网络安全事件管理
一、背景
信息化技术的迅速发展已经极大地改变了人们的生活,网络安全威胁也日益多元化和复杂化。传统的网络安全防护手段难以应对当前繁杂的网络安全问题,构建主动防御的安全整体解决方案将更有利于防范未知的网络安全威胁。
国内外的安全事件在不断增长,安全信息管理市场也在不断发展。2018年12月,Gartner正式对外发布了2018年SIEM市场魔力象限分析报告。报告显示,SIEM目前属于成熟市场,并且竞争十分激烈。全球SIEM市场价值从2016年的20亿美元上升到了2017年的21.8亿美元(注:这些数字相较于2018年的预测有所下降,以最新的为准)。
SIEM市场的首要驱动力是威胁管理,其次是安全监控与合规管理。发展相对欠成熟的亚太和拉美地区的SIEM增长率远远高于北美和欧洲市场。由此可见,网络安全事件所带来的风险日趋严重,同时CISO对此的重视程度也在不断加强。
二、网络安全事件分类
在数字经济转型时代,信息作为当今时代的“矿产”和“石油”,对国家、社会和企业的快速发展具有重要的推动作用,在信息为人们生活创造了巨大便利的同时,网络安全在基础设施中造成的影响也日益严重。
随着信息化的不断推进,政府和企业对网络安全的防范意识在日益增强。在应对攻击时,市场上传统的网络安全产品相互独立,难以形成高效的闭环,整体的网络安全防护体系难以抵抗攻击者的多手段攻击。在海量的安全事件中,如何根据一定的流程进行响应,对各种安全事件进行挖掘和关联,发现真正的安全事故,是安全事件管理需要解决的问题。
网络安全事件是指多个事件及事件间的关系,安全事件之间的关联与网络管理中的关联相似,关联的目的在于综合单点的安全设备所发来的事件,以减少误报和漏报,帮助快速确认事故根源。网络安全事件由单个或一系列意外或有害的安全事态组成,可能危害业务运行和威胁网络安全。
对于网络安全事件的管理,国内外的研究一直在持续进行,制约安全事件管理产品发展的主要因素是事件关联关键技术的突破和安全事件格式的标准统一。网络安全事件管理应该是实时和动态的管理模型,人工智能在安全管理体系中应该有所体现。
使用结构严谨、规划周全的方式制定企业整体网络安全战略对网络安全事件管理非常重要。
安全事件管理的目标有以下几个:
- (1)对安全事件的整合和关联。以统一的格式对安全事件进行关联,系统可以发现与某种特定攻击相关的关键事件,或者了解其所产生的实际影响。
- (2)安全风险的动态呈现。以动态的方式对网络安全事件的风险进行量化,并进行实时呈现。
- (3)安全事件的及时响应。当出现安全事件时,需要按照一定的工作流程对安全事件进行跟进和实时响应。
网络安全事件可以分为以下几类。
- (1)有害程序事件:是指插入信息系统的一段程序,会对信息系统的完整性、保密性和可用性产生危害,甚至影响营销系统的正常运转。计算机病毒、蠕虫事件、混合攻击程序事件等都是有害程序,这类事件具有故意编写、传播有害程序的特点。
- (2)网络攻击事件:是指通过网络技术、利用系统漏洞和协议对信息系统实施攻击,对信息系统造成危害或造成系统异常的安全事件,如DDoS攻击、后门攻击、漏洞攻击等。
- (3)信息破坏事件:是指通过网络等其他手段,对系统中的信息进行篡改或窃取、泄露等的安全事件,主要包括信息篡改、信息泄露等。
- (4)信息内容安全事件:是指利用网络信息发布、传播危害国家安全、社会安全和公共利益安全的事件。
- (5)设备实施故障:是指因信息系统本身的故障或人为破坏信息系统设备而导致的网络安全事件。
- (6)灾害性事件:是指外界环境对系统造成物理破坏而导致的网络安全事件。
