袁廣戀,云圓圓

(江蘇金盾檢測技術股份有限公司,江蘇 南京 210042)

0 引言

隨著近幾年《網(wǎng)絡安全法》《密碼法》《數(shù)據(jù)安全法》《個人信息保護法》等一系列相關法律的出臺,網(wǎng)絡安全的合規(guī)性要求越來越高。除了法律之外,各個主管部門組織的網(wǎng)安行動、護網(wǎng)行動越來越多,網(wǎng)絡安全運營者面臨被通報、被處罰的情況越來越多。如何在新形勢下順利開展網(wǎng)絡安全工作,滿足各項法律法規(guī)要求,避免被通報、被處罰已經成為網(wǎng)絡安全運營者迫切需要面對并解決的問題。

1 網(wǎng)絡安全工作現(xiàn)狀

網(wǎng)絡安全工作越來越重要,網(wǎng)絡安全運營者對網(wǎng)絡安全工作越來越重視,每年在網(wǎng)絡安全工作上都有一定的資金及時間的投入,但是目前的網(wǎng)絡安全工作依然存在一些問題。

1.1 安全設備未正確使用好

目前,很多網(wǎng)絡安全運營者在網(wǎng)絡安全基礎設施上投入較多,主要包括邊界安全、殺毒、態(tài)勢感知、安全審計、流量分析等相應技術措施,要匹配的安全設備類型也很多,比如最基礎的防火墻、殺毒軟件、VPN、堡壘機、上網(wǎng)行為管理到進一步的態(tài)勢感知、IPS、日志管理、數(shù)據(jù)防泄露、Web應用防火墻、數(shù)據(jù)庫審計等。由于這些網(wǎng)絡安全設備的增加,同時這些安全設備又是比較專業(yè)的網(wǎng)絡安全設備,如何有效把這一系列安全設備充分使用起來,發(fā)揮其最大用處,起到應有的網(wǎng)絡安全防護效果是網(wǎng)絡安全運營者需要面對的問題,往往在實際工作中大部分的安全設備都沒有被使用好。

1.2 無法獨立處理海量的告警和日志

隨著大量網(wǎng)絡安全設備的投入,特別是防入侵攻擊、主動威脅分析相關的安全設備的投入,每天這些網(wǎng)絡安全設備會產生海量的告警信息和日志。大部分網(wǎng)絡安全運營者無法自主分析這些告警日志,從這些海量的告警信息里提取有效的安全事件和攻擊行為,進行有效的安全處置。

1.3 網(wǎng)絡安全工作合規(guī)要求越來越多

隨著《網(wǎng)絡安全法》《密碼法》《數(shù)據(jù)安全保護法》等法律法規(guī)的出臺,網(wǎng)絡安全運營者需要開展的網(wǎng)絡安全合規(guī)工作越來越多,比如:開展等級保護測評、商用密碼應用安全性評估、數(shù)據(jù)分類分級、網(wǎng)絡安全應急演練等。這樣的工作專業(yè)性強,對網(wǎng)絡安全運營者的技術要求較高,大部分網(wǎng)絡安全運營者無法獨立依靠自己的力量完成這些工作。

1.4 各類網(wǎng)絡安全通報越來越多

目前,網(wǎng)信辦、公安、通管及行業(yè)主管部門對網(wǎng)絡安全運營者或多或少都有管理要求。隨著監(jiān)管的加強,網(wǎng)絡安全運營者經常會收到各類網(wǎng)絡安全通報。網(wǎng)絡安全運營者收到通報后需要第一時間快速及時地進行處置并做反饋。面對這樣的實際情況,單個網(wǎng)絡安全技術人員很難完全應對此類突發(fā)的網(wǎng)絡安全事件。目前,大部分網(wǎng)絡安全運營者都不能完全獨立解決這類網(wǎng)絡安全通報。

2 網(wǎng)絡安全工作需求分析

2.1 網(wǎng)絡安全工作合規(guī)性需求

等級保護測評、商用密碼應用安全性評估、數(shù)據(jù)分類分級、網(wǎng)絡安全應急演練等網(wǎng)絡安全合作工作越來越多,需要網(wǎng)絡安全運營者及時開展以滿足法律法規(guī)的要求,做到網(wǎng)絡安全工作合規(guī)合法。

