近年来,随着网络安全攻击规模变大且形式变得日益复杂,针对大规模网络安全问题进行预警,结合局部安全事件分析网络安全状况的需求正逐步显现出来。针对这些需求,绿盟科技整合多个服务子系统,推出下一代网络安全预警决策体系,在实现网络安全预警的同时,更能够持续监控网络安全问题,进而为应对未知威胁,提供防御手段及决策依据。
作者:绿盟科技 xiaoyanjun
一. 前言
2015年7月1日,第十二届全国人民代表大会常务委员会第十五次会议通过新的国家安全法。国家主席习近平签署第29号主席令予以公布。构建集政治安全、国土安全、军事安全、经济安全、文化安全、社会安全、科技安全、信息安全、生态安全、资源安全、核安全等于一体的国家安全体系。以法律形式确立总体国家安全观。共7章84条,自2015年7月1日起施行。清华大学法学院院长王振民评论说,这部法第一次明确了‘网络空间主权’这一概念,这可以理解为国家主权在网络空间的体现、延伸和反映。从这个法的内容可以看出,国家针对建设网络与信息安全保障体系,加强安全情报收集处置,建立风险预警,以及基础设施供应链管理准入方面针对网络安全做了强制要求和增强。 而迅速的,网络安全法草案7月6日起在中国人大网上全文公布,并向社会公开征求意见。草案强调,国家坚持网络安全与信息化发展并重,遵循积极利用、科学发展、依法管理、确保安全的方针,推进网络基础设施建设,鼓励网络技术创新和应用,建立健全网络安全保障体系,提高网络安全保护能力。 随着网络安全上升到国家安全高度,如何建设一个有效的网络安全保障预警体系成为难点,因此,本文介绍了美国建设的网络与信息安全保障体系和最新的进展,以及绿盟在这些年进行态势感知,大数据挖掘,早期预警方面的研究工作。并成功为很多运营商,金融企业建立预警平台,希望这些能为企事业单位决策者提供参考。
二. 美国的防护预警体系
2.1 美国安全建设思路
从发达国家安全建设现状来看,基本思路为“集中防护,分散修补”。因为威胁的监控防护需要较高水平的专业人士来处理和较大的安全投入,所以“集中防护”。对于脆弱性(漏洞)修补管理来说,需要各个单位及时进行修补,因此“分散修补”。 2008年美国总统的布什发布了一项重大信息安全政策-第 54 号国家安全总统令( NSPD54)/第 23 号国土安全总统令( HSPD23),其核心是对重大信息安全行动做出的总体部署“全面的国家网络安全行动(CNCI)”,该计划在奥巴马政府届内正式部署并进入全面实施。其中,焦点领域1第一项就是,“通过可信互联网连接把联邦的企业级规模的网络作为一个单一的网络组织进行管理”;这个就是爱因斯坦计划和可信互联网连接(TIC)计划。TIC计划是国家统一建的。而在焦点领域2中,美国开展持续监控(ISCM)计划。ISCM计划则由各个单位自行建设,为了避免各个单位自行建设成本问题,美国国土安全部开发了将持续诊断与缓解(CDM)作为工具和服务交付计划(The tools and services delivered through the Continuous Diagnostics and Mitigation program)来支持ISCM持续监控计划(CDM also known as Continuous Monitoring)。通过提供标准化的工具和云服务(CMaaS)的方式,来远程提供服务,解决各个单位自行开发的成本过高,不统一的问题。
图 2.1 2008年“全面的国家网络安全行动(CNCI)”
图 2.2 美国公布的目标和现状
图 2.3 美国公布2013年现状
2.1.2 爱因斯坦计划
美国为了面对网络安全攻击,在2004年启动了爱因斯坦计划,目标是在政府网络出口部署入侵检测、netflow检测、入侵防护系统来提供攻击的早期预警和攻击防护,但是鉴于爱因斯坦项目存在一些内容监控(邮件,上网行为)的监控技术手段,被民众指责,随后逐渐淡化宣称。爱因斯坦项目经过十余年的发展,技术逐渐成熟,总体而言,该项目共有3个发展阶段。
-• 爱因斯坦1 基于流的统计分析技术,2004年启动,通过分析网络的流量信息查找可能的恶意活动,采用政府网络出口路由器的netflow技术实现。 -• 爱因斯坦2 基于特征的入侵检测系统。可以通过分析网络的流量信息来查找以发现非授权的访问和恶意的内容,这是通过对进出美国政府网络的流量自动进行全封包检查来实现的。当联邦网络流量中出现恶意或可能有害的活动时,爱因斯坦2 能够向US-CERT提供实时报警,并对导出数据提供关联和可视化能力。 -• 爱因斯坦3 基于威胁的决策系统。采用商业技术和专门为政府开发的技术来对进出行政机关网络的流量实施实时的全封包检查,目标是发现恶意的网络流量并对其进行特征化表示,以增强网络安全分析、态势感知和安全响应能力。由于采用的入侵防御系统支持动态防御,它能在网络威胁造成损害之前对其自动检测并正确响应。爱因斯坦 3还为国土安全部提供了对检测到的网络入侵企图进行自动报警的能力。国土安全部将采纳国家安全局通过外国情报工作以及国防部在信息保障工作中发现的威胁特征,以支持国土安全部的联邦系统安全。
总体而言,爱因斯坦项目就是DFI(深度流检测)+DPI(深度包)+决策支撑系统,实际上,针对威胁态势感知预警,是目前比较完整的技术架构。除此外,爱因斯坦项目每年约有300左右的维护团体,进行深入的数据挖掘工作。而决策支撑系统是分析师们的成果。
2.1.3 可信互联网连接 (TIC)计划
2007年,在爱因斯坦计划基础上提出可信互联网连接 (TIC)计划,目标是将联邦政府8000个网络出口归并为50个左右。出口整合后,便于进行安全设备统一部署,监控和防护也能做到一体化。随着进展的深入,随着进展的深入,美国发现政府基层的办事处(类似街道办的级别)很难覆盖完全,又提出了可管理的可信互联网协议服务“Managed Trusted Internet Protocol Services” (MTIPS)。基层的办事处也可以通过运营商提供NBIP-VPN,连接到MTIPS网络中,统一上互联网,从而完成TIC目标(见下图2.2)。按照美国政府计划,在2013年整合95%的出口(见下图2.3)。
图 2.4 可管理的可信互联网协议服务 (MTIPS)
图 2.5 美国公布的TIC计划2013年目标
2.1.4 持续监控计划
信息安全持续监控(ISCM)是定义为对信息安全、脆弱性和威胁保持持续的评估,来支撑组织的风险管理决策。2010年的《联邦信息安全管理法》(Federal Information Security Management Act),又称 FISMA 2.0,要求各机构的信息安全方案中必须包含信息系统的持续监测。美国行政管理和预算局 (OMB) 已经规定了最后的期限,各机构的首席信息官必须在 2012 财年结束之前实施可持续监测网络安全的软件。这个计划目标是将一个静态安全控制评估和风险测定过程变换成一个可以提供必要的、实时的且反映相关安全状态信息的动态系统。也就是说美国联邦政府希望从以前只能通过手动审核的联邦信息系统法规遵从性评估管理过程提升到系统化的接近实时的自动化过程,动态管理企业的风险。要求各机构持续监测其整个 IT 环境,修复有漏洞且不合规的项目,并根据联邦数据调用要求出具报告。联邦政府为这个项目,从2013年起,5年内拨款了60亿美元来采购相关技术工具和服务。2011年11月15开始,各个政府机构必须通过一个基于Web网关平台(网络辖域:Cyber Scope),按月提交报告。报告的好坏,成为政府绩效评定的重要标准,并决定官员升迁。
2.1.5 将持续诊断与缓解(CDM)作为工具和服务交付计划
为了保障持续监控ISCM计划的顺利进行,美国国土安全部开发了“将持续诊断与缓解(CDM)作为工具和服务交付计划(The tools and services delivered through the Continuous Diagnostics and Mitigation program),由通用动力公司等的17家服务商,签订了为期五年的由政府制定的一系列“持续监控”协议。这些公司将为美国国土安全部、联邦、州和地方政府提供持续监控工具,持续监控可以加强政府网络空间安全、评估和打击实时网络空间威胁,并将持续监控作为一种服务手段(云服务),提供给需要的政府单位的网络空间监控和安全风险缓解服务。同时为需要额外服务的机构提供数据整合和提供用户个性化服务。简单而言,就是将持续监控需要的产品和服务标准化,通过服务提供给政府单位。CDM计划力图保护联邦以及政务单位的IT网络免受网络安全威胁,通过提供持续监控引擎工具,诊断、缓解工具和持续监控服务Continuous Monitoring as a Service (CMaaS) 来增强政府网络安全态势。
2.2 美国安全建设的启示
研究美国的安全建设可以看出,美国是通过TIC可信互联网连接来进行网络整合,便于统一进行高质量的安全监控和防护。同时,针对资产、漏洞、配置做有体系的持续监控。便于及时发现各个网站的漏洞,提升网络安全态势感知,提升安全防护能力。可以将部分安全服务形成云服务,进行进一步标准化,便于提升服务质量,降低安全成本。
三. 绿盟下一代安全决策预警体系
绿盟科技作为国内最大的专业安全厂家之一,拥有最全面的产品线,在DFI检测(绿盟NTA异常流量监控产品),DPI检测方面(绿盟IPS/IDS入侵检测/保护产品),脆弱性检测方面(绿盟RSAS远程安全评估产品,BVS配置核查产品,WSM网站监控产品)均为国内第一或者唯一的产品,而依托绿盟大数据安全分析系统,绿盟形成全部自主可控的预警监测平台,并进行云监护服务。集成多年经验,绿盟形成了下一代安全决策预警技术体系。
