安全态势建设需“十年磨一剑显锋芒”

什么是江湖？只要有人的地方就是江湖，人在江湖，江湖在身。

第五空间亦是江湖，本质亦是人与人的博弈，万物互联的大数据时代，网络已深入企业的生产、运营和销售当中，面对各种可知、可见和隐秘的安全威胁，多年来建设的安全防护技术体系不足以应对，对日益具有针对性、体系化、规模化的安全攻击和组织，运用态势感知做为整个安全运营和防御的枢纽与大脑，感知攻击行为、预测攻击趋势，联动各单点安全防护能力形成合力，实现威胁的快速响应、及时处置，与其进行真实的较量，形成切实有效的安全防护，从而保护企业内部资产和业务。

而无论是SOC、SIEM还是态势感知，面临平台性能与伸缩性、数据采集多样性与标准化、安全情境关联能力、安全响应处置成熟度、安全团队人才输出等问题，建设的效果往往不如预期，怎么才能达到效果呢，这需要做好长期的规划来建设好大数据架构的基础设施，明确监测目标或业务场景，持续不断的更新优化数据、算法模型，做好基本功之后再谈应急处置乃至安全运营。

平台系统化建设的思路可分四步： 夯实大数据平台设施基础 -> 持续完善大数据安全分析要素与方法 -> 制定安全威胁处置手段 -> 安全人才队伍培养 。

一、夯实大数据平台设施基础

保障平台的灵活扩展性、组件兼容性与数据容错性： 基于分布式架构的大数据平台，随日志量增长可平行扩展，使其拥有强大分析能力、快速查询效率和长周期数据处理能力； 平台功能模块化，提供一定的扩展能力，保持数据采集模块、威胁检测模块与平台的松耦合，使数据输入、数据输出接口相对独立； 具有灵活的API接口对接能力，可与ITSM类外部系统进行交互，同时也可支持调用漏洞管理、威胁情报、安全合规等其他平台的API进行数据的传递； 采集、消息处理、存储、检索各组件之间保持版本兼容性，保证数据的采集、传输、处理、存储和使用过程中的流转度、保真度； 数据采集、程序支持及存储组件ES要有容错机制，解决数据读取失败自动重传录入、程序假死、存储设备宕机等问题。 提升安全分析引擎综合能力

安全分析引擎能够提供多种分析能力，基于安全威胁不同类型提供不同的分析方法，对安全威胁情况进行刻画，使用实时分析、离线分析、智能搜索进行威胁检测及态势场景分析，为安全告警、安全态势、威胁预警等上层功能提供数据支撑。

做好数据“四可”治理，打通数据壁垒

数据不仅仅为日志事件还要包括情境信息、业务信息，是安全分析的关键因子，要考虑数据多样性、标准化、分类分级及共享机制，而数据自身的安全防控也不可缺少，这些问题的规避需要通过数据“可知、可用、可管、可控”做好预处理。

数据“可知”： 数据源多样化，不同部门间有共性数据，也有特性数据，针对共性数据定义统一解析标准。 数据“可用”: 建立跨部门协调决策机制，来平衡部门间数据共享的难度，保证业务数据独立性、共性数据统一、全量数据可重复利用。 数据“可管”： 对数据进行分类分级，规定数据提取的范围，依据接口规范明确数据提取的形式和格式，推动数据采集、保证采集数据质量。 数据“可控”： 在数据共享、使用的过程中应当做好脱敏脱密、明确用户的权限范围，保护数据机密性的同时避免数据被滥用。

二、持续完善大数据安全分析要素与方法

大数据安全分析其实就是数据挖掘与分析的过程，用数据来发现问题和寻找解决方案，通过数据获取、处理、分析和展示四个环节，来快速解决安全威胁（5W1H）：

WHO-谁来攻击的？（人物） WHEN-什么时间发生的攻击？（时间） WHERE-攻击发生的地点？（地点） WHAT- 攻击的对象是什么？（对象） WHY-攻击发生的原因？（凭据） HOW-攻击是怎么发生的？（动作） 1、明确安全分析目标，按需获取分析三要素

The Relationship Among Use Cases From Gartner

场景：要解决什么安全问题？

互联网攻击：外部黑客攻击检测、勒索病毒防范、DDOS攻击等；

内部攻击：数据防泄漏侦测、内部资产风险监测、内部人员违规等；

业务风控：薅羊毛、撞／脱库、异常业务办理、接口安全分析、业务风险云图等。

数据：需要什么样的数据源？

Activity : 日志、流量、应用、终端、元数据及其它第三方数据等；

Context : 用户身份、资产、脆弱性信息、行为信息、情报信息。

分析：运用什么样的分析方法？

关联分析（专家规则）、动态基线（用户行为分析）、机器学习（模型分析）、对比分析（威胁情报关联）、用户画像等。

依据场景和数据建立相适的分析算法/模型

在使用分析算法和建模之前，需要了解研究的对象是什么，通过业务场景多维度挖掘可用的信息，依据维度数值特征和统计特征建立合适的算法模型。同一个场景可能存在很多不同的检测方法，例如Webshell的异常检测：

最直接的方法就是使用字符进行规则匹配，这种做法准确率高、速度快，但是随着时间的变化规则库中的字符就会过时，达不到预期的检测效果； 通过把url转换成词向量，使用分类模型（例如随机森林）的方法可以在某种程度上补充规则的不足，但是这种做法还是没法做实质性的提升，同时这种还需要大量的label数据； 通过对webshell网页访问路径和其它正常网页访问路径的被访问区别（例如页面出入度、页面曝光时间、来访IP数量等维度存在差异），将网页访问路径这方面的属性提取，利用非监督学习（如孤立森林）有针对性的将webshell网页被访问特征孤立出来达到检测webshell的目的，但是这种做法需要的后期验证较多。

所以在建模时需要综合考虑企业的实力、安全需求和各种算法的优缺点，从实际情况出发选择算法。目前主流的分析算法包括分类、聚类、关联分析等，对于在异常检测中的应用，可从场景概念、数据属性、当前挑战、常用手法四个角度来看。

所谓“知彼，方能出奇制胜”，对于黑客的非法入侵也有行迹可寻，基本的套路是reconnaissance(侦察)，weaponization(武器构建)，delivery(载荷投递)，exploitation(漏洞利用)，installation(安装植入)，command and control(C2)(指挥和控制)，and actions on objectives(目标达成)7个阶段，每个阶段都有特定的攻击手段。基于洛克希德·马丁Cyber Kill Chain攻击链模型，构建网络攻击生命周期，提供安全分析与监测、安全防御与控制的全景图。

网络攻击生命周期

（编辑：厦门网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!