2.2 網(wǎng)絡安全工作有效性需求

網(wǎng)絡安全運營者需要使用好網(wǎng)絡安全設備,及時處置各類網(wǎng)絡安全風險。這就需要網(wǎng)絡安全運營者做到安全設備策略優(yōu)化、主機設備加固、應用的安全漏洞發(fā)現(xiàn)及修復、安全日志分析、突發(fā)事件處置等工作,做到網(wǎng)絡安全工作切實有效,避免發(fā)生網(wǎng)絡安全事件,避免被相關安全主管部門通報。個人很難較為全面、快速、有效地解決這些問題。

2.3 網(wǎng)絡安全工作及時性需求

面對網(wǎng)絡安全攻擊事件以及網(wǎng)絡安全主管部門隨時可能的通報,網(wǎng)絡安全運營者應該在第一時間對這些網(wǎng)絡安全問題進行分析、判斷、處置,如果處置不及時,一方面可能造成網(wǎng)絡安全事件影響范圍擴大及破壞程度的增加;另一方面可能造成主管部門的再次通報及處罰。面對這類情況,網(wǎng)絡安全運營者對網(wǎng)絡安全工作的及時性要求越來越高。

3 網(wǎng)絡安全運營服務實現(xiàn)

面對以上的網(wǎng)絡安全工作現(xiàn)狀及網(wǎng)絡安全工作需求,如果網(wǎng)絡安全運營者再像傳統(tǒng)做網(wǎng)絡安全工作一樣,只是通過購買網(wǎng)絡安全設備,依靠網(wǎng)絡安全運營者自身去解決是很難做好當下的網(wǎng)絡安全工作,無法做到合規(guī)、有效、及時。這些需要通過專業(yè)的第三方網(wǎng)絡安全服務機構構建全新的網(wǎng)絡安全運營服務體系來解決。新形勢下的網(wǎng)絡安全運營服務內容至少包括:資產調研、安全防護能力檢測、防入侵安全加固、安全監(jiān)測與預警、應急處置,通過這一系列服務提升網(wǎng)絡安全運營者的網(wǎng)絡安全防護能力,降低網(wǎng)絡安全事件發(fā)生的概率,有效地完成網(wǎng)絡安全各項工作。

3.1 開展好信息資產調研

網(wǎng)絡安全運營者做好網(wǎng)絡安全運營服務,首要任務就是開展好信息資產調研,全面掌握單位具有的信息資產,摸清家底。在實踐中,一般通過人工訪談調研和互聯(lián)網(wǎng)服務指紋探測等方式對用戶單位的信息系統(tǒng)情況進行調研摸底,梳理存活在用的物理資產信息和數(shù)字資產信息,避免防護盲區(qū)的存在。資產調研除了傳統(tǒng)的信息資產、IP、服務器操作系統(tǒng)版本、中間件、數(shù)據(jù)庫版本,還包括業(yè)務系統(tǒng)相關訪問路徑、訪問人員等信息?；诰W(wǎng)絡掃描、搜索引擎、互聯(lián)網(wǎng)基礎數(shù)據(jù)引擎主動探測暴露在互聯(lián)網(wǎng)上的業(yè)務應用系統(tǒng)等資產,可以形成明確的資產清單,并發(fā)現(xiàn)未知資產。技術人員通過大數(shù)據(jù)挖掘和調研的方式確定資產范圍,進行主動精準探測,深度發(fā)現(xiàn)暴露在外的 IT 設備、端口及應用服務,發(fā)現(xiàn)活躍資產及 “僵尸” 資產,由安全專家對每項業(yè)務進行梳理分析,結合網(wǎng)絡安全運營者反饋的業(yè)務特點對資產重要程度、業(yè)務安全需求進行歸納,最終形成各網(wǎng)絡安全運營者的資產清單。同時,信息資產調研工作不是一勞永逸的。信息資產有一個不斷變化和更新的過程。這就需要網(wǎng)絡安全運營者定期開展信息資產調研,不斷完善信息資產。