不属于以上划分范围的网络安全事件则属于其他网络安全事件。
三、网络安全事件管理框架
参照《信息技术 安全技术 信息安全事件管理指南》,网络安全事件管理包括
- 前期规划和准备
- 使用
- 评审
- 改进
四个过程。
在网络安全事件管理的前期规划和准备阶段,组织需要完成的工作内容有以下几点:
- (1)结合公司现状制定符合组织情况的网络安全事件管理文件,获得公司高层及项目相关的人员的支持与承诺。
- (2)在深入了解公司的信息化状态后,针对公司现状制定网络安全事件管理方案,以支撑网络安全事件的管理策略。确保在组织的信息化工作中有详细的包含发现、报告、评估和响应网络安全事件的表单及各项支持工具,以及用作网络安全事件严重程度衡量尺度的细节。
- (3)对公司的每个信息系统、服务和网络相关的网络安全与风险管理制定或更新策略,策略的调整需要根据网络安全事件管理的方案来进行实时调整。
- (4)形成网络安全事件管理的组织结构,成立网络安全事件的应急响应小组,确定小组成员的管理角色和对应的岗位职责。
- (5)定期将网络安全事件管理方案带来的成效以内部邮件或其他方式向组织成员进行通告,定期对网络安全事件管理小组的成员进行培训。
- (6)对整个网络安全事件管理方案进行测试,确保流程可以形成完整的闭环。
在网络安全事件的管理过程中,需要执行以下任务:
- (1)针对网络安全事件的状态,通过安全产品或人工进行发现和报告。
- (2)对搜集到的安全事件进行分类,确认安全事件的类别。
- (3)针对发生的网络安全事件进行及时响应,快速了解网络安全事件的状态,当安全事件可控时需要采取及时的响应行动;在安全事件不可控时,需要及时申请资源上的协助。在整个过程中,需要将网络安全事件的状态及时通告小组成员,必要时进行法律取证分析,记录整个过程中的相关行动和决策,对安全事件进行闭环处理。
当网络安全事件完整结束时,需要对整个事件进行复盘评审,评审内容包含以下几点:
- (1)按照要求进一步完成法律取证分析。
- (2)对整个网络安全事件进行总结分析。
- (3)根据总结的经验教训,进一步改进安全防护措施。
- (4)从网络安全事件管理整体方案的角度,根据经验进一步进行完善。
信息环境的变化非常迅速,网络安全管理中的重要因素也需要不断地根据网络安全事件的数据、事件响应和一段时间内的发展趋势进行改进,主要包含以下内容:
- (1)对组织现有的网络安全风险分析和管理评审结果进行调整修订。
- (2)对组织网络安全事件管理的方案和文档进行修改完善。
- (3)对网络安全防护措施的实施进行改进。
0x1:动态安全管理模型
网络安全是一个动态的过程,对应的管理也应该是相对动态的。
针对网络安全的动态变化,国内外提出的网络安全管理模型有很多,如以时间为基础的PDR和PPDR模型、PDCA模型等。
动态风险模型是基于闭环控制的动态网络安全管理模型,在此基础上形成了如下图所示的PPDR动态模型,这个模型对安全体系的研究有指导性的参考价值,PPDR把时间概念引入进来,对于如何实现系统安全、评价安全的状态,提供了相关的操作描述。在整体的网络安全策略的统一控制下,以网络安全防护手段和防护工具为基础,评估系统的安全状态,把系统调整到最安全状态范围内。
0x2:网络安全事件管理流程架构
基于PPDR模型可构建动态的网络安全事件管理流程架构,包括被检测的安全设备、安全事件收集和整合、安全事件的关联分析、动态的安全风险评估、安全事件应急响应等,如下图所示。
入侵检测系统、防火墙、防病毒软件等产生的安全事件被安全事件搜集代理搜集,并转发给安全事件关联引擎。
