作者 | 王弢 360企業安全集團
經過多年的發展, IT資訊安全領域的專家已經深刻認識到, 只依靠傳統的基於防火牆、防毒軟體、IDS等產品的安全解決方案不能有效應對越來越嚴重的資訊安全威脅。
與此同時, 工業資訊安全需要特別強調與工控系統可靠性、功能安全性等特性的平衡與統一,
1-資料驅動安全-
2 0 1 1 年5 月, 全球知名諮詢公司麥肯錫(Mckinsey)發佈了《大數據:創新、競爭和生產力的下一個前沿領域》報告, 首次提出“大資料”的概念, 並在報告中指出:“大資料已經滲透到每一個行業, 逐漸成為重要的生產要素, 而人們對於海量資料的運用將預示著新一波生產率的增長和消費者盈餘浪潮的到來。 ”“資料不是對資料量大小的描述,
大資料時代的到來, 為企業帶來了新的安全問題, 同時也為企業安全提供了新的技術手段。 Gartner副總裁、知名分析師、Gartner榮譽研究員Neil MacDonald表示:“資訊安全團隊和基礎設施必須適應, 以支援新興的數位業務需求, 同時應對日益先進、嚴峻的威脅形勢。 安全和風險負責人如果要定義、實現和維持有效的安全和風險管理專案, 他們需要全面瞭解最新的技術趨勢, 同時實現數位業務機會並管理風險。 ”
大資料處理的理念和技術對以積極防禦為平臺的威脅情報收集和應用, 並進一步的工業態勢感知,
2-積極防禦-
為了實現持續的工業安全風險管理目標, 企業需要建立能夠隨著時間不斷演進的安全架構和技術支撐體系。 這會讓企業在面對威脅和挑戰時不斷完善自身防禦體系以及強化防禦“姿態”。
SANS研究所的Robert M. Lee提出了一個動態安全模型——網路安全滑動尺規模型。 該尺規模型共包含五大類別, 分別為架構安全(Architecture)、被動防禦(Passive Defense)、積極防禦、情報(Intelligence)和進攻(Offense)。 這五大類別之間具有連續性關係, 並有效展示了防禦逐步提升的理念。
圖1 網路安全滑動尺規模型
(1)架構安全:在系統規劃、建立和維護的過程中充分考慮安全防護。
(2)被動防禦:在無人員介入的情況下, 附加在系統架構之上可提供持續的威脅防禦或威脅洞察力的系統。
(3)積極防禦:分析人員對處於所防禦網路內的威脅進行監控、回應、學習(經驗)和應用知識(理解)的過程。
(4)情報:收集資料, 將資料轉換為資訊, 並將資訊生產加工為評估結果以填補已知知識缺口的過程。
(5)進攻:在友好網路之外對攻擊者採取的直接行動(按照國內網路安全法要求, 對於企業來說主要是通過法律手段對攻擊者進行反擊)。
現階段大多數工業企業的工業資訊安全工作都聚焦於“架構安全”和“被動防禦”,對“積極防禦”和“情報”則涉及較少,因此在設計工業安全防護方案時應該聚焦於回顧“架構安全”補強“被動防禦”,重點發展“積極防禦”和“情報驅動”,以有效提高企業的資訊安全防護能力。
在進行“被動防禦”改進與“積極防禦”進階時,Gartner的自我調整安全架構,則可作為較好的參考。
圖2 自我調整安全架構
自我調整安全架構將持續的監控和分析過程分為:預防預測、阻止與防護、檢測與監控、回應與調查四個主要環節,每個環節中包含多個監控和分析方法。而支撐這些監控和分析方法的是企業或組織內部的各層資料和威脅情報。
3-威脅情報-
依據美國國家安全系統委員會(CNSS)提供的定義,在網路安全領域的態勢感知是指:在一定的時間和空間範圍內,對組織的安全狀態以及威脅環境的感知,理解這兩者的含義以及意味的風險,並對它們未來的狀態進行預測。
這裡面我們可以解讀出兩種含義:
(1)態勢感知需要掌握組織內部的安全狀態,以及相關的外部威脅環境資料。掌握組織內部的安全狀態主要依賴主動防禦措施,採用資料驅動的持續監控方案,而相關的外部威脅環境資料,就是指威脅情報。
