摘 要:网络安全的本质是对抗,针对当前高水平和快速变化的安全威胁,为适应央企在网络安全新形势下的应用以及业务体系快速叠加演进所带来的安全风险和威胁,须改变传统被动防护的安全管理和技术体系,使之更加智能、快速、弹性地应对突发的安全威胁,并在威胁处置过程中不断进行防御策略的优化、网络空间环境的塑造,将网络和信息安全防护工作从被动响应变为主动防御,能够对日趋复杂的网络攻击进行更为精准的发现与打击,形成统一闭环的动态安全防御体系。
内容目录:
1 网络安全背景及现状分析
1.1 背景描述
1.2 现状分析
2 央企动态防御体系设计
3 央企动态防御体系构成
3.1 建立对抗式威胁评估能力
3.2 建立安全防御效能验证能力
3.3 建立安全防御基准检测能力
3.4 建立欺骗式防御能力
3.5 建立安全态势分析处置能力
3.6 建立情报驱动分析能力
3.7 建立威胁猎杀能力
4 央企动态防护技术组成
4.1 基于关键安全动作的防御效能验证分析技术
4.2 多维、多层的人机结合分析技术
4.3 面向海量异构的威胁情报知识图谱构建技术
4.4 对抗式威胁评估分析技术
4.5 网络空间欺骗式环境塑造技术
5 结 语
我国央企信息化经过数十年的发展,在国家基础民生领域占有举足轻重的地位。随着经济的高速发展,结合国有企业各行业趋势和现状,构建数字驱动的智慧化生产运营能力,打造央企业务的智慧化、自动化成为大势所趋。
伴随着央企的业务发展,大数据、人工智能、物联网、移动互联网等新技术得到广泛应用,提高了智能化、自动化的发展程度,但同时也为网络安全工作带来了新的挑战。
首先,物联网和移动互联网的广泛应用模糊了网络边界,打破了信息系统原有的网络防护体系,攻击者可以更加方便接触到终端设备,甚至可以利用终端设备对信息系统进行攻击;其次,大数据和人工智能技术的应用使得数据高度集中,带来了更高的数据安全风险;最后,伴随着技术的发展,网络攻击也变得更加迅速和隐蔽,高级威胁、网络勒索、数据窃取及内部攻击等多种网络攻击行为,给当前的网络安全体系和安全运营带来了更大的挑战。
网络安全是没有硝烟的高科技数字战场,为适应新形势下业务系统快速迭代所带来的安全风险和威胁,央企应提高主动防御能力,适时地对网络安全体系进行维护和加固,使防御技术能够适应攻击技术的快速变化。因此,需要网络安全能力体系从传统的被动防护发展为具有精确识别有价值资产、快速调整和塑造网络环境、准确检测安全威胁、积极主动进行防御、及时响应和处置的能力,能够更加智能、快速、弹性地应对突发的安全威胁,并在威胁处置过程中不断进行防御策略的优化、网络空间环境的塑造,形成统一、闭环并且能够自我优化叠加演进的网络与信息安全动态防御体系。
1 网络安全背景及现状分析
1.1 背景描述
1.1.1 整体形势对网络安全防护提出新挑战
随着信息化对整个经济社会发展的融合、驱动作用日益明显,其所带来的风险挑战也不断增大,网络空间威胁和风险日益增多。网络空间安全已成为关系国家安全、社会稳定和广大人民群众切身利益的重要问题。当前,全球大部分国家步入网络空间规划的建设阶段,全球网络空间治理领域出现变革契机,同时网络空间威胁的规模不断扩大与发展,网络空间安全的问题愈加艰巨复杂。
欧美等发达国家围绕网络安全治理工作出台了多项法律法规进行保障,组成了覆盖网络与信息安全各个方面的管理和技术体系,伴随着各国网络安全意识的不断增强,提升网络安全监测预警、防御阻断、处置响应和追踪溯源的能力成为紧迫需求,各国均投入研究以促进网络安全技术发展。
1.1.2 央企发展对网络安全防护提出新目标
各央企采用多种新技术为行业用户及公众提供了优质的服务,同时信息系统的建设严格遵照国家网络安全相关法律法规,基本实现了以网络安全等级保护为基础的安全防护,以关键业务为核心的整体防控,以信息共享为基础的协同联控能力,并且通过严格的安全管理方法和制度来保证安全稳定运行,明确安全管理工作中的相关责任。但面对不断变化的网络威胁,尚需优化和提升现有网络安全防护能力,改进威胁对抗手段,规范网络安全管理制度,以应对日趋复杂的网络攻击行为。