事件搜集代理把原始的事件解析成统一的、能够被关联引擎识别的格式,在转发事件之前,代理先执行过滤规则对搜集到的安全事件进行过滤,只有关联引擎关注的事件才会被送往关联引擎进行关联。
安全事件的关联分析需要对搜集的统一化的事件进行综合分析,这个过程依赖于网络流量信息、安全漏洞和网络攻击发生的特征等,通过动态风险评估产生告警,应急响应流程需要根据企业制定的安全策略流程去执行。
0x3:安全事件的搜集
安全事件的搜集可采取轮询的主动搜集方式和被动接收方式进行。实时采集安全设备的日志信息来获取安全事件是主动搜集方式,以简单网络管理协议(Simple Network ManagementProtocol,SNMP)和Syslog协议来搜集安全事件是被动接收方式。
SNMP协议是国际互联网工程任务组(Internet Engineering Task Force,IETF)定义的一套网络管理协议。通过SNMP协议,管理工作站可以远程管理所有支持该协议的网络设备,包括监视网络状态、进行网络设备配置、接收网络事件告警灯。基于SNMP协议搜集数据信息主要有采用主动轮询的方法主动搜集和采用Trap的方式被动搜集两种方式。
Syslog协议允许一台主机通过IP网络发送事件给事件的接收者(Syslog服务器),Syslog协议发送者和信息接收者间的通信消息内容没有统一的格式,且Syslog的部署方式比较简单。Syslog的消息格式分为PRI、HEADER、MSG三种
0x4:安全事件的统一化
因为安全设备对安全事件描述的格式各不相同,安全设备搜集到的事件经过解析后需要采用统一的格式。国内对于安全事件格式的统一化目前还没有统一的标准,针对入侵检测告警的交互,IETF采用IDMEF格式,这种格式目前还没有被广泛地采用。
四、网络安全事件关联引擎的设计与实现
网络安全事件的关联分析和网络故障管理的管理分析相似,两种事件中的关联目的都是进行实践的自动处理和事故的快速定位。网络管理中的关联方法对于安全事件的关联具有参考价值。
网络故障管理方法有:
- 基于规则的关联方法
- 基于案例的关联方法
- 基于模型的关联方法
- 基于编目的关联方法
入侵检测的告警关联方法有:
- 基于攻击序列的事件关联方法
- 基于攻击前提与后果的时间管理方法
- 基于近似度的关联方法
- 基于统计分析的关联方法
有明确事件发生的前提条件和事后发生的条件是网络故障关联中的必要条件。因为入侵检测关联方法未对攻击行为和被攻击的资产进行关联,在验证攻击存在的可靠性及安全事件对资产的破坏程度时没有综合考虑其他因素,所以在安全事件的关联方法中需要考虑受攻击的主机资产和事件可能产生的破坏。
0x1:基于事件序列的攻击场景的关联
攻击场景是指相互依赖的、具有时间顺序的、当出现攻击行为时产生的安全事件集。
通过规则构建攻击场景,通过关联引擎对攻击场景中规则的匹配来判断真正的攻击事件。
网络管理中的关联操作包括压缩、过滤、抑制、计数、扩大、概括、具体化。
结合网络管理中的关联与基于攻击场景的关联,安全事件搜集代理把搜集到的安全事件进行统一化并发送给关联引擎。关联引擎根据预定的时间窗对安全事件进行基于攻击场景的关联,对关联后的安全事件进行动态的风险评估。关联引擎提供基于规则的推理机,用于匹配攻击场景。关联引擎的规则是嵌套的,即推理机的状态随着条件的变化而变化。随着规则匹配层数的增加,安全事件的可信度增加。构建攻击场景的规则层次可以达到多层。
- 第一层一般为攻击特征,如木马类攻击,这种类型的规则针对入侵检测设备发送来的事件进行制定。特定的攻击活动是指不通过特征检测,而是通过异常检测发现的攻击行为。