3.1 态势感知的相关研究
随着近年来在态势感知方面研究的努力,在总体视图我们已经完成被动威胁感知的相关研究,目前已经完成了DDoS攻击态势感知,网络入侵态势感知,僵木蠕态势感知,溯源追踪等系统,正在进行整合。
3.1.1 DDoS态势感知
DDoS威胁一般称为网络氢弹,是目前国与国之间,竞争对手之间的主要攻击方式,成本低,见效大。DDoS攻击越来越频繁,尤其针对发达地区和重点业务,某省电信每天发生的DDoS攻击次数在100次左右。其次,DDoS攻击流量越来越大,从检测结果来看20%以上攻击在大于20G。2014年4月,监测到的某电信的单一IP攻击流量达到300G。因此,如何检测预警大型的DDOS攻击。是我们研究重点。在这个方面,绿盟进行了超过十年的研究积累,绿盟新版本的NTA网络异常流量检测,可以全目标检测(传统DFI设备为了提升性能,需要设定检测目标)。而且拥有自学习功能,可以降低80%以上误报,经过处理后,800G出口的骨干网,形成告警完全是可以处置的。
3.1.2 网络入侵态势感知
网络入侵态势感知是国际上公认的难点,核心是海量日志的挖掘和决策支持系统的开发,发达国家这方面的研究比较领先。绿盟科技经过多年的研究,提出“基于对抗的智能态势感知预警模型”,形成“入侵威胁感知引擎NSTSA”和“APT攻击推理引擎(NS)”,通过决策推理状态机制来实现了这方面的研究,取得较好的成果。有望解决海量日志挖掘的工作。尤其是决策推理系统的相关研究,吸收国外著名的kill chain击杀链和attack tree攻击树的相关研究,形成绿盟独有的推理决策系统,借助BSA大数据分析系统的分布式数据库,可以实现决策预警,真正的为企业服务。经过实际测试,在1G的典型环境中,1天IDS日志在20万条,经过“入侵威胁感知引擎NSTSA”后,形成500个左右的事件,经过“APT攻击推理引擎(NS)”后,仅仅形成10-20个攻击成功的事件。
3.1.3 僵木蠕态势感知
在办公网等内网环境中,僵木蠕的威胁是首要威胁,僵木蠕引起的arp,DDOS断网等问题成为主要问题,更不用说由僵木蠕导致的apt泄密等事件了。在这个场景下,我们尝试进行APT的深入挖掘。
3.1.4 APT攻击态势监控
已知攻击检测,我们可以用入侵检测设备,防病毒,但是针对目前越来越严重的APT攻击,我们需要更先进的技术手段和方法。绿盟威胁分析系统TAC,可有效检测通过网页、电子邮件或其他的在线文件共享方式进入网络的已知和未知的恶意软件,发现利用0day漏洞的APT攻击行为,保护客户网络免遭0day等攻击造成的各种风险,如敏感信息泄露、基础设施破坏等。因此,在整个防护体系中,未知的0day攻击,APT态势感知,我们依靠TAC来完成。
3.1.5 溯源追踪
如何在海量网络中追踪溯源DDOS攻击,网络入侵攻击是业界难点和重点,我们采用DFI模式开发网络溯源系统,针对APT攻击,DDOS攻击,僵木蠕进行有效的追踪溯源。可以保证未知的攻击的危害得到有效的溯源,如,DDOS攻击可以溯源到链路,物理接口。APT溯源可以溯源到外泄了多少G的数据。僵木蠕溯源可以溯源CC主机的影响范围。未来基于信誉情报,可以挖掘更多信息,重要的是,提供了在海量数据下的溯源难题。可以在低成本下,还原任何IP的流量。
3.1.6 脆弱性态势
作为国内领先的安全厂家,绿盟科技远程安全评估产品,web应用扫描产品和系统配置核查产品,长期以来市场占有率第一,其中远程安全评估产品连续4年占有率第一。作为检测的首选工具,依托于这些产品,可以形成,脆弱性态势感知,上级单位可以一眼看出下级单位的风险分布情况。依托此技术可以形成企业版的ISCM持续监控系统。为企业风险管理中脆弱性管理保驾护航。
3.1.7 网站态势监控
网站作为企业对外的窗口,面临的安全威胁也最多,因此,有必要部署专门的网站监控设备形成网站安全态势监控,监控网站漏洞,平稳度,挂马,篡改,敏感内容,并有效进行运维管理,从而言避免因为网站出现问题导致公众问题。 
3.2 安全大数据的相关研究
面对海量的安全日志,传统数据库下进行态势感知,数据挖掘变得极端困难。绿盟近年来投资进行了安全大数据方面的研究,形成绿盟安全大数据分析系统(BSA),采用多种最新的技术,如MQ、Hadoop分布式数据库、搜索型数据库、内存数据库等最新的技术,使得海量数据的挖掘,高速处理成为可能。而在未来,我们将在此基础上形成企业级的私有云服务。 
四. 结语
在云计算,互联网+的大趋势下,国家、企业面临的问题也越来越相似,动辄10G,100G的出口,使得我们在态势感知、威胁发现、早期预警变得非常困难。利用新技术,新架构使得传统的技术无法实现成为可能,在未来,我们将继续在这个领域中进行研究,使得态势感知的研究真正为企业决策提供参考,真正为国家安全、企业安全保驾护航。