“工欲善其事,必先利其器。”面对市场上成百上千的开源和商业化安全产品,政企该如何利用它们组织有效防御呢?IPDRR业务安全框架是由美国国家标准与技术研究院(National Institute of Standards and Technology,NIST)支持的创建全面且成功的网络安全计划的支柱。IPDRR业务安全框架包括风险识别(Identify)、安全防御(Protect)、安全检测(Detect)、安全响应(Response)和安全恢复(Recovery)几个方面。从相对高一些的层次上来说,IPDRR业务安全框架使利用各种安全技术和工具解决业务安全问题呈现一些通用的流程和思路,如图1-9所示。
图1-9 IPDRR业务安全框架
为了方便大家学习,本书着重介绍在IPDRR的思路下,如何使用开源软件建设政企网络安全基础设施。当然,这些方法和思路同样适用于商业产品。
IPDRR主要包含5部分。
· 风险识别:在业务安全中,这部分主要是定义业务的安全需求。对于大部分业务来说,它们面临的安全问题一般比较明显,比如,投票榜单类业务的安全问题就是刷票,拉新促活业务的安全问题就是被“薅”羊毛。风险识别涉及工具有资产管理(CMDB)方面的Snipe-IT、治理风险和合规性(GRC)方面的OpenGRC、安全信息和事件管理(SIEM)方面的OSSIM、身份与访问管理(IAM)方面的OpenLDAP、漏洞扫描(VS)方面的OpenVAS及Nmap。
· 安全防御:强调自动运行的防御机制,如网络安全中的防火墙、WAF等,以保证业务连续性。对于同一个业务场景,采取不同的安全防御机制将会有很大差异。比如,对于投票榜单业务来说,给获奖资格设定什么样的门槛。门槛越高,用户体验越差,参与的人就越少,但随之而来的,黑灰产的成本也越高,被刷单的概率也越小。这就需要安全部门和业务部门共同协商制定,以把控这个安全门槛的尺度。安全防御涉及要素包括访问控制、数据安全、人员安全、运维安全等。安全防御涉及工具包括防火墙(FW)方面的pFsense、杀毒软件(AV)方面的ClamAV、入侵防御系统(IPS)方面的Suricata、数据丢失防护(DLP)方面的OpenDLP、Web应用防火墙(WAF)方面的ModSecurity、堡垒机(JH)方面的JumpServer等。
· 安全检测:基于数据进行分析并发现攻击。安全检测涉及要素包括安全事件的检测、安全日志和监控、异常检测和响应、安全情报和威胁信息共享等。安全检测涉及工具包括安全信息和事件管理(SIEM)方面的EFK及GrayLog、网络流量分析(NTA)方面的Zeek、入侵检测系统(IDS)方面的Snort、文件完整性监控(FIM)方面的OSSEC、蜜罐(HP)方面的HFish等。
· 安全响应:针对检测出来的问题响应和处理事件。安全响应涉及要素包括安全事件响应计划、事件响应、恢复和业务连续性计划等。安全响应涉及工具包括安全编排自动化与响应(SOAR)方面的Demisto、事件响应(IR)方面的TheHive、取证分析(FA)方面的Autopsy、威胁情报(TI)方面的OpenCTI等。
· 安全恢复:修复系统漏洞并将其恢复至正常状态,最好是找到根本原因进行预防。安全恢复涉及要素包括恢复策略和计划、恢复支持等。安全恢复涉及工具有灾难恢复(DR)方面的Duplicati、业务连续性计划(BCP)方面的iTop、备份与恢复(BAR)方面的Amanda等。
IPDRR业务安全框架实现了事前、事中、事后全过程覆盖,综合考虑了网络安全、系统安全、个人设备安全、供应链安全、数据安全等方面,从原来以防护能力为核心的模型,转向以检测能力为核心的模型,支撑识别、预防、发现、响应等,变被动为主动,直至构建自适应的安全能力。IPDRR的目标是,通过智能分析判断用户行为是否合法,寻求在风险威胁和业务安全之间的平衡,而不是一味追求业务安全。
安全实现终归是一个不断降低风险、最后使残余的风险可以被接受的持续的动态过程。行人在大街上行走只要遵守红绿灯、斑马线等交通规则,就可能规避掉99%的已知风险,但仍存在被醉驾司机意外撞倒的可能。但是,我们应承认交通灯、斑马线的规则总体是有效的,不能因一个人在斑马线上被意外出现的醉驾司机撞了,就否定红绿灯、斑马线这些设施的作用,而鼓励过马路的行人穿反光背心和全套护具。安全理念也遵循类似的原则,适度的规则和工具是必要的,但不能过分强调规则和工具的作用。
攻防双方常用的工具如图1-10所示。
很多工具是一体两面的。Metasploit和Nessus虽然是攻击方常用的工具,但对防守方来说,也是必备的自查自纠工具。再比如另外一类,利用菜刀可以产生Webshell攻击,而WAF恰好可以进行有针对性地拦截。当然,单单OWASP总结的攻击工具和模式就有成百上千种,因此仅仅从工具方面匹配攻防措施是远远不够的。
图1-10 攻防双方常用的工具
如果在靶场环境中接入上述攻击工具和防守工具,然后导入各种攻击流量,我们可以精准地测试防守工具是否能识别,然后看其有什么样的响应,最后看业务是否得到了保护。实践证明,这些主动出击的方法是非常高效的。