1.2 现状分析
1.2.1 国外网络安全现状分析
美国是第一个制定网络空间安全战略的国家,在高安全等级网络防护技术与标准化措施建设、研究方面已基本形成比较完备的网络安全框架体系结构,以支撑其国家层面的信息安全保密建设工作。随着美国网络安全观念的不断深化,高度重视关键基础设施网络安全和核心供应链安全,提升国家抵御网络空间新威胁的能力已成为美国网络安全的重点战略,同时,提升网络安全监测预警、防御阻断、处置响应和追踪溯源的能力已成为紧迫需求。
1.2.2 国内网络安全现状分析
我国网络安全水平尚处于发展阶段,近年来,《 中 华 人 民 共 和 国 网 络 安 全 法》、GB/T22239—2019《信息安全技术 网络安全等级保护基本要求》《关键信息基础设施安全保护条例》《中华人民共和国数据安全法》《中华人民共和国密码法》、GB/T 39786—2021《信息系统密码应用基本要求》等法律法规和规章制度不断出台和完善,已成为网络安全能力建设的基本依据。当前,以鱼叉攻击、水坑攻击为代表的攻击手段使得信息泄密事件频发,为信息系统带来巨大威胁。但由于国内大部分组织和个人对网络安全风险认知有限,尚未形成完善的技术手段和管理体系,导致我国网络信息系统安全机制的完备性、安全防护强度和动态适应能力无法满足强对抗环境和高安全的运行需求 。如今,信息化和数字化已成为政务、各企事业单位业务发展的重要手段,尤其对于具有大量重要信息化系统的央企来说,一个安全、稳定的网络空间是业务运行和规模增长的重要基础,而网络空间安全也正在成为构建良好健康的网络环境的关键一步。因此,我国亟须加强网络安全管理,强化技术防护手段,以应对当今严峻的网络安全形势,保障我国的网络安全。
2 央企动态防御体系设计
央企的重要业务系统面临着更高的网络攻击风险,面对当前不断发展的攻击手段,亟须采用更为先进的安全设计理念,对央企现有传统安全防护体系进行升级优化,使系统安全防护能力、安全运营能力、安全技术叠加演进能力、威胁分析响应和处置能力等方面均得到相应提升,增强现有业务系统在应对网络攻击和高级持续性威胁(Advanced Persistent Threat,APT)时的容错性,真正实现从识别、防护、检测、响应到分析方面的动态安全防护能力,并具备不断叠加演进的闭环安全防御和运营能力。央企动态防御体系架构如图 1 所示。
央企动态防御体系由基础环境层、能力建设层、安全防护层和运营管控层 4 个层面组成。
(1)基础环境层:通过基础环境层识别具有保护价值的软硬件资产,优化网络架构,使之具有纵深防御能力,并且塑造欺骗式网络空间环境,进一步增强系统受到攻击后的容错性能。
(2)能力建设层:基于防御框架的安全动作和技术措施,从识别、检测、防护、响应、分析 5 个方面建设系统整体安全防御能力,优化并更新安全防护产品,并使之能够应对对抗性战术、技术以及公共知识库(Adversarial Tactics,Techniques, and Common Knowledge,ATT&CK)威胁框架的各个攻击技术点。
(3)安全防护层:将防御框架的技术措施和安全策略按照业务场景进行配置,并通过对抗式威胁评估、自动防御效能验证、安全防御基准检测等能力不断验证安全防御性能,不断完善和叠加演进系统整体防御能力。
(4)运营管控层:通过完善原有态势感知平台的分析和响应处置能力,增加以威胁情报驱动的安全分析能力,并结合人工分析研判以及威胁猎杀的能力,从而形成闭环完善的安全运营体系。
