下载掌阅APP,畅读海量书库
立即打开
经过了为期两年的翻译和审校工作,由网络空间安全专家黄晟同志协同安天研究院的部分同志翻译的《网络空间安全防御与态势感知》一书即将出版。本书是一系列专题技术文章的合集,同时很负责任地说,也是迄今为止业界在网络空间态势感知领域最为完整和系统的基础理论文献。
本书的主要译者黄晟同志致力于网络安全防御工作十余年,在网络安全规划建设等领域中做了大量有价值和有前瞻性的工作。他长期关注国际上的网空安全态势研究成果和先进理念,并发起了本书的翻译工作。他为本书撰写的“译者序”,以问题为导向,通过五个问答的形式,对本书的内容进行了非常深入的概括,并升华为更加清晰凝练的观点。“译者序”中提出了能力导向的规划与建设体系,区分了被戏称为“地图+炮”形式的态势感知与积极防御的指挥控制态势感知,提出了耦合式态势感知的思路,探讨了态势感知的复杂超系统形态,从而形成了一套具备实践指导意义的观点体系。“译者序”不仅对于深入理解书中内容起到了很好的导读作用,而且还对深入理解全球网空态势感知的研究成果和理念,以及明确做好网空态势感知的方法和要点,起到了非常清晰的价值指向作用,特别是对于进行态势感知相关技术与系统的研发,以及推动威胁对抗情境下的安全体系规划有很大的价值。
我作为一名在网络安全威胁对抗领域学习、工作多年的从业者,在学习本书内容,特别是研读本书“译者序”的过程中,看到了我所在的安天团队过去工作实践的不足之处,故将一些尚不成熟的总结和反思赘述于此。
本书作者之一Mica R.Endsley给出了态势感知的经典定义。态势感知是指“在一定时间和空间内观察环境中的元素,理解这些元素的意义并预测这些元素在不久将来的状态。”我站在网络安全工作者的主观视角来理解,特别是从网络安全产品和工程系统研发者的角度来看,网络安全态势感知是由观察、理解、预测三个层级组成的,支撑网空防御决策和行动的复杂行为活动。这种活动不可能通过单纯人力工作来实现;也不可能不依赖人的交互参与,完全依靠自动化手段来实现;亦不可能借助一个单体系统或工具来完成。正如本书“译者序”中所指出的,“态势感知作为一种综合利用各种已有技术与系统的产品设计模式与运行使用方式,需要以‘多个系统或工具整合+网空防御人员团队’来完成。”
在过去十余年的各种安全规划立项中,有大量的项目冠以“态势感知”的名义出现,这些工程项目和产品间形态差异极大,甚至一些单一的流量监测或扫描检测产品也被称为态势感知平台,几乎是“有一千个人,就有一千个态势感知”
。正因为态势感知的概念有较为广阔的内涵,几乎与网络安全检测、防护、分析、研判、决策、处置等各种能力和动作都发生关联,所以导致网络安全工作者很容易从自己的本位视角去理解态势感知。在网络安全工作中,本位视角是必然存在的。管理和职能部门、应急机构通常从社会应急的视角出发,更偏重对公众关注的事件做出公共预警、全局响应策略并指导互联网层面遏制威胁。部分学界人士为了保证研究问题的收敛,倾向于寻找易于抽象的场景,把安全威胁分析和防护的一些单点或某一层面,转化为某种易于转化的“算法问题”。安全厂商为了保证安全产品的确定性价值和交付边界收敛,通常从应对某种或几种具象威胁的需求出发,进行工程实现,并将这种能力指标化。这种本位视角体现出了领域中不同机构的角色分工定位,我们不能说这些本位视角是错的,但需要考虑其中的经验局限、刻板偏见或利益考量对认知的影响。
态势感知相关工作,无论作为一种状态、一个过程、一种活动还是一个复杂的能力体系,都需要落实到具体目标和场景,而非单纯宏观、全局的整体威胁情况。从网络安全的业界实践来看,以下三种场景中的工作更多涉及态势感知能力建设:
·赋能机构客户建立防御体系(也包括安全厂商自身的安全防护体系建设)。
·赋能监管部门建设监测通报预警能力。
·安全厂商的威胁捕获、威胁分析、客户支撑等工作体系的自我建设完善。
在这三类场景下,针对网空威胁,支撑观察、理解、预测能力,辅助决策和行动的一系列综合系统,往往都被称为态势感知平台,但这些场景也有着显著的差异。
本书“译者序”中设问解答了一个关键问题:“态势感知应当面向策略调整还是战术响应?”其中明确指出:“态势感知还应当面向在宏观层面之下但又高于微观细节的‘中观层面’。”结合当前需求和已有实践来看,目前有两类态势感知平台建设需求:一类是网络安全主管和职能部门,为了掌控宏观态势和推动指导安全策略优化调整而需要的监测型态势感知平台;另一类是重要信息系统和关键信息基础设施的管理者,针对复杂多变的敌情,为了实现更高效的决策支撑响应行动而需要的战术型态势感知平台。
如“译者序”中指出的:“进一步从与高水平威胁对抗的角度来看,由于网空攻击发生速度极快,对高水平威胁行为体长期潜伏后某一次快速发生的突然进攻做到事前或事中阻断可能非常困难。因此,需要结合在中长时间周期中对抗威胁进攻行动所积累的经验知识,根据所监测到的突发事件信息,采用网空态势感知发现潜伏的高级威胁并确定其影响节点范围,指挥对所暴露威胁展开猎杀清除等响应行动,并通过向积极防御体系中的具有实时监控响应能力的设备或系统下发威胁对抗策略,实现对越来越多的‘已知’攻击行动展开实时阻断。”基于这些要求,满足“战术型”态势感知需求远比满足“监测型”态势感知更为困难和复杂。
综合本书各章节内容,参考本书“译者序”,以及《网络安全纵深防御思考》等文献中的观点和研究成果,结合安天在过去十八年中的威胁对抗工作实践,可以看到,做好网络安全态势感知工作应基于以下四点变化。
本书“译者序”将网络空间发展划分为“办公自动化辅助手工操作”“信息化与网络化大规模建设与发展”“高度依赖网络信息技术的网络空间时代”三个历史阶段,并指出,“在高度依赖网络信息技术的网络空间时代,保障网络和信息系统可靠运行的安全防御工作已经变得不可或缺”,“网络空间的安全防护应当立足于更加积极的合规驱动工作模式,并进一步针对关键信息基础设施等重要领域实现主动有效的全方位体系化防护工作模式”。
在信息网络空间安全发展的前期阶段,陆续产生了诸如病毒传播、DDoS攻击、Web入侵、垃圾邮件泛滥等单点威胁。在一段时间内,人们看到的威胁影响后果是这些单点威胁对个人桌面使用、互联网效率和上网体验的影响。针对单点威胁的特点,总结其规律,进行单点应对,是当时的主要工作模式,如恶意代码查杀、DDoS攻击缓解、Web防护、垃圾邮件识别与拦截等。通过“兵来将挡,水来土掩”的方式,单点积极应对,对遏制和处置单点威胁是有较好效果的。这些工作依然是网络安全检测防御工作中的基本工作,也是必须落实的工作。
