设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 重新 试卷 文件
当前位置: 首页 > 大数据 > 正文

安全态势建设需“十年磨一剑显锋芒”

发布时间:2018-12-05 20:32 所属栏目:125 来源:安全牛网
导读:什么是江湖?只要有人的地方就是江湖,人在江湖,江湖在身。 第五空间亦是江湖,本质亦是人与人的博弈,万物互联的大数据时代,网络已深入企业的生产、运营和销售当中,面对各种可知、可见和隐秘的安全威胁,多年来建设的安全防护技术体系不足以应对,对日

什么是江湖?只要有人的地方就是江湖,人在江湖,江湖在身。

第五空间亦是江湖,本质亦是人与人的博弈,万物互联的大数据时代,网络已深入企业的生产、运营和销售当中,面对各种可知、可见和隐秘的安全威胁,多年来建设的安全防护技术体系不足以应对,对日益具有针对性、体系化、规模化的安全攻击和组织,运用态势感知做为整个安全运营和防御的枢纽与大脑,感知攻击行为、预测攻击趋势,联动各单点安全防护能力形成合力,实现威胁的快速响应、及时处置,与其进行真实的较量,形成切实有效的安全防护,从而保护企业内部资产和业务。

而无论是SOC、SIEM还是态势感知,面临平台性能与伸缩性、数据采集多样性与标准化、安全情境关联能力、安全响应处置成熟度、安全团队人才输出等问题,建设的效果往往不如预期,怎么才能达到效果呢,这需要做好长期的规划来建设好大数据架构的基础设施,明确监测目标或业务场景,持续不断的更新优化数据、算法模型,做好基本功之后再谈应急处置乃至安全运营。

平台系统化建设的思路可分四步: 夯实大数据平台设施基础 -> 持续完善大数据安全分析要素与方法 -> 制定安全威胁处置手段 -> 安全人才队伍培养 。

一、夯实大数据平台设施基础

保障平台的灵活扩展性、组件兼容性与数据容错性: 基于分布式架构的大数据平台,随日志量增长可平行扩展,使其拥有强大分析能力、快速查询效率和长周期数据处理能力; 平台功能模块化,提供一定的扩展能力,保持数据采集模块、威胁检测模块与平台的松耦合,使数据输入、数据输出接口相对独立; 具有灵活的API接口对接能力,可与ITSM类外部系统进行交互,同时也可支持调用漏洞管理、威胁情报、安全合规等其他平台的API进行数据的传递; 采集、消息处理、存储、检索各组件之间保持版本兼容性,保证数据的采集、传输、处理、存储和使用过程中的流转度、保真度; 数据采集、程序支持及存储组件ES要有容错机制,解决数据读取失败自动重传录入、程序假死、存储设备宕机等问题。 提升安全分析引擎综合能力

安全分析引擎能够提供多种分析能力,基于安全威胁不同类型提供不同的分析方法,对安全威胁情况进行刻画,使用实时分析、离线分析、智能搜索进行威胁检测及态势场景分析,为安全告警、安全态势、威胁预警等上层功能提供数据支撑。

做好数据“四可”治理,打通数据壁垒

数据不仅仅为日志事件还要包括情境信息、业务信息,是安全分析的关键因子,要考虑数据多样性、标准化、分类分级及共享机制,而数据自身的安全防控也不可缺少,这些问题的规避需要通过数据“可知、可用、可管、可控”做好预处理。

数据“可知”: 数据源多样化,不同部门间有共性数据,也有特性数据,针对共性数据定义统一解析标准。 数据“可用”: 建立跨部门协调决策机制,来平衡部门间数据共享的难度,保证业务数据独立性、共性数据统一、全量数据可重复利用。 数据“可管”: 对数据进行分类分级,规定数据提取的范围,依据接口规范明确数据提取的形式和格式,推动数据采集、保证采集数据质量。 数据“可控”: 在数据共享、使用的过程中应当做好脱敏脱密、明确用户的权限范围,保护数据机密性的同时避免数据被滥用。

二、持续完善大数据安全分析要素与方法

大数据安全分析其实就是数据挖掘与分析的过程,用数据来发现问题和寻找解决方案,通过数据获取、处理、分析和展示四个环节,来快速解决安全威胁(5W1H):

WHO-谁来攻击的?(人物) WHEN-什么时间发生的攻击?(时间) WHERE-攻击发生的地点?(地点) WHAT- 攻击的对象是什么?(对象) WHY-攻击发生的原因?(凭据) HOW-攻击是怎么发生的?(动作) 1、明确安全分析目标,按需获取分析三要素

3UBnY3Y

The Relationship Among Use Cases From Gartner

场景:要解决什么安全问题?

互联网攻击:外部黑客攻击检测、勒索病毒防范、DDOS攻击等;

内部攻击:数据防泄漏侦测、内部资产风险监测、内部人员违规等;

业务风控:薅羊毛、撞/脱库、异常业务办理、接口安全分析、业务风险云图等。

数据:需要什么样的数据源?

Activity : 日志、流量、应用、终端、元数据及其它第三方数据等;

Context : 用户身份、资产、脆弱性信息、行为信息、情报信息。

分析:运用什么样的分析方法?

关联分析(专家规则)、动态基线(用户行为分析)、机器学习(模型分析)、对比分析(威胁情报关联)、用户画像等。

依据场景和数据建立相适的分析算法/模型

在使用分析算法和建模之前,需要了解研究的对象是什么,通过业务场景多维度挖掘可用的信息,依据维度数值特征和统计特征建立合适的算法模型。同一个场景可能存在很多不同的检测方法,例如Webshell的异常检测:

最直接的方法就是使用字符进行规则匹配,这种做法准确率高、速度快,但是随着时间的变化规则库中的字符就会过时,达不到预期的检测效果; 通过把url转换成词向量,使用分类模型(例如随机森林)的方法可以在某种程度上补充规则的不足,但是这种做法还是没法做实质性的提升,同时这种还需要大量的label数据; 通过对webshell网页访问路径和其它正常网页访问路径的被访问区别(例如页面出入度、页面曝光时间、来访IP数量等维度存在差异),将网页访问路径这方面的属性提取,利用非监督学习(如孤立森林)有针对性的将webshell网页被访问特征孤立出来达到检测webshell的目的,但是这种做法需要的后期验证较多。

所以在建模时需要综合考虑企业的实力、安全需求和各种算法的优缺点,从实际情况出发选择算法。目前主流的分析算法包括分类、聚类、关联分析等,对于在异常检测中的应用,可从场景概念、数据属性、当前挑战、常用手法四个角度来看。

所谓“知彼,方能出奇制胜”,对于黑客的非法入侵也有行迹可寻,基本的套路是reconnaissance(侦察),weaponization(武器构建),delivery(载荷投递),exploitation(漏洞利用),installation(安装植入),command and control(C2)(指挥和控制),and actions on objectives(目标达成)7个阶段,每个阶段都有特定的攻击手段。基于洛克希德·马丁Cyber Kill Chain攻击链模型,构建网络攻击生命周期,提供安全分析与监测、安全防御与控制的全景图。

网络攻击生命周期

(编辑:ASP站长网)

网友评论
推荐文章
    热点阅读