央企动态防御体系以网络空间安全威胁防护为基础,以闭环的安全运营能力为核心,面向央企业务场景及流程,有效增强主动防御能力,提升防御措施叠加演进能力,扩大网络空间欺骗环境塑造能力,配合威胁情报驱动分析,基于威胁分析的安全理念对可能受到攻击的资产进行全面梳理,并从攻击源、攻击手段、攻击技术、产生影响等多个方面进行详细分析,通过安全防御动作和技术措施对威胁点进行覆盖,从而全面分析央企当前所需的全部安全防护能力,并将能力组装到系统中。同时,采用ATT&CK 威胁框架的攻击技术对系统防御效能进行测试验证,不断优化央企安全防御能力,实现多维度、多层次的威胁对抗能力,形成全面的动态防御体系以及可闭环的运营体系,并构建面向日常安全运营工作的观察、判断、决策、执行(Observe, Orient, Decide, Act,OODA)循环和面向安全治理、策略调整的计划、执行、检查、处理(Plan, Do, Check, Act,PDCA)循环的双安全驱动引擎。闭环运营体系架构如图 2 所示。
通过 PDCA 循环过程,持续不断地对现有业务系统和网络环境进行威胁评估、防御效能验证,不断发现问题、叠加演进安全措施、提升防御能力、刻画高容错性网络空间环境,持续驱动安全能力建设得到不断提升;通过 OODA循环过程,及时发现安全威胁,进行深度分析和响应处置,并通过威胁情报驱动的方式对威胁进行有效猎杀和溯源,持续修复相关漏洞,驱动技术措施的更新调整和运营能力的提升。
3 央企动态防御体系构成
3.1 建立对抗式威胁评估能力
央企信息系统种类多、数据量大,包括各类业务、办公、经营、管理等应用和数据。在面对不断变化的网络安全风险时,需要采用模拟对抗式的评估方式,利用安全威胁分析作为央企重要信息系统和关键信息基础设施防护的基本防范依据,梳理业务资产、评估资产价值,构建场景化威胁响应,分析威胁影响的资产并结合资产价值对风险后果进行预判,以威胁对抗为核心梳理威胁点,对网络攻击影响进行模拟分析,增强网络安全规划、安全能力叠加演进以及安全推演的能力。通过推演工具验证防御措施的有效性,从而发现在高对抗场景下系统的风险点以及当前安全防御措施的不足或亟待改进优化的地方。
3.2 建立安全防御效能验证能力
目前,各央企基于网络安全等级保护的要求建立自身安全防护体系。在面对不断变化的网络威胁时,需要对现有安全技术能力进行持续的有效性验证,以保证现有安全手段能够有效覆盖绝大部分网络威胁。基于 ATT&CK 威胁框架各项攻击技术点,扫描并收集主机信息、匹配漏洞、建立会话、收集信息、提权、跳板等,模仿攻击技术实现对央企内部网络中各项资产安全防御能力的验证。针对系统主机、网络设备、物联网设备等进行防御效能验证,验证过程完全匹配 ATT&CK 威胁框架攻击技术点,模拟真实攻击过程,对网络目标进行漏洞攻击、缺陷攻击及网络钓鱼攻击等。
3.3 建立安全防御基准检测能力
针对业务系统的防护需求和基础安全能力,各央企积极建设自身安全基线,用于指导后续安全配置或变更。在面对业务应用的发展以及网络威胁的变化时,需要通过总结各类关键安全防御动作和技术措施,形成防御能力体系,基于此体系形成防御效能验证功能,用于检验央企各业务系统防御能力覆盖情况,从识别、防护、检测、响应和分析等方面对安全动作与技术措施进行逐一枚举和验证,支撑安全能力检验、提升防御能力,实现通过体系化安全能力建设达成检测、干扰、阻断和呈现攻击者杀伤链的目标。并且,通过增强欺骗式网络环境构造环节,加大防御纵深、构筑欺骗环境,大大提高系统整体容错能力。
3.4 建立欺骗式防御能力
目前,各央企基于网络安全等级保护的要求建设了分区分域的网络架构,形成了纵深防御能力。但面对不断变化的网络攻击时,仍无法避免网络入侵、远程控制等安全威胁,因此应提升自身网络空间的塑造能力。通过建设蜜罐等欺骗式防御系统,增强央企网络空间环境的可塑性,形成主动的威胁捕获能力,提供包括网络设备仿真、Web 仿真、数据库仿真、操作系统仿真、系统服务仿真、应用服务仿真等持续丰富的仿真能力,能够生成威胁事件、攻击链等溯源信息。采用高低交互结合的方式进行仿真,高交互仿真资产为真实的服务,擅长深度伪装、捕获深度攻击;低交互仿真资产为仿真的服务,擅长广度伪装,覆盖多种类的服务类型且性能要求较低,高低交互结合不仅覆盖了仿真深度,也覆盖了广度,从而实现仿真程度最大化。
3.5 建立安全态势分析处置能力
安全管理中心是各央企网络安全能力建设中必不可少的一环。目前,安全管理中心基本具备安全监测、实时告警的能力,但面对重要业务系统安全告警时,需要及时发现并完善央企当前安全态势感知的深度分析和响应处置功能,利用安全威胁深度分析、漏洞挖掘、响应处置等能力,实现从威胁检测、分析、处置、追溯,到优化调整的闭环处置流程。通过对网络流量的捕获、还原与分析,实现对文件的深度分析和鉴定,全方位地展示网络中恶意事件和恶意代码的传播态势。通过对安全威胁进行综合分析,在原有安全态势全面感知和及时预警的基础上,实现对威胁的深度分析、精准溯源和快速处置,降低系统安全风险。
3.5.1 深度分析
通过对多渠道汇聚的数据信息进行分析、挖掘、关联,确定网络攻击的种类、数量,追踪攻击来源、目标等。同时,针对分析结果进行功能性的统计,并以清晰、直观、形象的视图与表格进行展示。
3.5.2 精准溯源
通过数据监测与分析,实时掌握系统监测能力覆盖范围内的安全态势,基于监测数据,同时配合威胁情报驱动威胁分析,针对攻击者的攻击工具、攻击资源、攻击手段进行全面揭示,形成精准追踪溯源的能力。
3.5.3 快速处置
通过安全监测、关联分析、情报驱动等过程对安全趋势、威胁、攻击等情况进行深度分析、研判,对威胁进行预警并生成处置方案,创建相应的处置任务,结合自动化分析和人工研判,进行威胁快速处置。
3.6 建立情报驱动分析能力
央企作为我国重要经济支柱,每日都会面对大量来自境内外的、具有针对性的网络探测、攻击等情况,为有效应对央企内部重要业务系统在高对抗场景下的威胁,通过向量级的威胁情报能够对威胁进行有效理解和预测。通过深入研究威胁信息,实现多源数据综合研究,从而达到对风险的有效认识。同时,通过具体的威胁分析、攻击利用方法以及攻击者数据帮助研究机构预防攻击行为。通过威胁信息驱动研究可以有效支持安全事件深度研究,针对攻击者的威胁手段、攻击来源、攻击方式做出充分阐述,实现跟踪溯源的功能,并在很大程度上减少搜集情报和威胁分析时间,在关键系统和数据受损之前最大限度地缩短事件响应时间并中断杀伤链。在战略层面全面了解攻击对手,为及时做出决策和采取行动提供重要的支撑。
3.7 建立威胁猎杀能力
构建一个完善的安全防护体系需要将技术能力与运营能力相结合。各央企经过多年的网络安全能力发展,目前已建成稳定的安全防护技术能力,并具备经验丰富的维护人员,通过自动化检测配合人工分析研判的方式,能够对央企重要业务系统面临的安全威胁进行深度分析和有效猎杀。在处置威胁过程中,配合人工进行取证分析、事件定性、深度关联分析、溯源分析等工作,补充和修正自动威胁分析的结果。人工分析研判流程:首先,对网络安全设备日志、系统日志、Web 日志、用户日志等原始数据进行收集、处理及分析研究,对异常流量进行分析,通过逆向工程对样本代码语义及功能展开分析等;其次,将各个威胁事件之间进行有效关联,通过过滤、聚合、去伪存真,发掘事件之间的真实联系;最后,综合分析结果给出相应的威胁处置方案。同时,以数据为采集和处理的对象,通过自动化威胁猎杀工具实现知识与情报驱动的自动化关联分析,从而对系统中的未知威胁、高级威胁等进行清除。
4 央企动态防护技术组成
4.1 基于关键安全动作的防御效能验证分析技术
在央企的防护能力建设中,安全动作是针对网络攻击的防护和处置的关键操作,对安全动作有效性的验证直接影响央企的安全防御能力。将央企所需的关键安全动作作为防御能力定义的核心,从识别、防护、检测、响应和分析等方面对安全动作与技术措施进行枚举,聚合关键安全动作形成矩阵化描述,支撑安全能力检验,提升防御能力,通过体系化安全能力的建设实现检测、干扰、阻断和呈现网络攻击的目标。