在高度依赖网络信息技术的网络空间时代,网络威胁的后果已经不是对公共互联网效率和上网体验的影响,而是对关键信息基础设施和重要信息系统的控制、干扰、窃取、破坏等。这种攻击以大国博弈和地缘安全竞合为背景,由高级网空行为体发动,是高成本支撑下的体系化攻击。过去几年曝光的“方程式”“海莲花(APT-TOCS)”“白象”“绿斑”等攻击组织,都是此类高级威胁行为体的代表。
NSA下属的TAO攻击组织攻击中东最大的SWIFT服务机构事件,是典型的体系化攻击。我们借助该事件复盘,分析一下此类攻击的特点。
攻击分别从来自于哈萨克斯坦、德国、中国台湾以及日本的四个攻击跳板发起,首先通过未公开的漏洞利用工具,取得了架设在网络边界上的4台Juniper VPN防火墙的控制权,并在其上安装了Rootkit;然后攻陷内层的企业级防火墙,包括1台Cisco ASA防火墙和1台Juniper防火墙,也在其上安装了Rootkit;之后,攻击者针对内网节点,使用漏洞攻击平台FuzzBunch进行横向移动,并使用5个未公开的漏洞利用工具获得服务器权限,其中包括4个“永恒”系列漏洞和1个“爆炸之罐”漏洞,在攻陷的系统上安装模块化的DanderSpritz木马,先后取得了2台管理服务器和9台业务服务器的控制权;最后通过2个SQL脚本实现了与Oracle服务器的交互操作,获取了相关的账户名、密码信息与交易记录。
上述攻击经过长期的谋划,按照“管理、准备、交互、存在、影响、持续”的作业框架流程,采用先进的攻击武器进行组合攻击,是典型的APT(高级持续性威胁)攻击,甚至可以称为A 2 PT(高级的高级持续性威胁)攻击。而支撑这种攻击武器组合的攻击装备库,还只是高级网空威胁行为体能力的一部分,其自身还有一整套工程体系支撑信号情报获取、网络地形测绘、目标定位、打击目标规划、情报分析、打击决策等。类似“星风”“湍流”这样的情报平台或攻击框架,都是此类工程体系的代表。
前美国陆军参谋长Maren Leed在《Offensive Cyber Capabilities at the Operational Level》一文中指出:网络武器“非常适合作战的所有阶段,包括环境塑造、高烈度对抗以及重建”,“它们可以在多个时间点发起攻击,包括针对早期开发过程和使用决策等”。
对于重要信息系统、关键信息基础设施的防御者来说,必须正视的问题是:
·高级网空威胁行为体有突破目标的坚定意志、充足的资源和充分的成本承担能力,并以此为基础,进行体系化的作业。
·防御者所使用的所有产品和环节同样是攻击方可以获得并测试的。任何单点环节均可能失陷或失效,包括网络安全环节本身。
·信息系统规划、实施、运维的全生命周期,都是攻击者的攻击时点。
·供应链和外部信息环境都是攻击者可能攻击的入手点。
·攻击者所使用的攻击装备有较大可能是“未知”的,这种未知是指其在局部和全局条件下,对于防御方以及防御方的维护支撑力量(如网络安全厂商)来说,是一个尚未获取或至少不能辨识的威胁。
对于APT,甚至A 2 PT,我们不能简单地用传统的单点威胁视角来看待,而要将其视为复杂的“敌情”,以展开敌情想定。敌情需要建立在对大量对手的能力和行动进行深入分析的基础上,形成基础的和针对性的想定。
在2017年的一次研讨会议中,安天第一次提出了“有效的敌情想定是做好网络安全防御工作的前提”的观点。提出“敌已在内、敌将在内”是最基础的敌情想定,并从外部信息环境、信息交换、供应链、人员社会关系等角度,提出了建立敌情想定的若干原则。上述观点,特别是“敌已在内、敌将在内”的提法,引起了一定的争议。在进一步的文献检索中,在号称“NSA之盾”的IAD的《Understanding the Co-Evolution of Cyber Defenses And Attacks to Achieve Enhanced Cybersecurity》一文中,我们看到了其提出的网空防御五条规则:
1.敌方终将进入我方内网。
2.网络防御者不能改变规则1。
3.敌方已经进入我方内网。
4.攻击将会持续进行。
5.情况会越来越糟。
在网络安全防御上体系完善、能力系统、投入巨大的美方,都认为“敌方终将进入我方内网”,那么我们自己在网络安全防御工作中,就更没有理由认为仅靠物理隔离等简单的措施和制度,就可以御敌于城门之外了。
对于关键基础设施和重要信息系统,围绕“敌已在内”和“敌将在内”,建立极限化的敌情想定是展开工作的基础前提。敌情想定不是抽象的,更不是静止的,而是具体的、动态的。需要针对不同机构的重要信息系统和关键基础设施的特点展开深入分析,因不同场景的目标价值、防护水平和投入、管理情况、人员认知和能力现状等的不同,会呈现出不同的规律特点。针对关键内网、政务内网、政务外网、关键信息基础设施、军工企业、高等院校和科研机构等,都需要针对其面临的具体威胁来源方,来分析敌方攻击意图、可能的攻击目标和入口,同时结合我方当前场景特点和缺陷进行深入系统的分析。
本书“译者序”指出,“网络空间中所存在的网络威胁往往非常复杂,存在着从业余爱好者到高度组织化、高水平实体的多层级网空威胁行为体。”在客观敌情想定中,高级网空威胁行为体是最难以应对的对手,但显然并不是唯一的对手,早期困扰信息系统维护者的业余黑客和黑产组织所发起的攻击也将会一直存在下去。可以从低到高将攻击行为体划分成七个层级:业余黑客、黑产组织、网络犯罪团伙或黑客组织、网络恐怖组织、一般能力国家/地区行为体、高级能力国家/地区行为体、超高能力国家/地区行为体。这些攻击行为体的各种攻击行为交织在一起,一个不能防御低层级攻击的系统,也必然无法防御高层级攻击。在预警、分析、溯源等工作中,高层级攻击的线索,往往淹没在大量的低层级攻击组织所发起的攻击事件中,有更高的对抗难度。
从我们过去所做的安全工作看,容易脱离具体防御场景和承载的信息资产价值来研究威胁应对,而把威胁响应处置看成一个整体的社会行为。脱离了防御目标场景,脱离了目标场景承载的具体信息价值,来进行威胁响应和影响统计,会导致威胁响应工作脱离靶心,会将防御的重点和成本始终投入到那些容易看见,或者容易理解的威胁中去,而脱离了高级网空行为体带来的更隐蔽、更致命的威胁。
本书“译者序”指出,“有必要采用‘人在控制闭环上’的‘半自动化’防御模式,将网空安全分析人员和网空安全防御人员视为获得态势感知所不可或缺的‘系统组成部分’,并且使参与控制闭环的人员能够通过使用自动化工具而提高防御效果。”对照这一模式,值得自我反思的是,安天(包括以反恶意代码为基础能力的安全企业)过去较长时间的运行模式(恶意代码捕获、自动化+人工分析、反病毒引擎升级)是一个厂商的自我能力闭环,而没有有效解决让客户侧的网空防御人员处于控制闭环之上的问题。
