新形勢下網絡安全運營服務研究

袁廣戀,云圓圓

(江蘇金盾檢測技術股份有限公司,江蘇 南京 210042)

0 引言

隨著近幾年《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》等一系列相關法律的出臺,網絡安全的合規性要求越來越高。除了法律之外,各個主管部門組織的網安行動、護網行動越來越多,網絡安全運營者面臨被通報、被處罰的情況越來越多。如何在新形勢下順利開展網絡安全工作,滿足各項法律法規要求,避免被通報、被處罰已經成為網絡安全運營者迫切需要面對并解決的問題。

1 網絡安全工作現狀

網絡安全工作越來越重要,網絡安全運營者對網絡安全工作越來越重視,每年在網絡安全工作上都有一定的資金及時間的投入,但是目前的網絡安全工作依然存在一些問題。

1.1 安全設備未正確使用好

目前,很多網絡安全運營者在網絡安全基礎設施上投入較多,主要包括邊界安全、殺毒、態勢感知、安全審計、流量分析等相應技術措施,要匹配的安全設備類型也很多,比如最基礎的防火墻、殺毒軟件、VPN、堡壘機、上網行為管理到進一步的態勢感知、IPS、日志管理、數據防泄露、Web應用防火墻、數據庫審計等。由于這些網絡安全設備的增加,同時這些安全設備又是比較專業的網絡安全設備,如何有效把這一系列安全設備充分使用起來,發揮其最大用處,起到應有的網絡安全防護效果是網絡安全運營者需要面對的問題,往往在實際工作中大部分的安全設備都沒有被使用好。

1.2 無法獨立處理海量的告警和日志

隨著大量網絡安全設備的投入,特別是防入侵攻擊、主動威脅分析相關的安全設備的投入,每天這些網絡安全設備會產生海量的告警信息和日志。大部分網絡安全運營者無法自主分析這些告警日志,從這些海量的告警信息里提取有效的安全事件和攻擊行為,進行有效的安全處置。

1.3 網絡安全工作合規要求越來越多

隨著《網絡安全法》《密碼法》《數據安全保護法》等法律法規的出臺,網絡安全運營者需要開展的網絡安全合規工作越來越多,比如:開展等級保護測評、商用密碼應用安全性評估、數據分類分級、網絡安全應急演練等。這樣的工作專業性強,對網絡安全運營者的技術要求較高,大部分網絡安全運營者無法獨立依靠自己的力量完成這些工作。

1.4 各類網絡安全通報越來越多

目前,網信辦、公安、通管及行業主管部門對網絡安全運營者或多或少都有管理要求。隨著監管的加強,網絡安全運營者經常會收到各類網絡安全通報。網絡安全運營者收到通報后需要第一時間快速及時地進行處置并做反饋。面對這樣的實際情況,單個網絡安全技術人員很難完全應對此類突發的網絡安全事件。目前,大部分網絡安全運營者都不能完全獨立解決這類網絡安全通報。

2 網絡安全工作需求分析

2.1 網絡安全工作合規性需求

等級保護測評、商用密碼應用安全性評估、數據分類分級、網絡安全應急演練等網絡安全合作工作越來越多,需要網絡安全運營者及時開展以滿足法律法規的要求,做到網絡安全工作合規合法。

2.2 網絡安全工作有效性需求

網絡安全運營者需要使用好網絡安全設備,及時處置各類網絡安全風險。這就需要網絡安全運營者做到安全設備策略優化、主機設備加固、應用的安全漏洞發現及修復、安全日志分析、突發事件處置等工作,做到網絡安全工作切實有效,避免發生網絡安全事件,避免被相關安全主管部門通報。個人很難較為全面、快速、有效地解決這些問題。

2.3 網絡安全工作及時性需求

面對網絡安全攻擊事件以及網絡安全主管部門隨時可能的通報,網絡安全運營者應該在第一時間對這些網絡安全問題進行分析、判斷、處置,如果處置不及時,一方面可能造成網絡安全事件影響范圍擴大及破壞程度的增加;另一方面可能造成主管部門的再次通報及處罰。面對這類情況,網絡安全運營者對網絡安全工作的及時性要求越來越高。

