前 言

在網(wǎng)絡(luò)安全分析中，常見的場(chǎng)景是網(wǎng)絡(luò)分析師人工對(duì)網(wǎng)絡(luò)中的數(shù)據(jù)進(jìn)行分析和決策，這種分析方式在當(dāng)下大數(shù)據(jù)時(shí)代是十分局限的。通過(guò)一些自動(dòng)化設(shè)計(jì)，如一致、快速和重復(fù)執(zhí)行條件邏輯等，可以使得整個(gè)網(wǎng)絡(luò)安全分析過(guò)程自動(dòng)化。因此實(shí)現(xiàn)過(guò)程自動(dòng)化對(duì)于實(shí)現(xiàn)分類和優(yōu)先級(jí)任務(wù)來(lái)說(shuō)是必不可少的，使分析師可以快速關(guān)注與最大風(fēng)險(xiǎn)相關(guān)的信息和事件。

本文將主要介紹分析自動(dòng)化的相關(guān)背景，自動(dòng)化策略的基本方法及策略中的相關(guān)信息源，使讀者可以對(duì)分析過(guò)程自動(dòng)化策略有相應(yīng)的了解。本文內(nèi)容主要參考了文獻(xiàn)[1]。

背 景

隨著我國(guó)計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)應(yīng)用領(lǐng)域的不斷擴(kuò)大，網(wǎng)絡(luò)安全問題也逐漸成為人們關(guān)注的重要話題。計(jì)算機(jī)網(wǎng)絡(luò)中包含了數(shù)以萬(wàn)計(jì)的接入點(diǎn)和成千上萬(wàn)的服務(wù)器、電纜連接，具有復(fù)雜和龐大的特點(diǎn)。一旦受到攻擊，企業(yè)、個(gè)人或國(guó)家遭受的損失將會(huì)是非常大的。除此之外，通過(guò)互聯(lián)網(wǎng)來(lái)進(jìn)行網(wǎng)絡(luò)信息竊取和毀壞也逐漸成為現(xiàn)在網(wǎng)絡(luò)安全所必須要面臨的問題。因此我們必須要采取有針對(duì)性的安全措施來(lái)對(duì)這些網(wǎng)絡(luò)安全問題進(jìn)行防范和消滅，只有這樣互聯(lián)網(wǎng)的風(fēng)險(xiǎn)才能夠得到降低，用戶的數(shù)據(jù)安全才能夠得到更好的保障。但傳統(tǒng)的網(wǎng)絡(luò)監(jiān)管，僅僅依靠網(wǎng)絡(luò)安全分析師人工對(duì)網(wǎng)絡(luò)中存在的安全威脅進(jìn)行分析和處理已經(jīng)逐漸不能滿足當(dāng)下大數(shù)據(jù)時(shí)代下的網(wǎng)絡(luò)安全分析要求。

自動(dòng)化技術(shù)在我國(guó)交通運(yùn)輸、工業(yè)、科學(xué)研究等領(lǐng)域都得到了非常廣泛的應(yīng)用，不僅能夠提高勞動(dòng)生產(chǎn)率，還能夠?qū)⑷藦暮?jiǎn)單重復(fù)的工作中解放出來(lái)。因此將自動(dòng)化技術(shù)應(yīng)用于網(wǎng)絡(luò)安全分析中顯得十分必要，通過(guò)使用自動(dòng)化技術(shù)，從而加強(qiáng)對(duì)網(wǎng)絡(luò)安全的監(jiān)管力度。

在網(wǎng)絡(luò)安全防護(hù)中，需要保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)的完整性和保密性。當(dāng)有病毒或者非法入侵現(xiàn)象發(fā)生的時(shí)候，要保證相關(guān)資料和數(shù)據(jù)安全。此外，一個(gè)科學(xué)的網(wǎng)絡(luò)安全管理策略對(duì)于加強(qiáng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)的管理力度是十分有必要的，要包含攻擊和入侵的檢測(cè)和防御、網(wǎng)絡(luò)安全相關(guān)的規(guī)章制度、病毒防范、防火墻配置、網(wǎng)絡(luò)安全評(píng)估、網(wǎng)絡(luò)監(jiān)測(cè)設(shè)置等一系列內(nèi)容，以應(yīng)對(duì)隨時(shí)可能面臨的各種各樣的安全問題，比如：系統(tǒng)攻擊、物理威脅等。