从1986年IBM-PC架构下出现恶意代码开始,安全对抗进入到了以代码为主要检测对象和对抗方式的主机系统对抗时代。此时PC基本上是一个孤岛,作为主流操作系统的DOS的组网支持能力有限。程序主要通过磁盘介质拷贝安装,数据通过磁盘介质拷贝交换,恶意代码也在这个过程中慢速传播。由于对物理介质的依赖,其感染范围有比较明显的按照地理位置扩散的特点。DOS时代计算机配置较低,操作系统、应用程序都相对简单,用户可以通过一些明显的现象,如系统效率变慢、系统文件字节变化等,来判断计算机感染了病毒,并找到感染文件。在缺少广域网覆盖的情况下,病毒样本或者由厂商工程师登门提取,或者通过磁盘邮寄的方式传递给厂商。厂商、反病毒爱好者相互间也进行病毒样本的交换,这也可以被视为威胁情报共享的一种雏形。
尽管最终病毒检测和防护的对象是客户终端,但主机防护产品则表现为一种高度标准化的产品能力。这是因为,在DOS时代,多数恶意代码是一种“标准化”的威胁,其绝大多数不是针对某一个具体目标场景定制的。即使是变形病毒,其不同的变形结果也是功能等效载荷,虽然少数恶意代码内置了简单的感染和攻击选择条件(如特定文件是否存在、日期是否超过某个时间),但实现定向攻击的难度相对更高。在恶意代码传播过程中,攻击者很难实现一种针对性的、个性化的执行干预,同时由于缺少可以定向回传的信道,针对DOS系统,恶意代码实现远程控制和窃密回传并不容易。因此,只要反病毒厂商获取到样本,就能分析样本、提取特征码、编写清除参数(脚本、模块),从而生成新的病毒库。厂商只要在自身测试环境中验证新的规则和模块有效,基本就可以保证用户获得新版本病毒库后能有效查杀和防护病毒。从用户发现并提交病毒样本,到获得厂商分发的病毒库,构成了一个慢速的闭环。从恶意代码初始扩散传播,到被用户发现并提交给厂商,再到厂商分发新规则到达客户,可能经历数天甚至几年的时间。恶意代码对抗工作的早期,总体上是一个以厂商支撑能力体系为中心的、相对慢速的自我闭环。随着反病毒厂商逐渐形成了规模化、体系化的能力,在与病毒的对抗中,开始逐渐掌握一定的主动权。
国际上几家知名反病毒企业,基本上是从20世纪80年代中后期,开始了反病毒技术的研发积累,在DOS时代形成了威胁检测引擎的基本结构思路和防御理念。反恶意代码引擎的维护,是一个基于样本捕获采集、样本分析、规则发布的厂商自我闭环。在建设捕获手段、建立分析系统、形成升级支撑能力等方面,主流的反病毒厂商都形成了一些自身的特色和经验。
安天团队在2000年创业开始时,主要的对抗目标是Windows平台的蠕虫和木马,但作为核心技术的反病毒引擎,其基本结构和原理与DOS时代是一脉相承的。但同时,站在网络蠕虫泛滥这样一个新的挑战期中,也使我们可以走出单纯以产品用户作为反馈源的工作思路,而增加威胁捕获的主动性能力。从2001年起,安天先后研发和搭建了针对扫描性攻击和恶意代码投放的“捕风”蜜罐子系统、针对邮件恶意代码的诱饵信箱子系统、针对Web威胁的“猎狐”爬虫子系统、针对流量监测的“探云”子系统等,并逐渐与全球上百个安全厂商和安全机构建立了样本或威胁情报共享机制。安天较早地把工业流水线的思路应用到恶意代码分析中,将文件样本视为需要加工的原料,将对文件的格式识别、拆解、关键信息提取,以及样本提取、处理和模块编写等动作视为加工处理的工序,将特征码和新的模块视为流水线的产品产出。安天先后研发了两代分析流水线,以实现对样本的自动化判定、向量化和规则提取。通过样本分析子系统与捕获子系统、升级子系统,构成了一个“采集-分析-规则分发”的自我闭环。随着恶意代码样本数量的爆炸式增长,后台系统的处理能力逐步从每日分析百级别样本,提升到了分析百万级别样本。
依托规模性计算、存储资源建立工程平台系统,针对海量威胁实现自动化分析,实现对分析人员的操作降维,并将分析人员的经验反馈转化为平台能力,是安天在过去近二十年工程探索中所积累的最重要的经验。但在历史的工程实践中,多个采集捕获系统、分析系统、威胁情报系统烟囱式孤立建设的问题也很严重,数据间横向打通不利,没有形成充分的共享,分析和服务人员难以单入口作业。由于多数内部系统初始以自用为目标,没有充分考虑扩展性、模块化等方面的问题,导致缺少可以叠加弹性能力的基础计算和存储框架。其中的很多问题导致我们需要用更大的代价来改善。这种教训也是在态势感知平台建设中需要注意的。
在安天从一个反病毒引擎厂商走向综合能力型厂商的成长过程中,也在不断反思。对于一个反病毒厂商来说,其工作主要是围绕攻击载荷(payload)检测展开的,把恶意代码样本作为最关键的资源,并按照Hash针对样本消重。但是,出于工作视角的局限性以及成本考虑,把样本传播相关的一些重要信息忽略掉了。在感知体系的部署规模方面,也较长时间是以确保样本的覆盖率而不是事件的覆盖率为主要指标,这就使捕获手段虽然相对丰富,但其部署策略依然是保守的,投入也是有限的。随着安天更多地与客户共同承担安全建设和运维工作,以及深度分析APT攻击事件,我们逐渐认识到,以恶意代码载荷为核心的捕获分析机制,对于应对更高级别的网空威胁行为体的活动是必需的,但却是远远不够的。特别是在APT攻击广泛使用未公开漏洞和免杀恶意代码的情况下,反病毒引擎仅扮演单纯的检测器是不够的,其同时也要是一个能进行全量对象格式识别和向量拆解的分析器,可为态势感知提供更多可分析、可追溯的静态数据。
安天从2005年起,通过工程赋能交付的方式,将自身的后台恶意代码样本监测、捕获和分析机制,提供给主管部门使用,这是安天对监测型态势感知相关工作的早期探索。而在这个实践过程中,我们也有一些惯性思维成为后续的工作障碍。作为反病毒引擎的提供者,容易把自身的职责闭合于恶意代码的检出率、误报率、错报率等指标上,往往缺少支撑客户侧全局安全责任的使命担当。而从整体工作模式上看,确实是一个围绕后端支撑平台和分析团队的自我能力中心化的能力闭环。
在2005年,我们关注到恶意代码的感染分布已经有非常明显的“小众”传播倾向,在感染统计上,我们能看到一个超级“长尾”,相对于蠕虫病毒,这一问题带来了新的挑战。蠕虫尽管传播迅速,但其感知和捕获都相对容易,可以快速形成检测和处置,但面对这种小众样本,安全厂商机构对样本的捕获能力均会普遍下降,特别是在一些隔离网络的场景条件下,可疑文件不能及时反馈给安全厂商。如何在无法捕获威胁的条件下有效对抗威胁?这一问题开始打破过去我们所熟悉的自我安全闭环。
2007年,我们首次处理了一起具有APT性质的安全事件。攻击方疑似为我们披露的“绿斑”攻击组织。在这起事件中,攻击者采用了工具组合的思路,没有使用自研恶意代码,而基本上是使用商用、免费和开源的网络管理工具,通过这些压缩、网络服务、行命令管理等多个“正常”工具的组合,构建了在目标主机上持续窃密获取信息的场景。其中的部分工具由于在日常中广泛应用,不可能作为恶意代码进行查杀,有的甚至是在避免误报的白名单之中。