(2)態勢感知的目的是深入理解當前的風險,並可以對未來的風險進行預測、預防。試想下面一種情況:內部發現有一台終端被駭客的木馬控制,單純這一個事件並不能讓我們對其風險有深入瞭解,如果我們通過威脅情報判定駭客的攻擊目地,就可以對風險有進一步的理解,如果進一步獲取其團夥的技術水準、經常使用的技戰術手法等情報,就可以反觀組織現有的檢測、防禦措施,給出預警以及配套的預防改進措施。
威脅情報是基於證據、有關已知或新型威脅或危害的知識,包括上下文、機制、檢測指標、影響和活動建議,能夠作為應對的決策依據。基於組織中安全人員不同角色的決策需要,我們還可以把情報分為3類:
(1)高層管理者使用的戰略情報
以CSO為代表的公司高層管理者最重要的工作之一是在管理層溝通、獲取資源並進行資源的分配。其中的挑戰是其它管理層難以瞭解攻防技術、眾多安全建設工作的優先順序排定缺少依據。戰略情報提供組織需要面對的攻擊者類型、動機、能力及潛在風險方面的情報。CSO可以使用自身或行業面對的真實對手及其風險來更好地和管理層溝通,也可以基於這些風險和攻擊的可能性提供優先順序排序進而優化資源配置。這部分的情報可以由有豐厚威脅情報能力的安全廠商以服務的形式提供。
(2)SRC或安全分析團隊使用的運營層面的情報
SRC團隊的主要工作是對已經發現的失陷攻擊事件進行深入分析、確定攻擊細節和影響面,並採取緩解、清除等響應活動。同時SRC團隊也會進行Hunting(安全狩獵)的工作,主動發現可能存在的失陷情況。這樣的工作都需要他們掌握更多的不同攻擊類型相關的TTP知識(戰術、技術和過程方法),以及瞭解更多攻擊相關的上下文資訊(攻擊目的、危害、傳播方式等),以加快分析溯源的時間並掌握更多識別失陷的分析模式。這些情報通常以雲端威脅情報平臺等形式提供。
(3)機器可自動化處理的機讀情報
(MRTI)安全運維人員使用這些情報一般有兩個作用,一是作為檢測指標(IOC)下發到安全設備中,檢測其它安全產品未能發現的威脅,如CnC類別的威脅情報;另一個作用就是用來判別誤報及確定高優先順序的報警,如IP信譽、功能變數名稱信譽等。這種類型的情報常常和安全產品緊密結合在一起使用。
安全廠商生成威脅情報是一個複雜的過程,需要具備多種能力才有可能完成,一般可以分為如圖3所示的八步。
圖3 威脅情報的產生過程
(1)資料收集
資料收集是威脅情報生成最關鍵的環節,決定了產生的情報是否能最全面的覆蓋威脅,因此往往會聚集多種不同來源的情報資料。
(2)資料清洗
將以上資料根據後續加工的需要進行整理、去除不可信資料、將關鍵資料結構化等過程。
(3)資料關聯
資料關聯是資料驗證的前提條件,通過資料關聯梳理不同類型資料間的關係,如樣本、樣本不同方式的檢測分析結果、樣本的網路行為、功能變數名稱註冊者、功能變數名稱指向的IP、IP上面的其它功能變數名稱等。
(4)驗證
通過建立關聯關係的資料,再利用機器學習的方式(有可能結合部分的人工分析)對情報的準確性進行驗證,並賦予相應的可信度指標。
(5)上下文
包括如攻擊類型、樣本家族、攻擊團夥、攻擊目地、傳播管道、具體危害等報警回應需要的內容。
(6)優先順序
根據攻擊目的、具體危害等資訊,確定報警優先等級資訊。
(7)格式化
根據分發的要求,將情報以特定的格式輸出,如:STIX、openIOC、JSON、xml等,非MRTI類型的情報還可能以PDF、word等類型提供。
(8)情報分發
根據不同類型情報的用途,可以推送給安全產品、打包供下載,或者郵件發送。
4-基於威脅情報的態勢感知-
威脅情報在態勢感知中可以發揮多重的作用,比較關鍵的有以下幾種:
(1)在大資料平臺等態勢元件中集成威脅情報的檢測能力
如C&C類的威脅情報,通過流量或者日誌的匹配檢測,可以説明組織儘快發現內部被駭客控制的傀儡機,防止木馬後門等惡意軟體帶來的資料失竊問題。
(2)提供配套的報警分析處置工具,加速事件回應進程
