互聯(lián)網(wǎng)的應(yīng)用極大的便利了人們的生產(chǎn)生活，很多企業(yè)在如火如荼的開展數(shù)字化轉(zhuǎn)型。伴隨而來的是形勢日益嚴(yán)重的網(wǎng)絡(luò)安全。安全態(tài)勢感知的研發(fā)和部署，極大的提升了企業(yè)保障網(wǎng)絡(luò)安全的技術(shù)能力。但是經(jīng)過對多個(gè)企業(yè)用戶的觀察發(fā)現(xiàn)，安全態(tài)勢感知發(fā)揮的作用大小取決于是否進(jìn)行了有效的安全運(yùn)營。本文主要探討面向安全態(tài)勢感知的安全運(yùn)營技術(shù)方案，以期提供參考。

1 研究背景

近年來，網(wǎng)絡(luò)攻擊手段不斷升級，網(wǎng)絡(luò)攻擊目標(biāo)不斷擴(kuò)大，網(wǎng)絡(luò)安全事故層出不窮，給人們的生產(chǎn)生活造成了極大的威脅，迫使人們不得不對網(wǎng)絡(luò)安全給予足夠的重視[1]，同時(shí)隨著國家對網(wǎng)絡(luò)安全前瞻性的布局，把網(wǎng)絡(luò)安全提升為國家戰(zhàn)略，頒布實(shí)施了多種網(wǎng)絡(luò)安全法律法規(guī)的，使得網(wǎng)絡(luò)安全在國內(nèi)得到了快速的發(fā)展[2]。為了滿足人們對越發(fā)高漲的網(wǎng)絡(luò)安全的需求，安全態(tài)勢感知平臺應(yīng)運(yùn)而生[3] [4]。很多用戶在實(shí)際網(wǎng)絡(luò)中部署了安全態(tài)勢感知平臺，用戶通過綜合利用安全態(tài)勢感知平臺，實(shí)施安全運(yùn)營，轉(zhuǎn)被動防御為主動防御，極大的提升了用戶的網(wǎng)絡(luò)安全建設(shè)水平，有利的保障了用戶的網(wǎng)絡(luò)安全[5][6]。

在實(shí)際網(wǎng)絡(luò)安全建設(shè)實(shí)踐中，通過對多家用戶的觀察，同樣部署了網(wǎng)絡(luò)安全態(tài)勢感知平臺，有的用戶網(wǎng)絡(luò)安全建設(shè)的很好，能有效保障用戶的網(wǎng)絡(luò)安全，避免了網(wǎng)絡(luò)安全事故發(fā)生，而對有的用戶卻沒有發(fā)揮作用，網(wǎng)絡(luò)安全事件仍然持續(xù)發(fā)生，網(wǎng)絡(luò)安全沒有得到很好的保障，整體的網(wǎng)絡(luò)安全建設(shè)水平比較低下。通過分析發(fā)現(xiàn)網(wǎng)絡(luò)安全建設(shè)需要持續(xù)的安全運(yùn)營，而不是一次性建設(shè)。網(wǎng)絡(luò)安全建設(shè)的好壞取決于安全運(yùn)營工作的好壞，而安全運(yùn)營的好壞取決于安全態(tài)勢感知平臺的安全人員是否真正有效利用安全態(tài)勢感知平臺進(jìn)行安全事件分析，處置[7]。SANS在《2021年度SOC調(diào)研報(bào)告》中指出，SOC完全用起來最大的挑戰(zhàn)來自于缺乏有技能的人員[8]，反映出安全態(tài)勢感知發(fā)揮作用的大小與有效的安全運(yùn)營息息相關(guān)。

通過進(jìn)一步分析，發(fā)現(xiàn)當(dāng)前的網(wǎng)絡(luò)安全運(yùn)營均局限在了單個(gè)用戶內(nèi)，比較封閉，網(wǎng)絡(luò)安全建設(shè)的工作，安全人員的工作均沒有有效的參考對比，這就造成了用戶孤島效應(yīng)。網(wǎng)絡(luò)安全建設(shè)的怎么樣，建設(shè)的好不好，哪里還可以提升，這些問題都無法有效回答，因此出現(xiàn)了用戶的網(wǎng)絡(luò)安全水平隨著安全人員的主觀，能力水平波動的現(xiàn)象。

當(dāng)前階段，網(wǎng)絡(luò)安全持續(xù)運(yùn)營最大的挑戰(zhàn)來自于讓安全人員充分利用安全態(tài)勢感知平臺對用戶的網(wǎng)絡(luò)安全進(jìn)行持續(xù)不斷的分析，處置。如何利用產(chǎn)品和工具來保障安全運(yùn)營落到實(shí)處，如何衡量用戶網(wǎng)絡(luò)安全建設(shè)水平，如何衡量安全人員的工作成效，是網(wǎng)絡(luò)安全廠商和用戶共同面對的難題，也是業(yè)界研究的重點(diǎn)課題。

