安全建设的任务
引言
之前介绍了安全的本质和安全建设的原则,了解了安全的本质是对数据的机密性、完整性、可用性的防护能力;安全建设的原则主要是:关注结果,关注整体,最小化原则,发挥优势,保持乐观。那安全建设应该做什么呢?这就是本文的主要内容,安全建设的任务。这些任务是在安全本质和安全建设原则的基础上提炼而来。安全的内容涵盖很多方面,企业的规模和性质也各不相同,本文提到的任务尽量忽略各个企业的特点,找到一些对所有企业都普遍适用的任务。这些任务包括:设定目标、决策、人的培养、资产管理、收集检测和响应。
1
设定目标
对大多数国内的国企,政府等企事业单位,最基本的需求是要符合《网络安全法》的要求,满足等级保护制度中相应级别的要求,所以他们的最基本目标是满足网络安全法,过等保;金融、证券等牌照行业,需要接受严格的政府监管,除了最基本的网络安全法之外,还要受到直接主管部门的制度要求,所以他们的要求除了过等保外,还要符合业内的政策要求;同时,由于企业的发展严重依赖业务的持续稳健,所以需要以建设保障业务安全运行为目标。对于满足法律法规行业要求的这些目标统称为合规目标,这些几乎是过去20多年驱动网络安全市场增长最重要的因素,对安全市场的贡献大约在70%以上。
随着HW行动的开展,以及勒索病毒等安全事件的发生等,很多单位从原来的仅仅为了合规要求,随便买些合规设备,过渡到认真考察对比谁家的产品防护效果更好,从而决定采购,这些改变的目的就是为了在HW中取得更好名次以及实际使用中取得较好的效果。
对于很多互联网行业,由于对业务很重视,所以安全建设的主要目标是为了保证业务运行,但他们的系统中保存了很多重要的民生资源,所以也需要过等保,但他们的安全建设主要目标并不是为了过等保。
还有很多中小企业IT建设永远是满足业务需求为先,要先让业务能跑起来,等到业务功能满足得差不多了,IT预算空出来一部分,才会考虑安全建设的问题。这种特性有点像奢侈品,只有当其基础需求充分满足后,才会考虑更昂贵的投入,提前奢侈消费的还是属于少数人。其实他们的安全目标没有考虑太仔细,或者考虑了,但是由于经费问题只做最少量投入。
不管怎么说,设定目标是安全建设的第一步的任务,只有安全目标设定后,才有可能围绕安全目标进行建设,建设的过程可以参考安全建设的原则。
2
决策
在设定好安全目标后,就需要做决策。任何公司的资源都是有限的,投入到安全建设上的资源就更少了,根据IDC数据,美国网安投入大约占整个IT投入的4.78%,中国只有1.84%。在资源有限的情况下,做什么不做什么就是非常重要的选择了。
做决策有多种方法可以选择,下面介绍几种最常用的决策方法,但哪个适合自己还需要根据情况来定。
决策的系统化方法GPA
G(Goal)目标:确立一个明确、共享的目标
P(Priority)优先级:明确不同任务的轻重缓急
A(Alternatives)可选方案:制作许多可选方案,选用最好的方案去达到目标
利弊分析和矩阵分析
利弊分析是试着用简单的利或弊来分析,虽然很多事情不能简单的用利或弊来衡量,但简化思考可以快速把握住问题关键。矩阵分析是二维利弊分析,比如时间管理的紧急和重要矩阵分析。
决策树和概率树
决策树,就是一种把决策节点画成树的辅助决策工具,一种寻找最优方案的画图法。
概率树在决策树的基础上,增加了对条件发生概率的预测,和对结果收益的评估,然后加权平均得到一个“期望值”,用这个期望值作为依据,辅助决策。
沉没成本
从经济角度来说,任何已经发生的成本都不应该影响到你对未来的决策。唯一能影响未来决策的因素,只有简单粗暴的两种选择的利弊分析。
3
人的培养
网络安全是技术更新迭代最快的行业之一,同时由于我国针对网络安全的相关教育起步较晚,高校网络安全实践型人才储备不足,缺乏精通尖端网络安全技术的专业教师团队,高校对于网络安全实践场景普遍缺乏,导致学生普遍存在理论知识多而实战能力弱的特点,所以在安全建设的过程中要重视对人的培养。
据调查,网络空间安全人才数量缺口高达140万,而网络安全人才培养的数量远远满足不了社会需求,目前每年网络安全学历人才培养数量不足3万。在这种情况下,更要重视公司内部人员的培养。