这个事件让我们看到,定向性的安全威胁在攻击目标场景上具有个性化特点。这个案例明显展示出,依靠统一的厂商规则维护分发、自我闭环,难以有效应对定向性威胁。本书“译者序”中设问解答了“如何围绕网空防御人员实现态势感知”这一关键性问题。我们从中获得的启示是,作为安天后台支撑体系的“赛博超脑”不能作为用户的“大脑”来设计,而要作为一个外部威胁情报等资源的赋能服务平台来设计。在当前复杂的信息系统和体系化攻击的背景下,安全厂商究竟是以自我为中心,满足于自我闭环,把自己的基础平台当成用户的“大脑”;还是在客户场景下,围绕用户侧的网络防御人员进行态势感知和积极防御能力的建设,真正地实现安全厂商与客户的闭环,进一步达成赋能客户、实现与攻击者的闭环?这是一个选择“片面抗战”路线,还是“全面抗战”路线的问题。
不仅不能脱离客户防护场景来谈网络安全解决方案和技术价值,更应充分认识到客户侧安全防御人员最为熟悉自身的信息系统,能充分发挥主观能动性,是网空防御工作的主角。与此同时,客户的信息资产并不只是攻击目标和防护对象,也是进行有效布防的场景纵深。
本书“译者序”中指出,“如果网空态势侧重于对宏观态势的掌控,其输出的决策支持信息将主要被用于引导对安全策略的优化调整,虽然这种‘宏观’模式与基于PDCA(Plan-Do-Check-Adjust,计划-执行-检查-调整)循环的信息安全风险管理生命周期相比具有更高的主动性和动态性,但是在攻防对抗的时间周期上仍然无法适应高速多变的攻击行动,而且在调整范围上也只能局限于较粗的颗粒度。”“综合来看,网空态势感知需要兼顾宏观与中观两个层面,需要将实时的监测采集数据与中长期的情报、经验和知识积累结合在一起,支撑实现短期的响应行动与中长期的策略调整工作。”
从安天和国内业界同仁的实践探索来看,这总体上是一个先易后难、先宏观后中观的过程。从20世纪90年代后期开始的信息高速公路建设,不仅迅速改变了信息系统的样式,也完全改变了信息系统威胁对抗的样式。从CodeRed(红色代码)到SQL Slammer,重大蠕虫事件的多发,强化了安全工作者对威胁响应时间紧迫性的认知,也驱动威胁检测和阻断从传统的主机侧快速延展到网络侧和业务系统侧(如邮件和群件),在更多场景下逐渐成为能力内嵌要求。
威胁通过互联网高速传播,导致管理机构和应急组织对威胁及时捕获、快速应急响应处置的需求急速提升。安天在2002年开始尝试在骨干网场景下实现恶意代码全规则高速检测,并取得了技术突破,逐步形成以分布式部署网络探针为基础,建立事件汇聚、消重、统计、查询、展示机制,通过后台样本自动化分析支撑规则输出更新的监测平台建设思路,支持了监管能力建设。同时,安天也联合一些重点高校推动了“探云计划”(流量监测)、“捕风计划”(蜜罐)等威胁捕获分析的公益研究项目。
网络安全工作者过去二十年在网络侧展开的工作,是态势感知工作重要的基础能力积累,包括高速捕包、协议识别、协议解析还原、单包检测、流检测、信标检测、上下文关联检测等基础技术能力点。这些技术点所支撑的入侵检测、入侵阻断、深包检测分析等产品已经是网络安全布防的重要产品,这些产品能力所形成的日志与事件、捕获的威胁载荷对于整个防御与态势感知能力整体建设都是非常重要的。
安天在安全监测方向的早期工程实施,主要是满足网络安全管理和职能部门(以下简称监管部门)的网络安全威胁监测需求,协助其建设监测平台。总体工作思路是对监管部门的需求进行调研,采用“工程实施+情报赋能”的思路,以安天自身的“威胁监测捕获体系+后端分析管理系统”作为工程基本框架,在此基础上进行定制改造,并对监管部门已经具备的能力、希望引入的第三方能力和数据源形成接口、进行融合,协助监管部门将手工流程电子化,建设业务能力。在这些工作的基础上,对监测到的事件、积累的捕获结果和分析结果进行可视化展示的定制。对这种类型的态势感知平台,我们称之为“监测型态势感知平台”。在现有的态势感知项目实施中,这一类态势感知平台占据了较大的比例。
这一类项目的建设目标,主要是提升相关部门对职责范围(地域)内的信息资产的风险(如严重漏洞)普查能力,对通过互联网传播的安全威胁(如重大漏洞、蠕虫传播、DDoS攻击等)进行监测,形成一定的通报机制,驱动应急处置和响应等。但从实际工作来看,监管部门所能监测到的更多的是互联网侧的暴露资产的安全情况,通常以流量安全监测和大规模轻载扫描作为主要主动获取手段,辅以安全厂商提供的威胁情报输入。这一类平台建设能否达到效果,与其监管目标、设计方案、预算投入、采集能力、运维水平等很多方面有关,从实际来看,有部分取得了一定效果,但很大比例上效果并不理想。
实施效果不理想的原因之一,是承担方技术能力不足。国内在运营商侧以恶意代码为监测目标的项目,部分选择了以缺少恶意代码检测分析能力的传统流量检测厂商为主导,以单包检测、IP和URL等轻量级规则检测为主,没有建立深包、流还原检测等配合机制,又没有人工和自动化分析环节形成规则输出、能力支撑,同时也没有反恶意代码厂商形成持续的威胁情报推送,往往效果不佳。当然,从运营商的带宽条件来看,全面实施深包检测的成本是难以支撑的,所以采用大量“高速单包检测设备+部分深包捕获设备+爬虫获取样本+后台分析系统”的组合策略,可能是相对更合理的。
实施效果不理想的另一个原因,是缺少有效的总体规划和能力整合。我曾为某地区监管机构提供态势监测系统规划建议,发现前期方案将系统划分为蠕虫监测系统、网站篡改监测系统、DDoS监测系统、流量监测系统等,各系统间完全独立,没有数据的统一汇聚。显然这是多个厂商“分盘子”型的低质建设方案——各厂商堆砌自己的产品,之后通过一个Web页面链接到各自的管理界面,就成了“态势感知平台”。全量事件的统一汇聚、统一检索和统计,本应是类似平台的基本要求,如果这个基础都无法实现,其他工作更是无从谈起。为使项目达成效果,我推翻了先前设计,建议用户确立项目的总体单位,由总体单位建设数据汇聚平台和上层业务系统,由各参与厂商的产品输出采集监测能力。要求所有参与工作的企业,务必支持总体单位对检测日志数据的统一汇聚,在日志汇聚之上,进行日志泛化、打标签等工作。而提取不同类型的威胁列表,则应是基于事件总集的“标签+条件”组合方式提取所形成的结果集合。
在类似平台的建设中,还存在着感知手段高度单一的问题。很大比例的系统只有扫描探测这一单一手段,甚至有的平台没有任何主动的采集能力,完全依靠安全厂商的威胁情报输入支撑列表和可视化展示。类似问题在具有更高要求的关键基础设施防护工作中也同样存在。