3.2 做好網(wǎng)絡安全防護能力檢測工作

網(wǎng)絡安全運營者在新的網(wǎng)絡安全形勢下應該開展全面的網(wǎng)絡安全防護能力檢測才能更加全面地發(fā)現(xiàn)各類網(wǎng)絡安全問題。一個全面的網(wǎng)絡安全防護能力檢測至少要包括滲透性測試、漏洞掃描、安全措施防護有效性檢測、入侵痕跡檢測等幾個方面的內容[1]。區(qū)別于一般的基于安全漏洞的檢測,防護能力檢測從面向威脅視角通過安全建模的方式分析系統(tǒng)實際存在的安全威脅場景,并對可能存在的威脅途徑、威脅方式進行全覆蓋式的測試驗證,測試結果不但能明確反映出當前系統(tǒng)面臨哪些方面的威脅、哪些威脅可被利用、哪些威脅可被抵御,而且對應安全風險事前、事中、事后全過程提出整改建議措施。該檢測更加全面地發(fā)現(xiàn)各類安全隱患,而不局限于某一方面的網(wǎng)絡安全問題。滲透測試一定是全面性的,不能僅僅局限于某一方面漏洞的發(fā)現(xiàn)。漏洞掃描需要使用不同工具進行交叉掃描。各類安全措施是否有效需要進行策略設計、策略優(yōu)化、策略驗證、策略及時更新等,做到安全防護措施的實時有效。入侵痕跡檢測可以有效判斷系統(tǒng)是否已被入侵過,避免系統(tǒng)已被黑客進行木馬控制等攻擊。

3.3 開展防入侵安全加固

目前,國內對于安全整改加固的現(xiàn)狀是:大部分從事網(wǎng)絡安全業(yè)務的廠商提供安全加固服務是針對合規(guī)要求的策略配置、補丁升級等有限的安全加固,對應的安全加固技術人員僅從一個或某幾個側面來對系統(tǒng)進行增強保護,沒有形成一套完整的防入侵安全加固保護體系,不能對目標提供全面有效的保護。對于向互聯(lián)網(wǎng)提供服務的系統(tǒng),來自應用層的攻擊入侵占絕大多數(shù),但是應用軟件的安全漏洞和安全功能的缺失需要通過代碼更新或重新開發(fā)才能解決,對于已交付或需頻繁業(yè)務更新的應用系統(tǒng)則束手無策。部分網(wǎng)絡安全運營者寄希望通過部署各類安全防護產品解決網(wǎng)絡攻擊入侵的問題,由于網(wǎng)絡入侵技術、網(wǎng)絡攻防對抗的多樣性、動態(tài)性、復雜性,經常出現(xiàn)投入大量資金而安全態(tài)勢并沒有真正改變的狀況。

在安全威脅和安全保護要求詳細分析的基礎上,防入侵安全加固能夠在不增加的硬件設備的條件下對網(wǎng)絡系統(tǒng)、主機系統(tǒng)、應用系統(tǒng)提供全面的防入侵功能設計和安全策略優(yōu)化等服務,為網(wǎng)絡安全運營者提供一套完整的防入侵安全加固保護體系,消除安全隱患,有效提升信息系統(tǒng)的安全防護能力。

防入侵加固加固的不僅僅是漏洞,它是一個加固體系,涉及網(wǎng)絡層加固、系統(tǒng)層加固和應用層加固。

3.3.1 網(wǎng)絡層加固

網(wǎng)絡架構及邊界安全策略整改優(yōu)化:依據(jù)安全檢測發(fā)現(xiàn)的問題形成網(wǎng)絡層面安全整改方案,主要內容包括但不限于網(wǎng)絡架構優(yōu)化設計及結構調整、網(wǎng)絡邊界訪問控制優(yōu)化設計及策略加固、網(wǎng)絡邊界防入侵策略加固優(yōu)化、網(wǎng)絡邊界防惡意代碼策略加固優(yōu)化、設備身份認證策略、權限管理策略、遠程管理策略加固優(yōu)化、網(wǎng)絡監(jiān)測預警策略加固優(yōu)化、網(wǎng)絡日志審計策略加固優(yōu)化等。

3.3.2 系統(tǒng)層加固

操作系統(tǒng)及通用網(wǎng)絡服務安全加固:依據(jù)安全檢測發(fā)現(xiàn)的問題形成系統(tǒng)層面安全整改方案,主要內容包括但不限于:身份認證策略加固優(yōu)化、權限管理策略加固優(yōu)化、遠程管理策略加固優(yōu)化、日志審計策略加固優(yōu)化、訪問控制策略加固優(yōu)化、重要文件完整性監(jiān)測加固優(yōu)化、系統(tǒng)部署結構及管理控制臺加固優(yōu)化、補丁升級及防入侵策略加固、日志審計策略加固優(yōu)化等。

3.3.3 應用層加固

應用層加固主要內容包括但不限于:Web安全漏洞的修復加固、第三方組件安全漏洞修復加固、安全配置缺陷的修復加固、程序及配置文件完整性監(jiān)測措施設計加固、日志審計策略加固優(yōu)化、數(shù)據(jù)備份恢復策略優(yōu)化加固等,實現(xiàn)對應用層中常見高中危漏洞的有效防護。

3.4 日常安全監(jiān)測與預警服務

網(wǎng)絡安全運營者通過防護能力檢測以及防入侵加固服務,可以解決大部分網(wǎng)絡安全問題。如何面對日常的網(wǎng)絡安全攻擊以及未知威脅的網(wǎng)絡攻擊,網(wǎng)絡安全運營者需要加強日常網(wǎng)絡安全監(jiān)測與預警服務。通過部署專業(yè)監(jiān)測工具來分析網(wǎng)絡鏡像流量,基于規(guī)則檢測、機器學習模型、大數(shù)據(jù)技術,可以實時感知業(yè)務系統(tǒng)的安全威脅,檢測到外部攻擊、內網(wǎng)滲透以及失陷破壞的威脅。部署的專業(yè)監(jiān)測工具實現(xiàn)以下功能。

3.4.1 迅速定位:精準檢測0Day、木馬變形及APT攻擊

為攻入目標單位網(wǎng)絡大門,攻擊者通常會嘗試各類最新、最隱秘的攻擊手段。同時,監(jiān)測工具還可對請求與返回流量全流量檢測,對目標單位生產網(wǎng)、辦公網(wǎng)全場景流量攻擊成功失敗自動化判定,保證準確告警,精準檢測0Day、木馬變形及APT攻擊并迅速定位被攻擊的目標資產。

3.4.2 情報反制:重保監(jiān)控,實時獲取最新攻擊情報

監(jiān)測工具基于專業(yè)分析團隊時刻跟進攻擊動向,實時同步攻擊隊IP資產、木馬特征、攻擊隊溯源結果等攻擊者重要信息,同時全面展現(xiàn)外部攻擊活動、資產風險檢出、惡意文件、郵件告警、疑似感染攻擊隊木馬主機等關鍵信息,通過情報進行先發(fā)制人。

3.4.3 攻擊研判:靈活易用研判工具包

各種高級、未知、高隱藏型攻擊威脅,已成為攻防過程的主流攻擊方式。網(wǎng)絡安全運營者想要準確、快速、有效地對攻擊進行研判,就需要高可用、高易用的分析研判工具庫,從而及時快捷地進行攻擊研判。在攻擊研判環(huán)節(jié),監(jiān)測工具的日志調查模塊針對網(wǎng)絡日志提供不同流量方向、不同行為類型、不同匹配方式的源IP、攻擊結果等任意類型日志快速檢索,完備的解碼與統(tǒng)計分析工具可對加密攻擊載荷進行解碼分析。

3.4.4 快速響應:自動化封堵攻擊

在攻擊過程中,一旦發(fā)現(xiàn)攻擊者,監(jiān)測工具可提供旁路阻斷與聯(lián)動阻斷兩種阻斷方式。通過旁路阻斷,可在不改變網(wǎng)絡拓撲的情況下,對惡意連接進行有效阻斷。而聯(lián)動阻斷,則是將檢出的惡意域名資產IP、域名等信息及時同步至第三方防火墻設備或采用外部資源調用的方式進行阻斷。