3 網絡安全運營服務實現

面對以上的網絡安全工作現狀及網絡安全工作需求,如果網絡安全運營者再像傳統做網絡安全工作一樣,只是通過購買網絡安全設備,依靠網絡安全運營者自身去解決是很難做好當下的網絡安全工作,無法做到合規、有效、及時。這些需要通過專業的第三方網絡安全服務機構構建全新的網絡安全運營服務體系來解決。新形勢下的網絡安全運營服務內容至少包括:資產調研、安全防護能力檢測、防入侵安全加固、安全監測與預警、應急處置,通過這一系列服務提升網絡安全運營者的網絡安全防護能力,降低網絡安全事件發生的概率,有效地完成網絡安全各項工作。

3.1 開展好信息資產調研

網絡安全運營者做好網絡安全運營服務,首要任務就是開展好信息資產調研,全面掌握單位具有的信息資產,摸清家底。在實踐中,一般通過人工訪談調研和互聯網服務指紋探測等方式對用戶單位的信息系統情況進行調研摸底,梳理存活在用的物理資產信息和數字資產信息,避免防護盲區的存在。資產調研除了傳統的信息資產、IP、服務器操作系統版本、中間件、數據庫版本,還包括業務系統相關訪問路徑、訪問人員等信息。基于網絡掃描、搜索引擎、互聯網基礎數據引擎主動探測暴露在互聯網上的業務應用系統等資產,可以形成明確的資產清單,并發現未知資產。技術人員通過大數據挖掘和調研的方式確定資產范圍,進行主動精準探測,深度發現暴露在外的 IT 設備、端口及應用服務,發現活躍資產及 “僵尸” 資產,由安全專家對每項業務進行梳理分析,結合網絡安全運營者反饋的業務特點對資產重要程度、業務安全需求進行歸納,最終形成各網絡安全運營者的資產清單。同時,信息資產調研工作不是一勞永逸的。信息資產有一個不斷變化和更新的過程。這就需要網絡安全運營者定期開展信息資產調研,不斷完善信息資產。

3.2 做好網絡安全防護能力檢測工作

網絡安全運營者在新的網絡安全形勢下應該開展全面的網絡安全防護能力檢測才能更加全面地發現各類網絡安全問題。一個全面的網絡安全防護能力檢測至少要包括滲透性測試、漏洞掃描、安全措施防護有效性檢測、入侵痕跡檢測等幾個方面的內容[1]。區別于一般的基于安全漏洞的檢測,防護能力檢測從面向威脅視角通過安全建模的方式分析系統實際存在的安全威脅場景,并對可能存在的威脅途徑、威脅方式進行全覆蓋式的測試驗證,測試結果不但能明確反映出當前系統面臨哪些方面的威脅、哪些威脅可被利用、哪些威脅可被抵御,而且對應安全風險事前、事中、事后全過程提出整改建議措施。該檢測更加全面地發現各類安全隱患,而不局限于某一方面的網絡安全問題。滲透測試一定是全面性的,不能僅僅局限于某一方面漏洞的發現。漏洞掃描需要使用不同工具進行交叉掃描。各類安全措施是否有效需要進行策略設計、策略優化、策略驗證、策略及時更新等,做到安全防護措施的實時有效。入侵痕跡檢測可以有效判斷系統是否已被入侵過,避免系統已被黑客進行木馬控制等攻擊。

3.3 開展防入侵安全加固

目前,國內對于安全整改加固的現狀是:大部分從事網絡安全業務的廠商提供安全加固服務是針對合規要求的策略配置、補丁升級等有限的安全加固,對應的安全加固技術人員僅從一個或某幾個側面來對系統進行增強保護,沒有形成一套完整的防入侵安全加固保護體系,不能對目標提供全面有效的保護。對于向互聯網提供服務的系統,來自應用層的攻擊入侵占絕大多數,但是應用軟件的安全漏洞和安全功能的缺失需要通過代碼更新或重新開發才能解決,對于已交付或需頻繁業務更新的應用系統則束手無策。部分網絡安全運營者寄希望通過部署各類安全防護產品解決網絡攻擊入侵的問題,由于網絡入侵技術、網絡攻防對抗的多樣性、動態性、復雜性,經常出現投入大量資金而安全態勢并沒有真正改變的狀況。