- 第二层是特定攻击类型的规则,这一层规则是在第一层规则被匹配后才执行的,用于进一步验证第一层的安全事件的真实性。通常这一层的安全攻击发生的可信度比第一层的可信度更高。
- 第三层规则的制定,用于验证该攻击事件对被攻击主机的风险是否已经达到了预先定义的风险阈值。
0x2:安全事件与脆弱性关联
将安全事件和导致安全事件的脆弱性进行映射就是安全事件与脆弱性关联。
当安全事件所依赖的脆弱性在受攻击的主机系统中不存在时,这种情况就称为误报;当安全事件所依赖的脆弱性在系统中真实存在时,则表明安全事件的可信度上升。
安全事件与脆弱性关联需要以两张数据表进行呈现,
- 一张表存储由漏洞扫描工具定期扫描的网络中主机存在的漏洞
- 一张表存储特定安全设备搜集的安全事件和漏洞设备的漏洞号之间的关系
关联引擎收到安全事件时,可以对安全事件的目的地址进行判断,确认是否存在于两个表链接后的结果集中,以实现对脆弱性和安全事件进行交叉关联的目的
0x3:动态风险评估
为实现安全事件管理动态风险评估的目标,需要对关联后的事件进行风险评估,根据风险值确认安全事件是否为安全事故。
安全事件的严重程度一般和与安全事件相关的资产值、安全事件能造成的威胁、安全事件发生的概率相关。
- 静态的风险是传统风险中所关注的内容
- 组织的风险和该组织所具有的资产与外界对资产的威胁有关
- 网络安全事件的风险需要考虑安全事件的破坏程度、安全组件的可信度和安全事件所涉及的主机资产
所以需要评估的是动态风险。
五、网络安全事件管理的收益
组织建立严谨细致的网络安全管理方案可以给企业的网络安全事件管理带来以下收益。
- 1)提高组织的网络安全保障水平。建立严谨细致的网络安全管理方案,使组织对安全事件具有结构化的发现、报告、评估和响应流程,当出现安全事件时,组织能迅速确认网络安全事件的状态和过程,通过对安全事件的分析可以快速实施安全解决方案,同时对未来可能发生的类似网络安全事件进行预防,以提高整个组织的网络安全保障水平。
- 2)降低安全事件对组织业务的影响。完整的网络安全事件管理方案可以帮助企业降低网络安全事件对组织业务潜在的负面影响级别,包括企业当前的经济损失及长期的声誉损失等。
- 3)加强网络安全事件预防。网络安全事件管理方案可以帮助组织创造预防网络安全事件的环境。对事件相关数据进行分析,有助于掌握事件的模式和发展趋势,从而更加精准地对网络安全事件进行预防,在网络安全事件发生时,以对应的安全解决方案进行及时响应。
- 4)为调查优先级的确定提供依据。当出现网络安全事件时,完整的网络安全事件管理方案可以为网络安全事件调查优先级的确定提供判断依据。组织如果没有明确的调查流程,调查工作只能根据当时的场景进行,难以解决真正的需求,会阻碍调查工作的顺利开展。组织如果指定了清晰的调查流程,可以帮助企业确保数据的搜集和处理符合法律要求。网络安全事件恢复过程中所采取的行动会影响搜集到的数据的完整性。
- 5)有利于预算和资源的管理。完整的网络安全事件管理方案可以帮助组织确认和简化所需要涉及的预算和资源配置。完整的网络安全事件管理包含对时间的管理,这样也方便提供处理不同级别、不同平台上的事件所需要的时间,当处理过程中的时间不足时,可以进行识别。
- 6)有利于识别各类威胁。完整的网络安全事件管理方案可以帮助组织识别、确认各类威胁的类别及相关脆弱性的特征,以便搜集质量更好的数据,同时可以提供已经识别的威胁类型发生的频率数据。网络安全事件对组织业务的影响数据分析、对业务的发展有关键性作用,各种威胁类型发生的频率数据对于威胁评估质量非常有用,脆弱性相关的数据可以帮助提升脆弱性评估质量。