通過良好的情報工具,安全回應人員可以更好地完成以下任務:報警等級以及誤報判別、攻擊目地判定、攻擊者畫像(通過關聯分析,查找攻擊者相關的攻擊事件及技戰術分析等)。
5-安全視覺化-
資料視覺化是研究如何將資料之間的關聯關係以及蘊含的意義,通過視覺化方式進行展現,便於分析人員的深度分析技術。尤其對於情報分析領域,可以極大地提升情報分析的效率和效果。在工業安全方面,一方面可利用視覺化技術,將原本碎片化的威脅告警、異常行為告警、資產管理等資料結構化,形成高維度的視覺化方案,以便於用戶理解;另一方面可以通過視覺化技術將威脅事件與企業業務進行有機結合,通過態勢感知大屏將內網全域的安全態勢以圖形化的方式直觀呈現,將安全由不可見變為可見。
結語
本文將IT資訊安全領域資料驅動安全、積極防禦、威脅情報、基於威脅情報的態勢感知、安全視覺化理念和方法引入工業資訊安全領域。其中資料驅動安全是技術基礎,積極防禦是平臺,威脅情報是核心,態勢感知是結果,安全視覺化是手段。希望這些理念和方法能夠促進工業資訊安全行業的發展。
作者簡介:
王弢,男,現任360企業安全集團工業安全產品線副總監,主要從事工業安全相關工作。從事自動化控制系統的研發和研發管理工作十餘年,負責或參與DCS、SIS、PLC、核電儀控系統、鐵路信號系統、SCADA等產品開發。
更多精彩內容請關注V信號:ICSISIA
現階段大多數工業企業的工業資訊安全工作都聚焦於“架構安全”和“被動防禦”,對“積極防禦”和“情報”則涉及較少,因此在設計工業安全防護方案時應該聚焦於回顧“架構安全”補強“被動防禦”,重點發展“積極防禦”和“情報驅動”,以有效提高企業的資訊安全防護能力。
在進行“被動防禦”改進與“積極防禦”進階時,Gartner的自我調整安全架構,則可作為較好的參考。
圖2 自我調整安全架構
自我調整安全架構將持續的監控和分析過程分為:預防預測、阻止與防護、檢測與監控、回應與調查四個主要環節,每個環節中包含多個監控和分析方法。而支撐這些監控和分析方法的是企業或組織內部的各層資料和威脅情報。
3-威脅情報-
依據美國國家安全系統委員會(CNSS)提供的定義,在網路安全領域的態勢感知是指:在一定的時間和空間範圍內,對組織的安全狀態以及威脅環境的感知,理解這兩者的含義以及意味的風險,並對它們未來的狀態進行預測。
這裡面我們可以解讀出兩種含義:
(1)態勢感知需要掌握組織內部的安全狀態,以及相關的外部威脅環境資料。掌握組織內部的安全狀態主要依賴主動防禦措施,採用資料驅動的持續監控方案,而相關的外部威脅環境資料,就是指威脅情報。
(2)態勢感知的目的是深入理解當前的風險,並可以對未來的風險進行預測、預防。試想下面一種情況:內部發現有一台終端被駭客的木馬控制,單純這一個事件並不能讓我們對其風險有深入瞭解,如果我們通過威脅情報判定駭客的攻擊目地,就可以對風險有進一步的理解,如果進一步獲取其團夥的技術水準、經常使用的技戰術手法等情報,就可以反觀組織現有的檢測、防禦措施,給出預警以及配套的預防改進措施。
威脅情報是基於證據、有關已知或新型威脅或危害的知識,包括上下文、機制、檢測指標、影響和活動建議,能夠作為應對的決策依據。基於組織中安全人員不同角色的決策需要,我們還可以把情報分為3類:
(1)高層管理者使用的戰略情報
以CSO為代表的公司高層管理者最重要的工作之一是在管理層溝通、獲取資源並進行資源的分配。其中的挑戰是其它管理層難以瞭解攻防技術、眾多安全建設工作的優先順序排定缺少依據。戰略情報提供組織需要面對的攻擊者類型、動機、能力及潛在風險方面的情報。CSO可以使用自身或行業面對的真實對手及其風險來更好地和管理層溝通,也可以基於這些風險和攻擊的可能性提供優先順序排序進而優化資源配置。這部分的情報可以由有豐厚威脅情報能力的安全廠商以服務的形式提供。
(2)SRC或安全分析團隊使用的運營層面的情報
SRC團隊的主要工作是對已經發現的失陷攻擊事件進行深入分析、確定攻擊細節和影響面,並採取緩解、清除等響應活動。同時SRC團隊也會進行Hunting(安全狩獵)的工作,主動發現可能存在的失陷情況。這樣的工作都需要他們掌握更多的不同攻擊類型相關的TTP知識(戰術、技術和過程方法),以及瞭解更多攻擊相關的上下文資訊(攻擊目的、危害、傳播方式等),以加快分析溯源的時間並掌握更多識別失陷的分析模式。這些情報通常以雲端威脅情報平臺等形式提供。
(3)機器可自動化處理的機讀情報
(MRTI)安全運維人員使用這些情報一般有兩個作用,一是作為檢測指標(IOC)下發到安全設備中,檢測其它安全產品未能發現的威脅,如CnC類別的威脅情報;另一個作用就是用來判別誤報及確定高優先順序的報警,如IP信譽、功能變數名稱信譽等。這種類型的情報常常和安全產品緊密結合在一起使用。
安全廠商生成威脅情報是一個複雜的過程,需要具備多種能力才有可能完成,一般可以分為如圖3所示的八步。
圖3 威脅情報的產生過程
(1)資料收集
資料收集是威脅情報生成最關鍵的環節,決定了產生的情報是否能最全面的覆蓋威脅,因此往往會聚集多種不同來源的情報資料。
(2)資料清洗
將以上資料根據後續加工的需要進行整理、去除不可信資料、將關鍵資料結構化等過程。
(3)資料關聯
資料關聯是資料驗證的前提條件,通過資料關聯梳理不同類型資料間的關係,如樣本、樣本不同方式的檢測分析結果、樣本的網路行為、功能變數名稱註冊者、功能變數名稱指向的IP、IP上面的其它功能變數名稱等。
(4)驗證
通過建立關聯關係的資料,再利用機器學習的方式(有可能結合部分的人工分析)對情報的準確性進行驗證,並賦予相應的可信度指標。
(5)上下文
包括如攻擊類型、樣本家族、攻擊團夥、攻擊目地、傳播管道、具體危害等報警回應需要的內容。
(6)優先順序
根據攻擊目的、具體危害等資訊,確定報警優先等級資訊。
(7)格式化
根據分發的要求,將情報以特定的格式輸出,如:STIX、openIOC、JSON、xml等,非MRTI類型的情報還可能以PDF、word等類型提供。
(8)情報分發
根據不同類型情報的用途,可以推送給安全產品、打包供下載,或者郵件發送。
4-基於威脅情報的態勢感知-
威脅情報在態勢感知中可以發揮多重的作用,比較關鍵的有以下幾種:
(1)在大資料平臺等態勢元件中集成威脅情報的檢測能力
如C&C類的威脅情報,通過流量或者日誌的匹配檢測,可以説明組織儘快發現內部被駭客控制的傀儡機,防止木馬後門等惡意軟體帶來的資料失竊問題。
(2)提供配套的報警分析處置工具,加速事件回應進程
通過良好的情報工具,安全回應人員可以更好地完成以下任務:報警等級以及誤報判別、攻擊目地判定、攻擊者畫像(通過關聯分析,查找攻擊者相關的攻擊事件及技戰術分析等)。
5-安全視覺化-
資料視覺化是研究如何將資料之間的關聯關係以及蘊含的意義,通過視覺化方式進行展現,便於分析人員的深度分析技術。尤其對於情報分析領域,可以極大地提升情報分析的效率和效果。在工業安全方面,一方面可利用視覺化技術,將原本碎片化的威脅告警、異常行為告警、資產管理等資料結構化,形成高維度的視覺化方案,以便於用戶理解;另一方面可以通過視覺化技術將威脅事件與企業業務進行有機結合,通過態勢感知大屏將內網全域的安全態勢以圖形化的方式直觀呈現,將安全由不可見變為可見。
結語
本文將IT資訊安全領域資料驅動安全、積極防禦、威脅情報、基於威脅情報的態勢感知、安全視覺化理念和方法引入工業資訊安全領域。其中資料驅動安全是技術基礎,積極防禦是平臺,威脅情報是核心,態勢感知是結果,安全視覺化是手段。希望這些理念和方法能夠促進工業資訊安全行業的發展。
作者簡介:
王弢,男,現任360企業安全集團工業安全產品線副總監,主要從事工業安全相關工作。從事自動化控制系統的研發和研發管理工作十餘年,負責或參與DCS、SIS、PLC、核電儀控系統、鐵路信號系統、SCADA等產品開發。
更多精彩內容請關注V信號:ICSISIA