yè)可以實現(xiàn)真正動態(tài)自適應(yīng)的安全風(fēng)險治理。以一個具體的事件為例。

態(tài)勢感知告警：“某個員工賬號被攻擊者盜用，正在通過一個CDN IP地址訪問CRM系統(tǒng)?！?/p>

針對上述場景，主流的風(fēng)險計算邏輯會判定為一個風(fēng)險等級很高的安全事件，需要安全人員對訪問這IP地址立即采取封禁措施。但針對來訪者IP地址進行直接封禁過于暴力，容易導(dǎo)致正常用戶訪問企業(yè)服務(wù)受到影響。

通過本文提到的基于風(fēng)險損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)，系統(tǒng)可以根據(jù)該事件自身的嚴重度、受影響系統(tǒng)、訪問來源、訪問途徑等方式計算出一個數(shù)值。根據(jù)該數(shù)值可以決策出多個安全處置措施，其中操作影響度最低的是：凍結(jié)該員工賬號。系統(tǒng)可以優(yōu)先自主決策和執(zhí)行該策略，然后同步通知安全人員跟進。

越來越多的應(yīng)用實踐表明，基于風(fēng)險損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)可以為企業(yè)帶來革命化的安全運營體驗，總體受益在多個方面都有體現(xiàn)。

（1）降低誤報，提升告警準確度

企業(yè)業(yè)務(wù)系統(tǒng)紛繁復(fù)雜，每天面臨各類攻擊威脅，安全告警事件量大，誤報問題嚴重，應(yīng)急響應(yīng)工作應(yīng)接不暇。通過實施基于風(fēng)險損失量化模型的安全應(yīng)急處置系統(tǒng)后，收效明顯。由于風(fēng)險計算邏輯更加科學(xué)，風(fēng)險判定的準確性大幅提升。誤報率下降帶來的效果是安全告警處置決策更加精準、智能，響應(yīng)更加有目標，效果更好。

（2）縮短時間，提高應(yīng)急響應(yīng)效率

因為有了自動化、智能化的決策依據(jù)，安全事件處置速度更快，響應(yīng)時間大大幅縮短，處置效率得到了提升。部分場景甚至可以無需人工參與，做到7×24小時自動化運營。

8 結(jié)束語

本文探討了一種基于風(fēng)險損失量化模型的網(wǎng)絡(luò)安全應(yīng)急處置技術(shù)方法。通過該方法，企業(yè)或組織可以改進當(dāng)前安全事件運營過程中風(fēng)險計算不科學(xué)，決策依據(jù)不足，響應(yīng)不及時的問題。該方法和策略已經(jīng)在相關(guān)企業(yè)的實踐中得到應(yīng)用，并取得了一些成績。基于該方法的探索和落地事件，企業(yè)將獲得高速、高質(zhì)量的安全事件響應(yīng)風(fēng)險計算方法，綜合安全風(fēng)險處置能力得到更大的提升。

9 術(shù)語

SIEM：Security Information & Event Management，安全信息事件管理。

SOC：Security Operating Center，安全運營中心。

IACD：Integrated Adaptive Cyber Defense，集成自適應(yīng)網(wǎng)絡(luò)防護。