因为某些特定企业有它的特殊性存在,比如说电网、石油石化、管道和燃气、水利等等,这些场景又是国家的关键基础设施。对于此类机构的安全建设,需要了解企业的业务和网络环境,这些内容对外部团队来说,一般很难做到充分了解,就很难用通用的安全知识解决企业内部的问题。
企业内相关专业人才缺失带来的问题,导致了很多问题的并发,也是整个企业安全管理过程中最难的一个点。社工渗透、数据管控、漏洞突发、策略配置和响应等很难发挥到有效水平。花钱买设备就能得到保护的思想是不成立的。而像2020年因为疫情需要大量远程办公的情况下,对于服务器紧急漏洞,安全人员去现场也不太现实。因此人和围绕人的安全建设,是整个企业的痛点。
对一个企业来说,它资深的攻防技术、安全人员,各种资源对抗是不平衡的。训练形式单一,实战经验比较落后。安全企业很多时候要以业务为主,技术人员技能的提高需要比较长的时间。公司安全建设不能为了攻而攻,而是为了防而攻。为了提升企业的整体防御能力,用更高级的攻击手法,在实践中去验证。随着一些国家法律的颁布,对于网络安全人员来说是有益的。现在只能通过模拟演练去实现,因此,在实战中的工作,由于缺少有效的真实的实战环境,这也导致了企业内部人才的成长比较难。
在人才的培养和引进方面需要打破一些固有的思路,因为很多高水平的黑客是处于对技术的爱好自学成才的,这也是许多专业黑客因为学历很难前往大型企业的原因。在管理上对安全人员的培养可以用人带人的方式进行,这样可以共同提高,强化团队作战能力。个人经验到整体团队积累,可以形成快速迭代。
4
资产管理
在企业IT管理中,比如运维、安全、业务等,摸清家底无疑是第一步。这里的资产管理是泛IT资产,不是传统意义上的我有多少台设备。泛资产是指对组织有一定价值的软硬件信息。包括传统的服务器、IP地址、系统进程、业务进程等,也包括如APP、公众号、数字凭证、品牌、人员(如员工邮箱地址)、知识产权、组织信誉,社交媒体、微信公众号、微博等;还包括企业的安全策略、运维策略、串联业务线等都可能存在逻辑漏洞,同时也包括弱密码、安全补丁、版本升级等。
不幸的是资产管理在国内外都没有做好,也是个老大难的问题。有很多单位甚至连物理资产都没有完全搞清楚。那怎么做资产管理呢?有个比较好的网络安全资产管理的标准NIST CSF可以来参考。
NIST CSF标准是国内外安全领域都十分认可的框架。其中包括五个框架核心功能:识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)和恢复(Recover)。
识别(Identify):是NIST CSF第一步的动作,而资产管理(Asset Management)则是识别第一步。识别客户有哪些资产,又有6个子分类,包括:物理硬件设备的信息、软件平台和应用的信息、数据和通信的信息、外部信息系统、基于分类重要性和商业价值的优先级排序、人员角色的相关责任包括了供应商、客户和合作伙伴等。
保护(Protect):制定和实施适当的保证措施,确保能够提供关键基础设施服务。
检测(Detect):制定并实施适当的活动来识别网络安全事件的发生。检测功能能够及时发现网络安全事件,此功能细化的例子包括:异常和事件;安全连续监测以及检测过程。
响应(Respond):制定并实施适当的活动,用以对检测的网络安全事件采取行动。
恢复(Recover):制定并实施适当的活动,以保持计划的弹性,并恢复由于网络安全事件而受损的任何功能或服务。
这五个框架核心功能的内容很广,同时也包括了风险管理、事件处置等,但我个人认为对大多数企业来说,能做好识别工作就可以超出很多同行了。
当然还有些别的事务性任务,比如策略配置等,这些任务可以单独列出来,但我倾向于放在资产管理中的保护这个类别中。
由于资产管理涵盖的范围和内容都比较多,后续可以单独对资产管理进行介绍。
5
收集检测和响应
看到这个标题很容易的联想到自适应安全架构,但我个人认为自适应架构并不适用于所有公司,也许只对一些规模比较大、对安全非常重视的公司适用。这里的内容和NIST CSF标准的内容有些重复,但站的角度还是不一样的,这里主要从风险的角度来看,并且适应于大多数的企业。