导致监测型态势感知平台效果不佳的另一个问题,来自于对威胁的评价导向。由于相关工作是源自于大规模蠕虫爆发,因此在相关工作思路上,也往往存在一定的惯性局限。大规模蠕虫爆发对网络运行和用户使用造成明显干扰,比较容易引发媒体和公众的关注,在本世纪初的一段时间被作为最为严重的、致命的威胁,这种威胁高度吸引了工程和学术资源研究其应对方法。由于蠕虫传播是一种威胁载荷(相同或等效载荷)的重复性投放行为,其相对较为容易转化为某种数学建模问题,这就带来了一种错觉,似乎监管方或防御方只要部署了必要的基础检测和采集能力,网络威胁就是可以较为简单地进行评价、统计和预测的。
当以蠕虫这一类恶意代码作为网络侧的主要威胁想定时,威胁影响情况是比较容易“量化”的,通过规则和检测模块的命中次数所产生的日志和一些简单的消重,就可以形成类似扫描连接数、传播次数、感染节点数的TOP统计。把事件、节点数量的多寡当作安全事件严重程度的评价方法,可以用来评价大规模网络扫描探测、DDoS、蠕虫传播的事件影响、僵尸网络的规模和分布等。这些统计是重要的也是必要的,但这些还并非威胁的全貌,而且可能缺失了最致命的威胁。这种评价方式完全不适合对高级网空威胁行为体发动的APT攻击进行评价。这种攻击高度定向、隐蔽,行为本身较难被检测到,其对于载荷投放使用、远程指令控制都高度谨慎,然而其威胁后果最为严重。因此,单纯地把发现和拦截的攻击次数作为评价网络安全日常监测工作、工程效果验收或重大事件保护工作成绩的判断依据是有局限性的。而且这种统计往往以整个互联网或部分的广域网为统计场景,脱离了实际防御的目标场景,脱离了受影响的资产价值评估。
对于态势感知中的“预测”,也比较容易形成错误的认识和理解。安天团队有较长时间将预测理解为判断“攻击何时会发起”。由于攻击者的主观意图有很大的不确定性,我们在较长时间内对此非常悲观,因此停留在有限逻辑推理阶段。在2004年,基于对从漏洞公布到被蠕虫利用传播的一些规律总结,安天针对严重的可远程利用漏洞,形成了对漏洞、利用代码、概念蠕虫、成熟蠕虫、重大疫情、关联衍生病毒家族的预判工作流程,并期望自身的应急工作具有一定的有的放矢的可能性(如下图所示)。
安天针对漏洞到蠕虫家族的应急响应预案(2004)
这些工作对遏制当时面临的蠕虫狂潮是有意义的,这种基于逻辑推演的工作流程,可以用来指引安全厂商和机构做出“规定动作”。但其更多地是一种对安全策略优化调整的支撑,对于在具体防护场景中的相应能力和效果的改善是不够的,包括安天在2016年年底做出“勒索模式将导致蠕虫的回潮”的预言,这种研判如果不能转化为防御场景下的实际动作,其对策略的支持依然是模糊和粗粒度的。把这种预言家式的判断当作态势感知的预测,是比较幼稚的。态势感知中的预测应当如本书“译者序”中所指出的,“需要对所理解的安全事件信息展开前向时间的推断,以确定其将如何对运行环境的未来状态产生影响。也就是根据所理解的威胁攻击轨迹等信息对攻击行动的发展方向做出合理推测,基于网空防御人员对当前情境态势的理解,结合对网络和系统的了解,预测下一步可能发生的情况,特别是受影响节点范围的扩展情况,以及威胁行为体攻击行动的延展情况。”
在安天进行的监测型态势感知项目中,另一件值得反思的态势感知形式是“地图+炮”。本书“译者序”中分析了“‘地图+炮’形式的态势感知为何效果不显著”的原因。对此我们自己深有体会,为更好地展示恶意代码威胁的分布、流动、扩散等情况,安天在2004年恶意代码监测的管理软件(CS模式)中引入了恶意代码分布图,进行了威胁可视化的早期尝试。而且,从2008年开始,基于FLASH和HTML5,先后开发了两版可视化的插件,具备了通过基础图表、地理信息、拓扑结构等展示威胁、进行告警等通用能力。迄今为止,国内有较高比例的网络测绘、威胁监测,包括网络靶场等项目都使用了安天的安全可视化插件。应该说,这些较为初级的可视化工作,对于社会各界对安全威胁形成相对直观的认识是有价值的。但这种依赖“监测事件汇聚+大屏展示”的建设导向,也带来了本书“译者序”中所指出的“有态无势”“感而不知”“感而不为”等问题,使安天一度在态势感知研发上存在追求美观、轻视实效的倾向。亦由于我们提供的插件降低了可视化展示的门槛,一定程度上也助长了国内不扎实地探索态势感知的内在规律和实效价值,而追求效果“酷炫”的风气。对此我们有深刻反思。
监测型平台的一个难点是监管部门和被监管机构间的关系定位与协调。监管部门作为主管或职能机构,在组织、调度、整合各能力方的安全资源方面有自身的优势,但其采集监测能力难以有效到达被监管机构。监测型态势感知平台往往主要依靠大规模轻载扫描作为基础的采集能力,因此其只能看到互联网暴露资产,而监管部门希望了解的重点,则是关键信息基础设施和其他重要的规模化信息系统安全,这些系统的互联网暴露面相对是较少的。最终导致监管方对真正承载重要信息的内网、私有云、工业网络等关键信息基础设施内部安全情况往往一无所知。而监管部门的安全检查评估等手段,也往往未能纳入到监管平台的统一工作流程中。还有部分监测平台,甚至没有主动化的探测采集手段,也没有多源的数据和威胁情报整合能力,基本上全部事件都来自某一两家安全厂商的“推送+可视化展现”,这样的平台也难以达成效果。
因此,我们在推动省级态势监测平台的试点工作中,尝试配合监管部门将威胁监测能力抵近到重要基础设施内部。当然,监管机构基于安全的宏观态势和抵近部署形成的策略调整要求,对于所监管的机构来说是有积极作用的,但同时也是粗粒度的。监管机构可以将一部分采集传感能力下沉,但不可能以此代替被监管方自身的防御能力建设与运维。做好关键基础设施和重要信息系统的安全防御工作,还是要依靠相关信息资产的管理运营方的能力建设的自我驱动与投入。
在监测型态势感知平台基本研发成熟的情况下,安天将保障“三高”网络的安全作为态势感知和防御工作的主要保障场景。这里所提的“三高”网络,是黄晟同志与安天在技术探讨中定义的一种网络场景。特指一个网络系统中承载着高信息价值资产,该网络被规定为高安全防护等级,同时该网络受到常态化高强度的网络威胁攻击,具有这三种特征的网络统称为“三高”网络。安天正在研发的战术型态势感知平台体系是围绕“三高”网络场景进行研发的,战术型态势感知与监测型态势感知的重要差异在于,监管部门虽然进行资产风险探测和威胁监测,但其并非信息资产的所有方,其不具备监测能力全面覆盖全部资产的部署条件,同时也不能直接进行威胁处置。其会通报监测结果、处置意见和要求给资产运维方,但并不能指挥联动资产运维方在安全环节进行实时响应和动作。关键信息基础设施和规模化的关键信息系统是网空威胁对抗的主要场景,作为这些信息资产的管理者,需要建设更系统且完善的能力,来对抗网络安全威胁。
技术报告《塔防在私有云安全中的实践》(2015)中指出,“目前可以观测到网络空间的攻击行为呈现‘体系化’趋势,攻击阶段越来越多也越来越复杂,而面对这样复杂的进攻,传统的安全边界或网络隔离策略难以奏效。”其中还明确提出了“以体系化的防御对决体系化的攻击”。