當(dāng)以上防護(hù)措施全部由安全分析師人工來(lái)進(jìn)行分析處理時(shí)，其中一些無(wú)用的數(shù)據(jù)或者是一些簡(jiǎn)單的處理決策會(huì)大大浪費(fèi)分析師的時(shí)間和精力，使之不能快速關(guān)注與最大風(fēng)險(xiǎn)相關(guān)的信息和事件。因此設(shè)計(jì)一個(gè)分析過(guò)程自動(dòng)化策略來(lái)解決以上問題，使安全分析師擺脫那些無(wú)用和簡(jiǎn)單的任務(wù)處理，提高分析效率是十分有必要的。

基本方法

自動(dòng)化策略的思路是確定安全操作，進(jìn)而允許其根據(jù)本地風(fēng)險(xiǎn)策略以自動(dòng)的方式處理警報(bào)、事件或外部提供的網(wǎng)絡(luò)威脅情報(bào)。關(guān)鍵在于要盡可能多、盡可能快地確定不需要分析師調(diào)查的事件。因此這里有三個(gè)需要考慮的問題：

• 什么樣的信息是必要的?
• 在什么條件下定義并批準(zhǔn)完全自動(dòng)化的響應(yīng)?
• 依據(jù)什么特點(diǎn)來(lái)確定事件的優(yōu)先級(jí)?

通過(guò)以上考慮從而使自動(dòng)化策略丟棄不相關(guān)事件信息，執(zhí)行自動(dòng)化的響應(yīng)操作，為分析人員提供自動(dòng)化的建議以進(jìn)行審查。

什么樣的信息是必要的。在安全策略中我們首先要十分明確什么樣的信息是必要的，從而根據(jù)這些信息來(lái)確定某個(gè)事件是不相關(guān)的或假陽(yáng)性的，通過(guò)自動(dòng)化決策邏輯自動(dòng)丟棄或不顯示相應(yīng)的事件信息，為自動(dòng)化分析人員節(jié)省時(shí)間和資源。例如，在由安全供應(yīng)商實(shí)現(xiàn)的阻止列表中顯示的折衷指示符(IOC)，或來(lái)自入侵檢測(cè)系統(tǒng)(IDS)的警告，這些信息都說(shuō)明存在試圖對(duì)Linux資產(chǎn)進(jìn)行的攻擊，也即為我們所說(shuō)的必要信息。

在什么條件下定義并批準(zhǔn)完全自動(dòng)化的響應(yīng)。對(duì)于許多活動(dòng)的威脅，響應(yīng)的操作值直接與檢測(cè)和響應(yīng)的速度有關(guān)。能夠處理更多警報(bào)和事件，并快速識(shí)別何時(shí)滿足授權(quán)自動(dòng)響應(yīng)的條件，是防范這些威脅的關(guān)鍵步驟。例如，當(dāng)一個(gè)可靠的源將其標(biāo)記為惡意軟件時(shí)，阻塞來(lái)自IDS警報(bào)的IOCs，該警報(bào)符合威脅標(biāo)準(zhǔn)，滿足定義和批準(zhǔn)完全自動(dòng)化響應(yīng)的條件。自動(dòng)化可以有效地為分析師審查或批準(zhǔn)構(gòu)建豐富的憑據(jù)。憑據(jù)可以包含預(yù)先批準(zhǔn)的建議、用于提出建議的信息，甚至還可以包含執(zhí)行響應(yīng)的代碼。以前的經(jīng)驗(yàn)表明，盡管不是完全自動(dòng)化的，但使用自動(dòng)化來(lái)推薦分析師審查和批準(zhǔn)的響應(yīng)會(huì)提高操作效率。隨著時(shí)間的推移，可以確定完全自動(dòng)化響應(yīng)的條件。