在安全威脅和安全保護要求詳細分析的基礎上,防入侵安全加固能夠在不增加的硬件設備的條件下對網絡系統、主機系統、應用系統提供全面的防入侵功能設計和安全策略優化等服務,為網絡安全運營者提供一套完整的防入侵安全加固保護體系,消除安全隱患,有效提升信息系統的安全防護能力。

防入侵加固加固的不僅僅是漏洞,它是一個加固體系,涉及網絡層加固、系統層加固和應用層加固。

3.3.1 網絡層加固

網絡架構及邊界安全策略整改優化:依據安全檢測發現的問題形成網絡層面安全整改方案,主要內容包括但不限于網絡架構優化設計及結構調整、網絡邊界訪問控制優化設計及策略加固、網絡邊界防入侵策略加固優化、網絡邊界防惡意代碼策略加固優化、設備身份認證策略、權限管理策略、遠程管理策略加固優化、網絡監測預警策略加固優化、網絡日志審計策略加固優化等。

3.3.2 系統層加固

操作系統及通用網絡服務安全加固:依據安全檢測發現的問題形成系統層面安全整改方案,主要內容包括但不限于:身份認證策略加固優化、權限管理策略加固優化、遠程管理策略加固優化、日志審計策略加固優化、訪問控制策略加固優化、重要文件完整性監測加固優化、系統部署結構及管理控制臺加固優化、補丁升級及防入侵策略加固、日志審計策略加固優化等。

3.3.3 應用層加固

應用層加固主要內容包括但不限于:Web安全漏洞的修復加固、第三方組件安全漏洞修復加固、安全配置缺陷的修復加固、程序及配置文件完整性監測措施設計加固、日志審計策略加固優化、數據備份恢復策略優化加固等,實現對應用層中常見高中危漏洞的有效防護。

3.4 日常安全監測與預警服務

網絡安全運營者通過防護能力檢測以及防入侵加固服務,可以解決大部分網絡安全問題。如何面對日常的網絡安全攻擊以及未知威脅的網絡攻擊,網絡安全運營者需要加強日常網絡安全監測與預警服務。通過部署專業監測工具來分析網絡鏡像流量,基于規則檢測、機器學習模型、大數據技術,可以實時感知業務系統的安全威脅,檢測到外部攻擊、內網滲透以及失陷破壞的威脅。部署的專業監測工具實現以下功能。

3.4.1 迅速定位:精準檢測0Day、木馬變形及APT攻擊

為攻入目標單位網絡大門,攻擊者通常會嘗試各類最新、最隱秘的攻擊手段。同時,監測工具還可對請求與返回流量全流量檢測,對目標單位生產網、辦公網全場景流量攻擊成功失敗自動化判定,保證準確告警,精準檢測0Day、木馬變形及APT攻擊并迅速定位被攻擊的目標資產。

3.4.2 情報反制:重保監控,實時獲取最新攻擊情報

監測工具基于專業分析團隊時刻跟進攻擊動向,實時同步攻擊隊IP資產、木馬特征、攻擊隊溯源結果等攻擊者重要信息,同時全面展現外部攻擊活動、資產風險檢出、惡意文件、郵件告警、疑似感染攻擊隊木馬主機等關鍵信息,通過情報進行先發制人。

3.4.3 攻擊研判:靈活易用研判工具包

各種高級、未知、高隱藏型攻擊威脅,已成為攻防過程的主流攻擊方式。網絡安全運營者想要準確、快速、有效地對攻擊進行研判,就需要高可用、高易用的分析研判工具庫,從而及時快捷地進行攻擊研判。在攻擊研判環節,監測工具的日志調查模塊針對網絡日志提供不同流量方向、不同行為類型、不同匹配方式的源IP、攻擊結果等任意類型日志快速檢索,完備的解碼與統計分析工具可對加密攻擊載荷進行解碼分析。