在应对单点威胁的过程中,一些单点防护技术逐渐成型,形成了基础的网络安全产品类别和名录。大家耳熟能详的有安全网关(如防火墙、IPS、UTM、下一代防火墙等)、端点防护(如反病毒、主机管控)、入侵检测、扫描器、VPN等。这些产品为了应对不同的威胁而产生,从而逐渐形成了相对明确的部署位置和安全价值。这些产品是网络安全防护工作的基本能力支点。从过去来看,安全解决方案往往是从这些产品类别上抽取产品,进行组合搭配后形成的,但这种堆砌产品的解决方案仅仅是部分解决了防御体系的“能力分工”问题,而无法做到本书“译者序”中提出的“深度结合、全面覆盖”“掌握敌情、协同响应”的工作要求。
从攻击侧来看,在高级网空威胁行为体的攻击体系中,虽然也包含了大量单点攻击装备,但这些装备并不是单点使用的,而是在攻击框架中组合使用的,属于攻击链的一个组成部分。由于攻击者在攻击入口的选择、武器组合的搭配、攻击链路的设计方面掌控主动权,因此仅仅进行单点或简单的多点防护,并不足以阻断攻击链,显然,靠堆砌产品不能形成有效的防御体系。
从安天在反病毒引擎、流量监测、沙箱分析、端点防护等多方面的实践经验来看,我们此前的思维模式往往是试图把单点技术能力不断做强。例如,如果攻击者对恶意代码进行免杀处理,我们就不断增加脱壳、虚拟执行等预处理环节的深度,增加更多的检测分支和加权点,下调启发式扫描的阈值来提升检测敏感度等。我们过去期待这些强单点能力能应对更多的威胁,并希望这些强单点能力组合能规避更复杂的风险。但对于高级网空威胁行为体所具备的资源和攻击承载成本来说,安全产品便成为一种易于获得的安全资产。攻击者可以长期测试各种安全产品,寻找其脆弱性。这种情况下每个单点都很难避免被找到绕过方法。因此,脱离了用户信息系统环境这个“纵深阵地”来设计单点能力,不会取得较好的使用效果。
在一个有效的防御体系中,既需要有效融合可靠的单点产品与能力,同时也需要突破这种长期堆砌单点能力应对单点威胁所带来的认知局限。将单点对抗转化为体系对抗,将产品机械堆砌转化为能力有机融合,将先建设后安全的补课模式转化为网络安全机制与规划、建设、运维的同步融合,这就需要新的方法论体系。在大量的规范、模型、标准中,SANS的“网络安全滑动标尺模型”是一个较为理想的规划建设视角模型。本书翻译团队将相关文献翻译引入国内,安天和国内其他能力型厂商约定以此作为公共方法论,并进一步进行延伸拓展,提出了叠加演进的网络安全能力模型。滑动标尺划分成五个类别,即“基础结构安全”“纵深防御”“态势感知和积极防御”“威胁情报”“反制”。滑动标尺的核心思想是阐明了五大类别之间的连续性关系,而且标尺左侧类别为其右侧类别提供基础支持、降低实施难度、提升防御效果、减少资源投入。
本书“译者序”中提出,“为了做好网络空间时代的安全防御工作,不仅需要通过完善并强化已有静态的防御机制实现兼顾结合面与覆盖面的综合防御能力体系,还必须加快建设动态防御能力体系,其中的关键正是针对网络空间时代的高水平复杂威胁行为体展开协同响应对抗的积极防御能力。”由此可见,“结合面”和“覆盖面”是确保全面落实网络安全能力的两个要点。其中“结合面”指的是网络安全防御能力与物理、网络、系统、应用数据与用户等各个层级的深度结合。“覆盖面”指的是要将网络安全防御能力部署到企业信息化基础设施和信息系统的“每一个角落”。而从“关口前移”的工作要求来看,不能将“关口”片面窄化为“安全网关”或“网络入口”,而应当理解为“落实安全能力的重要控制点”。在网络安全实践中,实现安全防护“关口前移”的关键,正是在于有效解决安全能力的“结合面”和“覆盖面”问题。因此,在借鉴“网络安全滑动标尺模型”进行规划能力建设的过程中,需要考虑到每个类别的相关支撑环节与“结合面”和“覆盖面”的映射,依靠“基础结构安全”“纵深防御”“态势感知和积极防御”“威胁情报”的叠加演进能力建设,形成动态综合防御体系。
本书“译者序”进一步指出,“从叠加演进的视角来看待网络安全防御能力体系,基础结构安全与纵深防御能力具有与网络信息基础设施‘深度结合、全面覆盖’的综合防御特点,而积极防御与威胁情报能力则具有强调‘掌握敌情、协同响应’的动态防御特点,并且这些能力之间存在着辩证的相互依赖关系与促进作用。”这些观点对于在威胁对抗情境下做好安全体系规划有非常重要的指导价值。
同时,在开展网络安全规划、提升态势感知和防御能力的工作过程中,也有很多需要注意的问题。
要辨识网络安全领域的各种观念,避免偏颇的认知导向带来误导和影响。比如在网络安全防护工作中,有两种倾向。一种是片面夸大单点防护的作用,如部分防火墙厂商传递的导向是,所有威胁都来自于网络,只要在网络侧形成更细粒度的协议解析识别、更严格的威胁阻断,就能够保证内网安全。而主机防护厂商传递的导向是,一切威胁都是为了攻击主机目标,重点是做好最终目标的防御。如果用户按这些导向去规划建设,会因以偏概全而顾此失彼。另一种倾向是片面否定既有成熟单点环节的价值,将防火墙、入侵检测、反病毒、补丁升级等单点环节,都视为过时和无效的环节。这种倾向忽视了既有成熟单点环节已经形成的确定性的、难以替代的基础能力,如防火墙产品的安全边界和访问控制作用、入侵检测形成的网络协议识别和攻击定性作用、反病毒形成的对文件载荷的识别和标定作用等。由于防御场景的复杂性,攻击能力的体系化,单点能力失效是具有必然性的。但某个单点能力会失效和这个单点能力没有作用是两个完全不同的概念。盗贼能挖地道进入金库,并不意味着金库不应该上锁。实际上,两种偏颇倾向间往往有一些关联,否定原有的单点防护能力价值,往往又是为了制造新的单点能力神话。
要意识到叠加演进的安全能力建设,不能有了能力点即可,还需要以扎实可靠的单点基础安全能力为支撑。例如在配置加固方面,一些相关产品的“安全基线”,只包括几十个操作系统的配置点。实际上这是远远不够的,无法满足叠加演进对配置加固的安全要求。而STIG(Security Technical Implementation Guides,安全技术实施指南)的加固标准中,操作系统加固项共15685个,覆盖8大类系统,168个版本的操作系统,平均每个操作系统的配置点多达600个以上;应用和服务加固项有4245个,主要覆盖5大类应用和服务(统计数据截至2018年9月4日)。加固更绝非按照统一设置下发了事。作为整体动态安全策略的重要组成部分,配置加固需要支撑业务系统安全运行,而不能干扰业务系统的连续性和稳定性。但在安全策略中,端口是否开放、服务是否启动等设置都会对业务的运行和可用性带来影响。以Windows的DEP(数据执行保护)加固为例,如果将DEP保护覆盖到所有的应用,显然可以提升系统对抗缓冲区溢出攻击的能力,但在现实中也有一定比例的应用软件和工具会因DEP机制而崩溃。比如在内网管理运维场景下,就需要根据业务场景测试加固策略,对冲突软件设定单点例外或群组例外,并通知软件研发方进行改进。同时捕获相关的崩溃事件进行研判,判定崩溃是因攻击还是软件设计实现导致的与DEP冲突,之后需要根据情况进行攻击响应或例外设定的流程。因此,每个配置点的要素中都涉及其获得的安全增益和代价影响,不仅要针对主机实际运行的业务情况对配置进行调整,还需要设定群组模板。