- 7)提高网络安全意识。完整的网络安全事件管理方案可以为企业网络安全意识教育计划提供重要的信息。安全事件小组可以以真实的网络安全事件说明网络安全事件管理的重要性,同时能说明安全解决方案对快速解决问题的重要性。
- 8)为网络安全策略评审提供信息。网络安全事件管理方案提供的数据可以为网络安全策略的有效性评审提供有价值的信息,可以帮助组织内部或其他单个系统、服务或网络策略进行改进。
六、网络安全事件管理的关键事项
适用于组织内通用框架的网络安全事件管理方案才能为公司得出全面有效的安全事件处理结果。网络安全事件管理方案的管理和审核过程需要组织内员工积极参与,以确保安全和结果的可用性等。
组织应该避免在实施网络安全事件管理方案的过程中可能会遇到的问题,让利益相关人员相信组织已经采取了措施来预防事件的发生。为了使网络安全事件管理方案更为完善,需要在整体方案中明确以下事项。
- 1)管理层的支持和承诺。管理层支持网络安全事件的整体解决方案。组织成员需要清楚当出现网络安全事件时应该采取的措施,了解执行后给组织带来的好处。当组织管理层确保承诺支持后,公司员工才会加深对此的认知。同时,管理层也能在事件响应能力的资源和维护上进行支持。
- 2)安全意识的加强。将安全意识传递给组织管理层会更有利于管理者接受安全事件管理方案,如果企业员工不清楚安全事件管理方案可以为其管理带来的收益,企业员工的参与不一定会达到预期的效果。所以在网络安全事件管理方案中,需要将组织成员在网络安全事件管理中取得的收益明确出来,并说明网络安全事态和事件数据库中的事件信息及其输出,从而提高组织成员的安全意识。
- 3)法律法规的重视。在网络安全事件管理方案中需要对与法律法规相关的问题进行阐述。例如,需要提供适当的数据保护个人信息和隐私,管理过程中保留适当的活动记录,采取防护措施以确保合同的责任履行等其他多个方面的问题。
- 4)确保运行效率和质量。通知事件的责任、通知的质量、易于使用的程度、速度和培训是影响网络安全事件管理运行效率和质量的因素,其中有些因素与确保用户了解安全事件管理的价值和积极报告事件相关。安全事件管理人员需要增加适当的意识和培训计划,以便将事件延迟报告的时间降至最低。
- 5)匿名性和保密性。安全事件管理中需要明确组织成员提供的信息可以受到保护,确保在特定条件下报告潜在网络安全事件的人员或相关方的匿名性。同时,安全事件管理方案中会包含敏感信息,但是处理事件的成员可能会使用到这些信息,所以在处理过程中需要确保这些信息是被加密过的,或者访问这些信息的人员需要签订保密协议。同时要规定敏感事件需要控制向外传播。
- 6)可信运行。在特定情况下,面对财务、法律、策略等方面的需求,安全事件管理组应该有效地满足其要求,并发挥组织的决断能力。为使所有的业务得到满足,网络安全事件管理组的功能还应独立审计。同时,事件响应报告和常规的运行管理应该分离,财务运作方面也需要分离。
- 7)系统化分类。网络安全事件管理方案总体结构的通用化连同通用的度量机制和标准的数据库结构一起,可以提供比较结果、改进告警信息和生成信息系统威胁及脆弱性数据的更加准确的视图能力。网络安全事件的管理需要和IT技术安全相互补充,也需要和IT技术安全相互支撑,完善的管理制度、完善的运营制度、预防性和检查性的管理都必不可少。国家持续加大对网络安全事件的监管力度,以提升国家在网络空间中的实力,同时进一步完善相关的法律法规,以增强公民的个人网络安全意识