依據(jù)什么特點(diǎn)來(lái)確定事件的優(yōu)先級(jí)。使用與簽名關(guān)聯(lián)的嚴(yán)重性評(píng)級(jí)或資產(chǎn)的臨界級(jí)別來(lái)確定事件的優(yōu)先級(jí)。當(dāng)前的大多數(shù)傳感器配置、過(guò)濾器以及操作分析，都旨在識(shí)別高優(yōu)先級(jí)警報(bào)或事件。將流程自動(dòng)化，使其在最后而不是一開始就實(shí)現(xiàn)此邏輯，使設(shè)備能夠處理更多的警報(bào)和事件，并將分析人員的注意力集中在調(diào)查和降低最高風(fēng)險(xiǎn)項(xiàng)上。

主要的，權(quán)威的和確證的信息源

通常，信息的來(lái)源決定響應(yīng)是否被授權(quán)完全自動(dòng)化，或者需要分析師的批準(zhǔn)。用于做出響應(yīng)決策的許多條件、特征或?qū)傩圆⒉皇菑膯我豢煽康膩?lái)源獲得的。確定主要信息源是非常有價(jià)值的，這些信息源始終具有對(duì)某一類型的所有對(duì)象可用的相同信息，即使該信息并不總是精確到所需的水平。通常情況下，分析人員已經(jīng)知道在環(huán)境中可以使用哪些其他信息(例如，確證信息)來(lái)確定這個(gè)信息源在什么時(shí)候?qū)σ粋€(gè)特定的響應(yīng)決策來(lái)說(shuō)是足夠準(zhǔn)確的。

大多數(shù)組織已經(jīng)確定了作出響應(yīng)決策所需的權(quán)威信息源，但沒有考慮何時(shí)使用主要信息源更合適或更合理。權(quán)威信息源很少包含對(duì)所有對(duì)象的及時(shí)洞察，因?yàn)樽龀龈鼫?zhǔn)確的判斷需要額外的資源。等到相應(yīng)的信息源可以獲得對(duì)特定對(duì)象的洞察時(shí)，可能會(huì)延遲響應(yīng)的時(shí)效性，影響有效性。因此需要考慮哪些反應(yīng)決定可以依靠主要的和確證的信息源，而不是總是使用有限的或不一致的權(quán)威信息源。

對(duì)于給定的屬性，這些類型的源的一個(gè)例子是使用軟件管理服務(wù)器作為主要源，端點(diǎn)代理作為確證源，以及經(jīng)過(guò)認(rèn)證的漏洞掃描器的輸出，作為識(shí)別易受特定漏洞攻擊的資產(chǎn)的權(quán)威來(lái)源。

某些軟件應(yīng)用程序版本或補(bǔ)丁可能明顯與某些漏洞相關(guān)聯(lián)，從而使軟件管理服務(wù)器信息更適合某些決策(例如，運(yùn)行紅帽操作系統(tǒng)的設(shè)備不容易受到針對(duì)Windows服務(wù)器的攻擊)。有時(shí)，關(guān)于安裝了特定應(yīng)用程序的設(shè)備上是否存在易受攻擊的庫(kù)的詳細(xì)信息可以從端點(diǎn)管理服務(wù)器獲得。有時(shí)，確定資產(chǎn)是否易受攻擊的唯一方法是通過(guò)認(rèn)證掃描。

考慮主要的、權(quán)威的和確證的信息源可以讓設(shè)備更有效地自動(dòng)化分類和優(yōu)先級(jí)決策，使之與本地策略保持一致。

小 結(jié)

實(shí)現(xiàn)自動(dòng)化是每一個(gè)希望解決現(xiàn)代網(wǎng)絡(luò)攻擊速度和規(guī)模的設(shè)備的關(guān)鍵組成部分。這就是為什么大多數(shù)組織都向安全操作的自動(dòng)化投資。在開發(fā)自動(dòng)化工作流時(shí)，重要的是要知道，人工流程是為分析人員優(yōu)化的。重新設(shè)計(jì)流程，利用自動(dòng)化來(lái)執(zhí)行分類和優(yōu)先級(jí)劃分，允許計(jì)算機(jī)自動(dòng)處理更多的警報(bào)/事件，減少分析師參與。本文中的基本方法期望可以幫助組織開發(fā)和部署更有效的自動(dòng)化操作。這種方法很容易擴(kuò)展，以支持在檢測(cè)和響應(yīng)過(guò)程中包含更高級(jí)的分析。

參考文獻(xiàn)

[1]《Enabling Automation in Security Operations - Strategy for Efficient Process Automation》