要看到站在防御体系的角度,多数单点环节形成有效能力同样是体系化的工作。补丁是基础结构安全层面的重要安全环节,但在规模化的机构网络中,做好补丁工作并不是一件简单的事情。存在一些可以连接互联网的机构内网用户,把打补丁当作一个自己通过操作系统的个人设置和互联网安全客户端自行利用外部补丁源进行修补的过程,是否打补丁完全看个人习惯,不仅没有统一的控制和管理,难以保证安全,同时在补丁日升级流量大量占用出口带宽等情况也会影响日常工作。补丁升级工作中必须考虑到补丁源的可靠性问题、补丁自身的安全性问题、打补丁对业务连续性的影响问题、打补丁带来的兼容性和稳定性问题、不能连接内部补丁源的孤岛节点的补丁检查和补丁安装问题、因保证业务连续性不能打补丁或者不能打部分补丁的节点的防护策略问题,等等。为应对这些问题,需要建立内部集中补丁源、补丁获取及摆渡机制、补丁留存和分析机制、用于验证补丁兼容性和可靠性的影子系统、按照灰度机制分批补丁并根据反馈情况决定是否继续补丁或回滚操作的机制、用于提升离线环节补丁升级效率的工具、P2P机制,等等。而在此过程中所形成的记录、轨迹和监测情况,都要汇聚到支撑态势感知的相关日志服务器。同时,还需要建立补丁机制和其他关联的安全和业务流程的关联接口,如发现补丁源遭遇攻击或污染情况的处置、打补丁导致无法自动回滚的瘫痪事故的处置,等等。
在动态综合防御体系中,安全产品的设计不仅需要其价值内涵,也需要回答其与网络安全态势感知观察、理解、预测三个层面的关系,以及在从决策到行动的响应周期中所发挥的作用。否则,产品就很难融入能力体系。例如,安天的检测处置工具产品的设计,过去更关注的是如何多发现主机的脆弱性,包括更有效地发现和处置Rootkit型木马,在检查点、内核驱动、钩子等方面考虑较多,但对于检测处置工具转化态势感知平台的能力环节考虑较少。但此类基于便携介质的检测处置工具的检测过程是态势感知的信息采集环节,可以有效增加孤岛环节的可见度。此外,在遇到安全威胁的时候,也可以实现比实时防护环节更好的采集深度和证据固化能力。因此,需要在相关检测评估的业务流程中进行管理,并汇聚检测结果和提取的信息,处置任务下达、工具领用、处置结果上报等也应与应急业务流程相融合。
建设动态综合防御体系要充分依托SIEM和SOC的能力基础,并在此基础上提升要求。能够对相关安全环节所产生的日志及系统相关的日志实现汇聚分析,形成对安全环节的统一管理能力,对于实现战术型态势感知来说无疑是必备的基础能力。从传统的安全防御产品的形态来说,SIEM和SOC系统可以分别实现这种基础能力。但战术型态势感知平台并不是简单的SIEM+SOC,更不是SIEM和SOC增强部分可视化能力的整容版本。一个没有基础SIEM和SOC功能的态势感知系统是难以想象的,但同时也需要对这些环节进行有效的改进。
从传统SIEM和SOC来看,有两个问题同时存在,其一为数据过载问题,其二为数据失真问题。SOC是为了解决离散的安全环节没有形成整体管理能力的问题,对安全环节进行统一管理,使之成为能够协调联动的整体;SIEM是为了解决基于安全日志和系统运行日志的源头分散、难以统一分析的问题,所以把设备、应用系统和产品日志,以及在端点侧、流量侧不同的安全产品的日志汇聚在一起,形成上层的查询、分析、关联能力。它们是在防火墙、IDS、反病毒、终端管控等安全产品成熟后,产生的上层平台型产品。这就带来了新的问题,仅仅能够对更多的日志进行汇聚,对更多的产品进行管理是不是就足够了?是否还需要考虑接入到平台的产品自身的采集能力、基础检测能力?是否能够支持以对抗高级网空威胁为目的的态势感知和积极防护的要求?一旦攻击行为不能在基础的采集环节实现留痕,那么基本上很难通过上层分析发现。
因此,一方面发挥和强化SIEM的日志整合、分析、检索能力和SOC形成的统一管理能力,但也需要进一步推动基础能力的改进和重构,这是态势感知中需要完成的工作。在SIEM和SOC的基础上,我们正在强化态势感知平台的运维、安全一体化,希望达成资产、配置、漏洞和补丁管理的统一能力的效果,使客户通过态势感知平台运维,提升网络可管理性,进而支撑防御能力。
本书“译者序”中提出,“即使在支撑工作任务的网络系统遭受网空攻击并被攻击控制的情况下,依然能够保持工作任务持续进行,并及时恢复到可接受的工作任务保障水平。在这一系列类型的网络安全防御能力的支撑下,通过实战化的网络安全防御运行,能够达到本书对全面完善的网空安全防御过程所提出的要求。”网络安全防御相关平台和产品的规划设计和功能实现,需要坚持实战化的导向,让网空防御相关的人员角色都能有效操作和使用。由于动态综合防御体系的复杂性,特别是态势感知平台体系结构的复杂性,往往会导致所谓的能力型产品以及态势感知平台的业务功能系统都难以使用,在这一点上我们也有正反面的经验教训。
在2009年,我们开发了AVML搜索功能。AVML是安天内部定义的一种XML标记语言,用来存放病毒样本的分析结果。AVML搜索不仅可以搜索IP、域名、URL、Hash等,也可以搜索动静态分析系统所生成的各种向量结果,如字符串、互斥量、函数名等。在我们向客户交付监测平台时,这个功能往往作为一个子系统交付。在有追踪溯源、网络攻击案件侦办需求的客户群体中,这个功能评价较为正面;但其他用户几乎很少使用这个功能,普遍反映虽然演示起来高端洋气,但其实不知道怎么用,也不理解有什么用。
有一定基础能力的安全厂商开发者往往有一种炫技心态,希望用能力的专业度打动客户。我们曾在监测型感知平台和探海等产品上,为客户扩展了支持基于结果、向量、标签等条件组合添加决策树的能力,但在实际实践中客户基本无法掌握,其效果反而不如支持IP、Hash等简单规则扩展明显。最终我们取消了这一功能。
相比之下,在威胁情报的增值服务中,我们获得最多好评的是APT攻击追溯包的服务,客户只需要订阅攻击追溯包并进行部署操作,就可以看到追溯结果。免去了将机读情报手工转化为规则的操作,也无需对C2、Hash、YARA等有更深的理解。在命中威胁的情况下,才会向客户展示匹配到的规则细节,引导后续处置流程。这就成为用户可以驾驭的功能。
通过长期的威胁对抗实践,以及对业内成果的调研总结,特别是基于“滑动标尺”叠加演进能力模型和《关于网络纵深防御的思考》(2014)等报告文章中提出的核心理念,安天逐渐找到了自身所要践行的安全理念,我将其记录在此,也作为对本文观点的总结。