3.4.4 快速響應:自動化封堵攻擊

在攻擊過程中,一旦發現攻擊者,監測工具可提供旁路阻斷與聯動阻斷兩種阻斷方式。通過旁路阻斷,可在不改變網絡拓撲的情況下,對惡意連接進行有效阻斷。而聯動阻斷,則是將檢出的惡意域名資產IP、域名等信息及時同步至第三方防火墻設備或采用外部資源調用的方式進行阻斷。

3.4.5 攻擊溯源:完整還原攻擊路徑

攻擊溯源是事后響應的關鍵,也是安全能力提升的關鍵。通過對被攻擊資產與流量的分析與溯源,還原攻擊路徑與攻擊手法,網絡安全運營者不僅可有效提升攻防能力,還可增強安全防御能力,將攻擊事件轉換為防御勢能,避免二次攻擊事件發生。

3.5 威脅分析及應急處置

網絡安全運營者(1)通過專業的工具開展網絡層流量分析,來發現各類網絡安全攻擊;(2)通過實時的流量分析來發現各類網絡安全問題。同時,網絡安全運營團隊的一線運營前臺會 7×24 h監控應用安全攻擊事件,并對事件進行即時確認,一旦發現安全事件屬實,將會即時通知客戶及相關的應用管理接口人,同時啟動相應的安全應急響應流程。在接到網絡安全運營者緊急響應請求時,網絡安全運營團隊立即啟動響應預案。項目負責人立即指派現場應急組收集信息系統信息、安全事件信息并立即分析評估[2]。無論能否解決問題30 min內返回處理情況簡報。現場應急組在規定時間內不能分析問題,則立即電話請求技術支援組,協同分析解決安全事件。如果在30 min內仍不能解決,那么技術支援組及技術專家應在1 h內到達事故現場,協助現場人員進行問題處理,直至問題解決。

在重要保障時期,根據網絡安全運營者需求,提供1人7×8 h或7×24 h駐場式安全運行保障,網絡安全運營團隊對系統各類運行日志和威脅情況進行分析,及時發現系統異常情況和安全威脅形勢,為提前預防和應急措施提供技術支撐。一旦發生網絡安全事件,駐場服務團隊將第一時間提供現場應急處置服務,迅速研判事件原因。根據《國家網絡安全事件應急預案》網絡安全事件分為四級:特別重大網絡安全事件、重大網絡安全事件、較大網絡安全事件、一般網絡安全事件[3]。根據不同級別的網絡安全事件,網絡安全運營團隊啟動不同級別的網絡安全應急服務,按照安全事件應急預案提供取證、抑制、根除以及驗證等服務,將安全事件的危害損失控制在最小范圍。

安全事件分析:針對各類網絡安全事件,網絡安全運營團隊需做好預測并對監測到的安全數據和安全事件信息進行安全事件研究、分析和判定,驗證安全事件的可能性并出具相應的解決方法。一支由高技術能力的安全服務人員組成的安全團隊開展安全事件研判分析。安全應急響應處置:基于具體的安全事件開展專家應急響應,包括安全事件檢測、安全事件抑制、安全事件根除、安全事件恢復、安全事件總結,最終形成協調聯動機制,增強應急技術能力,健全應急響應機制。安全事件處置完成后,系統得到恢復,找到安全事件發生的原因并提供相應的安全解決方案,提供交付物安全事件應急響應報告。

4 結語

通過以上成系統的網絡安全運營服務體系的建設,網絡安全運營者可以有效地應對當下網絡安全新形勢下對網絡安全工作的各項要求,一方面要全面發現問題,同時也要及時解決問題,在面對各類攻擊或攻防行動時亦能及時發現各類網絡攻擊,并及時有效地做出響應處置,將各類網絡攻擊及網絡安全事件第一時間處置完成,保障信息系統的安全。