收集:收集的前提在于了解资产,然后确定资产风险。那如何确定风险呢?我们可以从一个假设的问题开始分析:当出现什么事情时会导致公司瘫痪。这个问题需要结合公司业务站在公司整体的角度考虑才能明确。当风险确定后,需要对风险进行相对量化,比如量化成高中低三个级别。然后根据风险等级识别数据源,最后根据数据源确定收集的内容。
通常情况收集的信息主要包括流量、日志、进程的访问行为。这里是一个从粗到细的过程。流量信息中包括全包数据、会话数据、统计数据、摘要字符串数据。
全包数据最常用的形式是PCAP数据格式。这个可以通过tcpdump等任何抓包工具进行捕获,全包数据捕获了完整的流量数据,为后续的分析提供了非常有价值的信息。但是他也有个缺点,就是文件非常庞大,不适合长期存储分析。
会话数据是两个网络设备之间通讯行为的汇总,一个会话记录了从建立连接到关闭连接的汇总数据,这种汇总数据包括了源目标ip、源目标端口、协议、入包的数量、出包的数量、入包的大小、出包的大小等非常有用的数据。虽然它没有全包数据内容丰富,但它的大小比全包数据小了很多,同时也保留了比较重要的数据,所以这是一种非常常用的保存流量数据的形式。可以长期保存,对后续的分析有非常大的价值。
统计数据是统计一段时间内网络中的流量信息,包括源目标端口、协议、入包的数量、出包的数量、入包的大小、出包的大小等非常有用的数据,这个数据和会话数据有些类似,但比会话数据更加粗放。由于压缩合并了时间信息,所以会比会话数据更加的小,由于合并了时间信息,所以会丢失一部分的时间信息。它也是一种非常常用的保存流量数据的形式。可以长期保存,对后续的分析有非常大的价值。
摘要字符串数据,这种数据针对特定的协议,介于全包数据和会话数据中间。它保留了一些字符串信息,比如针对http协议,可以采集http协议的请求路径、请求方法、参数、http协议的一些参数、返回的状态码等等。但它不保留提交的文档等二进制信息,不保留返回的页面内容等信息。这些信息在某些单独的分析中价值非常大,比如分析sql 注入,xss等行为。
日志数据主要包括由设备、主机或者业务程序生成的原始日志信息和这些系统产生的告警数据。原始日志信息包括web中间件产生的日志文件、路由器产生的连接、拒绝会话的信息、VPN的身份验证信息、windows日志信息等;告警数据一般是违反了系统的某些安全策略产生的。具体采集可以参见《日志如何采集》。
进程的访问行为是一种更高级的数据,它主要包括进程间调用信息,进程创建和访问文件的信息,进程访问api的信息等。这些数据主要在操作系统内部,难以采集,一般会借助edr、杀毒软件、终端管理软件等做些辅助采集。
检测:主要是发现那些正在攻击或者已经攻击成功的行为,攻击成功主要是逃避了防御措施,通过检测要尽早发现失陷主机,减少威胁的持续时间。因而检测能力在整个安全建设的过程中至关重要。检测最重要的内容是安全分析能力:整个安全建设的核心是持续收集数据,包括网络、终端、应用程序和用户活动。然后根据分析模型进行持续的检测。可以通过关联规则模型、统计模型,结合外部威胁情报、甚至是机器学习来提高检测的准确性,最终及时发现失陷威胁的事件。
检测的过程一般包括:
对收集的数据进行格式化解析,参见《运维必看:日志标准化必须面对的 4 类问题》;对解析后的数据通过关联规则进行关联分析,参见《运维日志里隐藏的安全危机,你知道怎么挖吗?听听专家怎么说》;
对解析后的数据结合实际情况进行手工分析,参见《运维利器:WEB日志分析场景介绍》。
当然分析过程不能靠人工一行一行的看,需要借助工具,脚本等,常用的工具包括siem、soc等。
响应:是对检测发现的问题进行调查并补救,提供取证分析以及溯源分析(大多数时候重点在找到失陷的原因,并不一定需要锁定具体攻击者),进而对防御措施进行改进,避免今后发生此类事件。
总结
本文介绍了安全建设的主要任务,这些任务应该可以适应所有对安全建设有需求的行业。这些任务都是长期的、动态的,只是频率不一样。比如目标不需要经常设立,但是需要定期检查目标是否有变化;对人的培养需要长期坚持,养成有意识无意识的对人进行培养的习惯;决策、资产管理、收集检测和响应需要经常做,甚至是天天做。只有这样才能逐步把安全建设好。
相关分享: