[[349245]]

目前復雜嚴峻的國際形勢迫切需要我國發(fā)展自主可控的基礎軟硬件產品及其生態(tài)產業(yè)鏈，日趨完善的產業(yè)鏈推動了網絡國產化替代工程[1]的大范圍推廣。長期以來，外部網絡攻擊以及內部威脅等網絡安全事件持續(xù)發(fā)生，針對國產產品生態(tài)構建的網絡，如何充分整合自主可控產業(yè)鏈的優(yōu)勢，提升網絡安全運維與事件處置的能力，是網絡安全運維人員關注的熱點問題。

本文針對基于國產產品構建的網絡，采用先進的自動化網絡運維技術手段，構建網絡安全運維[2]與事件自動化處置機制[3]，通過構建生態(tài)內產品的多源數(shù)據融合管理能力、國產基礎軟硬件以及國產網絡安全產品間相互協(xié)同的能力，實現(xiàn)網絡全景一體化安全數(shù)據融合管理[4]，并完成網絡內安全事件快速高效的自動化響應、處置。

1.網絡安全運維與事件自動化處置介紹

目前國產生態(tài)產業(yè)鏈中網絡安全產品日趨完善，已出現(xiàn)了多種防護產品以及設備監(jiān)控與運維管理系統(tǒng)，為了解網絡安全狀態(tài)提供數(shù)據基礎。

網絡安全運維[5][6]與事件處置旨在通過利用多源數(shù)據及時發(fā)現(xiàn)網絡中存在的各種安全威脅和脆弱性，形成網絡安全事件，通過對網絡安全事件的綜合分析，采取有效措施阻止網絡安全事件的進一步擴散，防止網絡內基礎設施破壞和數(shù)據篡改、泄露，保障網絡內業(yè)務系統(tǒng)安全、穩(wěn)定和高效地運行。

網絡安全運維中的事件自動化處置[7]通過事先定義好的流程化框架對系統(tǒng)進行監(jiān)控，一旦達到觸發(fā)條件，可以按照預先設置流程，通過多個設備或者服務間的事件協(xié)同，實現(xiàn)事件的自動化處置。

網絡安全運維與事件自動化處置技術經歷了2個重要的階段：安全信息及事件管理(security information and event management, SIEM)和安全編排、自動化及響應平臺(security orchestration, automation and response, SOAR)。

安全信息及事件管理[8]SIEM最初由日志管理技術發(fā)展而來，將安全事件管理與安全信息管理技術結合到一起對數(shù)據進行收集、存儲、分析、調查和報告來實現(xiàn)事件響應和取證。2017年Gartner提出了安全編排、自動化與事件響應[9]，通過綜合數(shù)據收集、案例管理、標準化、工作流和分析相結合，定義事件響應流程，最終實現(xiàn)自動化事件響應活動。

為了保證基于國產產品生態(tài)鏈所構建網絡的健康、穩(wěn)定運行，需要深入了解基于國產產品生態(tài)所搭建網絡運維面臨的新機遇和挑戰(zhàn)，充分利用產品生態(tài)鏈的自主可控的優(yōu)勢，采用先進的網絡安全運維與事件自動化處置技術，設置面向不同風險的細粒度處置機制，打破各個安全產品以及系統(tǒng)各自為政、相互之間不關聯(lián)不聯(lián)動的局面，形成全面系統(tǒng)的一體化運維管理體系。

2.針對國產產品生態(tài)的網絡安全事件高效管理運維關鍵技術

2.1 技術框架

網絡安全運維與事件自動化處置平臺從網絡安全產品獲取日志和告警事件數(shù)據信息，在核心平臺上自動進行綜合分析整理，并最終達到安全事件的自動化處置響應的目的。網絡安全運維與事件自動化處置框架如圖1所示。

圖1 網絡安全運維與事件自動化處置框架

2.2 基于SOAR的網絡安全事件管理與處置引擎

網絡安全事件管理與處置引擎依據專用運維事件庫，對接收的運維事件進行分類與存儲，最后由SOAR引擎實現(xiàn)事件研判與自動化響應[10]，圖2展示了網絡安全事件管理與處置引擎的流程架構圖。網絡安全運維人員可以結合國產產品生態(tài)構建的網絡特點，通過持續(xù)感知網絡的合規(guī)性風險以及其他隱蔽的內部威脅和網絡攻擊行為，構建專用運維事件庫。

系統(tǒng)通過業(yè)務流程建模與標注[11](business process model and notation, BPMN)技術進行靈活、可配置的劇本編排[12]，將人員、流程、設備結合成統(tǒng)一的整體，根據運維場景定制有效的劇本，完成事件研判與自動化響應，當有劇本涉及的告警事件發(fā)生時，網絡安全事件管理與處置引擎便可以按照劇本進行(半)自動化響應，實現(xiàn)人員、流程、設備無縫融合。網絡安全事件管理與處置引擎可以與某些專用設備的主動防御體系進行有機結合，形成貫穿安全事件觸發(fā)、研判分析、處置、恢復全生命周期的自動化防御機制。

圖2 網絡安全事件管理與處置引擎流程架構圖

2.3 網絡安全事件分類

結合網絡安全防護的不同需求，網絡安全運維人員需要構建網絡內安全事件類型庫。當新的告警日志觸發(fā)后，網絡安全事件管理與處置引擎將根據告警事件的多維度屬性，實現(xiàn)(半)自動化的網絡安全事件類型判定。網絡安全事件通常分為內部和外部事件，圖3展示了一個典型的網絡安全事件分類場景圖。

圖3 網絡安全事件分類場景圖

2.4 國產產品生態(tài)的多源數(shù)據融合管理

國產生態(tài)產業(yè)鏈已包含監(jiān)控與審計類產品、防病毒系統(tǒng)、身份鑒別系統(tǒng)、運維系統(tǒng)等多種網絡安全產品;為滿足某些高安全等級網絡較高的安全防護能力要求，針對信息輸入輸出管控、可信軟件安裝卸載管控等，也出現(xiàn)了配套的網絡安全防護產品。上述產品為網絡安全運維人員提供了大量的告警日志的同時，也為運維人員帶來了數(shù)據碎片化、誤報率高的難題。因此，需要針對不同告警事件類型，梳理與其相關聯(lián)的網絡安全產品，通過生態(tài)內多種網絡安全產品接口間的交互，按照預定義格式要求，對多源告警日志進行數(shù)據融合，生成包含人員、設備、應用系統(tǒng)/軟件、信息資源、網絡攻擊手段、漏洞等全方位的安全事件描述信息。

2.5 安全事件的趨勢分析與處置結果推薦

攻擊鏈經常被用于對事件成因分析以及事件發(fā)展趨勢的評估，攻擊鏈[13]是對高級可持續(xù)威脅攻擊(Advanced Persistent Threat, APT) 的攻擊過程中各個攻擊階段以及網絡攻擊生命周期的刻畫。結合外部情報、事件鏈當中的相關事件以及這些事件的組合關系，將事件鏈中的事件映射成攻擊鏈當中的不同的階段[14]，形成可解釋的安全事件鏈，圖4為事件鏈向攻擊鏈映射的一個例子。

網絡運維人員結合當前攻擊行為所處的階段和攻擊未來的發(fā)展趨勢，充分利用人員、設備、應用系統(tǒng)/軟件、信息資源、網絡攻擊手段、漏洞等全方位信息，對歷史同類安全事件進行綜合分析，為網絡安全事件管理與處理引擎自動推薦合理的處置方案，指導引擎完成事件的快速處置響應[15]。

圖4 事件鏈-攻擊鏈信息映射圖

3.總 結

本文基于先進的自動化網絡運維技術手段，對網絡安全運維與事件自動化處置機制關鍵技術進行探討，通過構建針對國產產品生態(tài)的網絡安全事件管理與自動化引擎，融合網絡安全事件分類、多源數(shù)據融合管理以及安全事件趨勢分析與處置結果推薦的能力，通過國產產品生態(tài)內產品間的協(xié)同，解決長期以來運維所面臨的數(shù)據碎片化、事件處置效率低下等問題，實現(xiàn)網絡內安全事件的綜合分析以及快速高效的自動化響應、處置，提升國產產品生態(tài)的網絡安全運維能力。

注：該文章發(fā)表于《信息安全研究》，第10期

參考文獻

[1]胡志強?；谧灾骺煽丶夹g的國產化替代綜述[J]。網絡空間安全, 2018, 9(8): 1-1

[2]劉學。新形勢下的網絡信息安全運維[J]。網絡安全技術與應用 2020(1):7-8

[3]王理想, 符睿。網絡自動化運維管理技術研究[J]。數(shù)字化用戶, 2019, 25(10):24,26

[4]孫立雷。網絡安全管理平臺中的數(shù)據融合技術[J]。電子技術與軟件工程, 2018, 133(11):225-225

[5]Miloslavskaya N G 。Security operations centers for information security incident management[C]//Proc of IEEE Int Conf on Future Internet of Things & Cloud。Piscataway, NJ: IEEE, 2016：131-136

[6]Cichonski P, Millar T, Grance T, et al。Computer security incident handling guide[OL]。[2020-09-09]。https://nvlpubs。nist。gov/nistpubs/SpecialPublications/NIST。SP。800-61r2。pdf

[7]Carver M, DiValentin L W, Lefebvre M L, et al。Method and system for automated incident response: US, 9807120[P]。2017-10-31

[8]Bhatt S, Manadhata P K, Zomlot L。The operational role of security information and event management systems[J]。IEEE Security & Privacy, 2014, 12(5): 35-41

[9]Gartner says detection and response is top security priority for organizations in 2017[OL]。[2020-05-15]。https://www。gartner。com/en/newsroom/press-releases/2017-03-14-gartner-says-detection-and-response-is-top-security-priority-for-organizations-in-2017

[10]Ohmori M。On Automation and Orchestration of an Initial Computer Security Incident Response by Introducing Centralized Incident Tracking System[J]。Journal of Information Processing，2019,27:564-73

[11]Kocbek M, Jošt G, Heričko M, et al。Business process model and notation: The current state of affairs[J]。Computer Science and Information Systems, 2015, 12(2): 509-539

[12]Luo S, Salem M B。Orchestration of software-defined security services[C]//Proc of 2016 IEEE Int Conf on Communications Workshops (ICC)。Piscataway, NJ: IEEE, 2016: 436-441

[13]Martin。The cyber kill chain[OL]。[2020-04-22]。 https://www。lockheedmartin。com/en-us/capabilities/cyber/cyber-kill-chain。html

[14]Milajerdi S M, Gjomemo R, Eshete B, et al。Holmes: real-time apt detection through correlation of suspicious information flows[C]//Proc of 2019 IEEE Symp on Security and Privacy (SP)。Piscataway, NJ: IEEE, 2019: 1137-1152

[15]Chen Zhong, Yen J, Peng Liu, et al。An integrated computer-aided cognitive task analysis method for tracing cyber-attack analysis processes[C]//Proc of the 2015 Sympand Bootcamp on the Science of Security (HotSoS '15)。New York：ACM, 2015:1–11

【本文為51CTO專欄作者“中國保密協(xié)會科學技術分會”原創(chuàng)稿件，轉載請聯(lián)系原作者】

戳這里，看該作者更多好文