3.4.5 攻擊溯源:完整還原攻擊路徑

攻擊溯源是事后響應的關鍵,也是安全能力提升的關鍵。通過對被攻擊資產與流量的分析與溯源,還原攻擊路徑與攻擊手法,網(wǎng)絡安全運營者不僅可有效提升攻防能力,還可增強安全防御能力,將攻擊事件轉換為防御勢能,避免二次攻擊事件發(fā)生。

3.5 威脅分析及應急處置

網(wǎng)絡安全運營者(1)通過專業(yè)的工具開展網(wǎng)絡層流量分析,來發(fā)現(xiàn)各類網(wǎng)絡安全攻擊;(2)通過實時的流量分析來發(fā)現(xiàn)各類網(wǎng)絡安全問題。同時,網(wǎng)絡安全運營團隊的一線運營前臺會 7×24 h監(jiān)控應用安全攻擊事件,并對事件進行即時確認,一旦發(fā)現(xiàn)安全事件屬實,將會即時通知客戶及相關的應用管理接口人,同時啟動相應的安全應急響應流程。在接到網(wǎng)絡安全運營者緊急響應請求時,網(wǎng)絡安全運營團隊立即啟動響應預案。項目負責人立即指派現(xiàn)場應急組收集信息系統(tǒng)信息、安全事件信息并立即分析評估[2]。無論能否解決問題30 min內返回處理情況簡報?，F(xiàn)場應急組在規(guī)定時間內不能分析問題,則立即電話請求技術支援組,協(xié)同分析解決安全事件。如果在30 min內仍不能解決,那么技術支援組及技術專家應在1 h內到達事故現(xiàn)場,協(xié)助現(xiàn)場人員進行問題處理,直至問題解決。

在重要保障時期,根據(jù)網(wǎng)絡安全運營者需求,提供1人7×8 h或7×24 h駐場式安全運行保障,網(wǎng)絡安全運營團隊對系統(tǒng)各類運行日志和威脅情況進行分析,及時發(fā)現(xiàn)系統(tǒng)異常情況和安全威脅形勢,為提前預防和應急措施提供技術支撐。一旦發(fā)生網(wǎng)絡安全事件,駐場服務團隊將第一時間提供現(xiàn)場應急處置服務,迅速研判事件原因。根據(jù)《國家網(wǎng)絡安全事件應急預案》網(wǎng)絡安全事件分為四級:特別重大網(wǎng)絡安全事件、重大網(wǎng)絡安全事件、較大網(wǎng)絡安全事件、一般網(wǎng)絡安全事件[3]。根據(jù)不同級別的網(wǎng)絡安全事件,網(wǎng)絡安全運營團隊啟動不同級別的網(wǎng)絡安全應急服務,按照安全事件應急預案提供取證、抑制、根除以及驗證等服務,將安全事件的危害損失控制在最小范圍。

安全事件分析:針對各類網(wǎng)絡安全事件,網(wǎng)絡安全運營團隊需做好預測并對監(jiān)測到的安全數(shù)據(jù)和安全事件信息進行安全事件研究、分析和判定,驗證安全事件的可能性并出具相應的解決方法。一支由高技術能力的安全服務人員組成的安全團隊開展安全事件研判分析。安全應急響應處置:基于具體的安全事件開展專家應急響應,包括安全事件檢測、安全事件抑制、安全事件根除、安全事件恢復、安全事件總結,最終形成協(xié)調聯(lián)動機制,增強應急技術能力,健全應急響應機制。安全事件處置完成后,系統(tǒng)得到恢復,找到安全事件發(fā)生的原因并提供相應的安全解決方案,提供交付物安全事件應急響應報告。

4 結語

通過以上成系統(tǒng)的網(wǎng)絡安全運營服務體系的建設,網(wǎng)絡安全運營者可以有效地應對當下網(wǎng)絡安全新形勢下對網(wǎng)絡安全工作的各項要求,一方面要全面發(fā)現(xiàn)問題,同時也要及時解決問題,在面對各類攻擊或攻防行動時亦能及時發(fā)現(xiàn)各類網(wǎng)絡攻擊,并及時有效地做出響應處置,將各類網(wǎng)絡攻擊及網(wǎng)絡安全事件第一時間處置完成,保障信息系統(tǒng)的安全。