4.2 多维、多层的人机结合分析技术
目前,各央企已建设了大量应用系统,面对每日安全监测中出现的大量告警,需围绕业务分析层、日志分析层、情报分析层 3 个层面,对央企业务系统的安全告警进行威胁、脆弱性、异常、安全状态等多方面的分析,并结合多种关联要素将具备相关性的安全告警进行归并。同时,结合自动化分析和人工分析研判手段,对分析、处置状态进行持续监测,持续更新事件库,生成分析结果并完善自动分析检测能力,形成完整的闭环,减少误报,有效定位威胁,提升网络安全事件分析效率。
首先,基于威胁告警信息上报的结果日志,自动抽取攻击来源、攻击载荷、受害者、目标载荷,采用关联分析技术,将威胁告警日志关联对应的威胁情报信息,将分散的告警信息形成基于 ATT&CK 的攻击图谱分析。其次,基于自动分析的结果,由系统提供流程式、向导式的人机交互分析方法,通过自动化信标关联分析、人工数据探索排查分析、人工聚合分析三步,补充和修正自动威胁分析的结果,实现威胁告警事件链的明晰化,从而对威胁告警实施定性判定。最后,基于自动化分析、人工分析研判以及持续追踪监测的结果进行综合的威胁评估,通过对威胁事件所形成的攻击技术、攻击阶段、资产失陷状态、业务影响情况、攻击者 / 攻击组织等多维度进行综合评估,完善对威胁的理解。
4.3 面向海量异构的威胁情报知识图谱构建技术
央企具有业务种类多、重要程度高等特点,并且易遭受 APT 攻击。在面对此类安全风险时,应利用多元化、智能化、体系化的分析方法,对恶意代码进行深度的多维基因(特征)向量提取、多源异构数据融合、关联同源分析等操作,构建央企海量异构的威胁大数据、多源的威胁情报数据、碎片化的威胁知识图谱,实现对特定场景下全量威胁数据的融合分析与深度挖掘,达到全面揭示威胁事件的攻击工具、攻击技术、攻击资源、攻击组织的目的。该技术为安全事件监测预警与人工分析研判提供高价值样本数据,为追踪溯源提供更加全面的数据支撑。
利用分布式图数据库和基因关联特性,基于攻击基因大数据自动化构建网络威胁知识图谱。基于攻击者、安全事件、攻击载荷、攻击路径等元素,通过分布式图数据库由底向上的方式,基于知识抽取技术、知识融合技术、知识加工技术,将标定的攻击基因和威胁情报基础数据形成知识库,并根据数据关联性自动化构建网络威胁知识图谱。
4.4 对抗式威胁评估分析技术
央企具有大量信息技术(Information Technology,IT)软硬件资产,对 IT 资产的防护是安全能力建设的核心,通过威胁分析的理念梳理资产威胁点,评估央企当前系统风险。利用信息收集、网络扫描和漏洞利用等技术,封装威胁评估工具,通过自动化手段实现对抗式威胁评估。该技术通过多方面进行资产信息收集,确立指标体系,将各个孤立的点联系起来,将安全威胁复杂性、攻击技术等进行量化分析,进而生成威胁评估模型及评估方案,动态执行后输出分析结果。
4.5 网络空间欺骗式环境塑造技术
基于央企业务系统的重要性,在建立纵深防御的网络架构的同时,应提升网络空间的塑造能力,采用网络空间欺骗式环境塑造技术,通过加密与无连接方式传输数据,隐藏采集信道。该技术能够对攻击进行分类与聚合,还原整个攻击流程。在仿真的同时保证隔离性,限制内部的通信和操作,防止欺骗式仿真环境被攻陷后作为跳板机进行进一步的传染与攻击。
5 结 语
通过对央企当前网络安全的特性分析,旨在优化网络安全能力,建设全面的动态防御和运营体系。以安全威胁为基础,通过威胁分析理念,结合威胁框架的验证能力以及 PDCA 和OODA 双循环驱动的运营模式,实现对抗式威胁评估能力、防御效能验证能力、防御基准检测能力、情报驱动的分析和响应能力、威胁猎杀能力,实现叠加演进的安全技术体系与闭环的安全运营体系的有机结合,支撑央企在网络安全新形势下的动态安全防御需求。