将以基础结构安全和纵深防御为主体的综合防御体系作为基础,叠加动态的积极防御以应对高级复杂威胁,同时结合威胁情报缩短防御响应周期并提高针对性,构建动态综合网络安全防御体系。在防御体系规划建设中,要做到:
·综合发展:基础结构安全、纵深防御、态势感知与积极防御、威胁情报从前到后逐步加强、逐步演化,且前面的层次要为后面的层次提供基础支撑条件。
·深度结合:将安全能力落实到信息系统的各个实现层组件,逐层展开防御,为及时发现和响应赢得时间。
·全面覆盖:将安全能力最大化覆盖信息系统的各个组成实体,避免因局部能力短板导致整体防御失效。
·动态协同:依托持续监测和自动响应能力,结合大数据分析、威胁情报、专家研判,实现积极防御。
网络强国战略发展对网络安全工作效果的要求在不断提升。2016年习近平总书记在“4·19”讲话中要求“全天候全方位感知网络安全态势”,对态势感知提出了增强连续性、抗干扰性和无死角的要求。在此后2017年的“2·17”讲话中,总书记将工作要求提升为“实现全天候全方位感知和有效防护”,要求我们改变无效防护的局面,从感知风险的存在,提升至通过有效防护对抗威胁、控制风险,并强调了感知与防护能力必须做到全方位覆盖。在2018年的“4·20”讲话中,指出要“关口前移”,对落实网络安全防护的方法提出了重要要求,而“防患于未然”则形成了鲜明的以防护效果为导向的指引要求。距离这些工作要求,我们还有很大的差距。本书的翻译、校对过程是我们为更好落实相关工作要求而进行的自我学习过程,是我们从懵懂实践态势感知到重新理解何谓态势感知、重新规划战术型态势感知平台的过程,是一个不断自我反思和批判的过程。我从1994年开始学习反恶意代码技术,在安天所从事的大部分技术工作,是围绕着以反恶意代码为主的威胁对抗展开的,在这个过程中形成了经验积累,也带来了自身的一些认知惯性和局限。在学习本书的过程中,我对态势感知的认识,经历了一个从自身的反恶意代码本位视角出发,逐渐跳出本位视角的过程。将本书作为态势感知的基础知识和方法框架,回头对接和梳理我们自己的工作,就能发现我们存在的很多缺陷和盲点,包括大量我们尚未突破的科学问题,有的问题整个业内都在寻找答案。在此,我将部分自我实践经验赘述于此,并不是为了展示这些工作,而是为了通过我们的弯路和教训来说明,即使对于有长期威胁检测、对抗、分析能力,并有一定的工程经验的规模化安全团队来说,研发态势感知平台体系依然是高度艰难和复杂的工作。不仅如此,我们所形成的一些积习和惯性思维,往往还会干扰我们对态势感知形成更系统且全面的认识,并进一步影响到我们的实践。
复杂性科学的重要奠基人之一布莱尔·阿瑟(Brina Arthur)曾经询问著名航空工程专家沃尔特·文森蒂(Walter Vincenti),为什么绝少工程师试图奠定他们领域的理论技术,得到的回答是,“工程师只喜欢那些他们能解决的问题”。必须承认,在过去非常长的一段时间里,我们在态势感知和网空防御相关的工作实践中缺少真正意义上的理论层面的思考。而本书在很大程度上弥补了我们在理论层面思考的匮乏,这体现出“工程师所扮演的内部思考者”是与众不同的。为此,我必须向本书的各位作者和主要译者黄晟同志表示敬意。
我们坚信,进一步的研发与工程实践能延展和深化书中那些指向未来的路标。在协助网信主管部门实施监测型态势感知平台的经验基础上,我们正在全力加速战术型态势感知平台的研发,以网络安全能力叠加演进为导向,协助用户开展深度结合与全面覆盖的体系化网络安全规划与建设,支撑起协同联动的实战化运行,赋能用户筑起可对抗高级威胁的网络安全防线。这些工作仅靠一个厂商无法完成,而需要由多个能力型厂商组成的良性生态体系。
任重道远。愿与网络安全同仁们携手努力。
[1]习近平.在网络安全和信息化工作座谈会上的讲话[N]人民日报,2016-04-26(002).
[2]习近平主持召开国家安全工作座谈会强调牢固树立认真贯彻总体国家安全观开创新形势下国家安全工作新局面[N]人民日报,2017-02-18(001).
[3]习近平在全国网络安全和信息化工作会议上强调敏锐抓住信息化发展历史机遇自主创新推进网络强国建设[N]人民日报,2018-04-22(001).
[4]黄晟.网络安全纵深防御思考.2015.
[5]黄晟.塔防在私有云安全中的实践.2015.
[6]安天.安天针对漏洞到蠕虫家族的应急响应预案.2004.
[7]安天.安天针对“方程式”组织的系列分析报告.2015.
[8]安天.从“方程式”到“方程组”:EQUATION攻击组织高级恶意代码的全平台能力解析.2016.
[9]安天.方程式组织EQUATION DRUG平台解析.2017.
[10]安天.一例针对中国政府机构的准APT攻击中所使用的样本分析.2015.
[11]安天.白象的舞步——来自南亚次大陆的网络攻击.2016.
[12]安天.“绿斑”行动——持续多年的攻击.2018.
[13]Maren Leed.Offensive Cyber Capabilities at the Operational Level[EB/OL].2013.url:http://indianstrategicknowledgeonline.com/web/130916_Leed_OffensiveCyberCapabilities_Web.pdf.
[14]Edwin“Leigh”Armistead.Understanding the Co-Evolution of Cyber Defenses And Attacks to Achieve Enhanced Cybersecurity[EB/OL].2015.url:https://www.jinfowar.com/journal/volume-14-issue-2/understanding-co-evolution-cyber-defenses-and-attacks-achieve.
[15]Robert M Lee.A SANS Analyst Whitepaper:The Sliding Scale of Cyber Security,SANS Institute InfoSec Reading Room[EB/OL].2015.url:https://www.sans.org/reading-room/whitepapers/ActiveDefense/sliding-scale-cyber-security-36240.
[16]布莱恩·阿瑟.技术的本质:技术是什么,它是如何进化的[M]杭州:浙江人民出版社,2018.