2 統(tǒng)一運(yùn)營方案的技術(shù)研究

為破解安全運(yùn)營發(fā)展難題，提升產(chǎn)品對用戶安全運(yùn)營的衡量和監(jiān)控，促進(jìn)安全運(yùn)營的良性開展，經(jīng)過多年的網(wǎng)絡(luò)安全運(yùn)營的實(shí)踐積累和技術(shù)創(chuàng)新，我們逐漸摸索出一套面向安全態(tài)勢感知的統(tǒng)一安全運(yùn)營的新思路，新方法，新平臺。自主研發(fā)了統(tǒng)一安全事件運(yùn)營平臺，可以對多個(gè)用戶統(tǒng)一跟蹤分析，量化安全服務(wù)人員的安全事件處置能力，衡量用戶安全運(yùn)營健康狀態(tài)，掌握網(wǎng)絡(luò)安全運(yùn)營基線，改善和提升用戶的安全運(yùn)營水平，實(shí)現(xiàn)可持續(xù)安全運(yùn)營的理念。

2.1 總體設(shè)計(jì)

如圖1所示，態(tài)勢感知安全事件統(tǒng)一運(yùn)營平臺整體分為3層，分別為數(shù)據(jù)采集層、模型評估層、意見提升層，層層遞進(jìn)，構(gòu)建了完整的運(yùn)營流程，幫助用戶提升安全態(tài)勢感知的運(yùn)營能力，加強(qiáng)網(wǎng)絡(luò)安全建設(shè)的水平。

2.2 解決方案

1）數(shù)據(jù)采集

數(shù)據(jù)采集層主要負(fù)責(zé)從各個(gè)用戶采集預(yù)先定義好的數(shù)據(jù)，以固定格式經(jīng)過加密后發(fā)送到統(tǒng)一運(yùn)營平臺。這個(gè)環(huán)節(jié)需要注意保護(hù)用戶的隱私數(shù)據(jù)。

2）模型評估

統(tǒng)一運(yùn)營平臺在確認(rèn)用戶運(yùn)營數(shù)據(jù)收到以后，開始構(gòu)建指標(biāo)評估，并構(gòu)建魔力象限成熟度模型和歷史基線成熟度模型。

a、評估指標(biāo)

根據(jù)用戶上報(bào)的運(yùn)營數(shù)據(jù)，構(gòu)建各個(gè)基礎(chǔ)評估指標(biāo)項(xiàng)，用于下一步的模型評估。

b、魔力象限模型

魔力象限成熟度模型實(shí)現(xiàn)了不同用戶之間的橫向?qū)Ρ?#xff0c;對用戶的實(shí)際運(yùn)營數(shù)據(jù)進(jìn)行分析，分別從安全事件查準(zhǔn)、安全事件查全、安全事件誤報(bào)忽略、風(fēng)險(xiǎn)殘留四個(gè)維度進(jìn)行計(jì)算，構(gòu)建X軸為事件查全和事件查準(zhǔn)能力打分，構(gòu)建Y軸為殘留風(fēng)險(xiǎn)可控能力打分。構(gòu)建的魔力象限成熟度模型如圖2所示，其中，使用聚類算法，講成熟度相似的用戶使用相同顏色、形狀標(biāo)記。整體上看，越靠右，威脅發(fā)現(xiàn)和處置安全事件能力越強(qiáng)，越靠上，殘余風(fēng)險(xiǎn)越低。從宏觀上，使安全人員對自身的安全運(yùn)營情況一目了然。

c、歷史基線模型

歷史基線成熟度模型從4個(gè)維度指標(biāo)，3種狀態(tài)評價(jià)來刻畫了用戶的歷史安全運(yùn)營水平的變化趨勢，衡量和指導(dǎo)用戶的網(wǎng)絡(luò)安全運(yùn)營能力和提升方向。通過對歷史數(shù)據(jù)點(diǎn)，使用最小二乘法進(jìn)行線性擬合，得到歷史數(shù)據(jù)變化趨勢折線，斜率的絕對值越大，表示越不穩(wěn)定，表現(xiàn)在用戶上一般為運(yùn)營建設(shè)初期，斜率絕對值越小，表示越穩(wěn)定，表現(xiàn)在用戶上一般為運(yùn)營建設(shè)后期。用戶的安全人員，可以根據(jù)歷史基線模型，判斷態(tài)勢感知平臺運(yùn)營是否持續(xù)健康，是否偏離最低安全運(yùn)營基線。圖3所示為某運(yùn)營相對優(yōu)秀的用戶累計(jì)運(yùn)營14周所生成的歷史成熟度模型。圖4所示為某運(yùn)營相對較差的用戶累計(jì)運(yùn)營13周的歷史基線成熟度模型。

3）意見提升

用戶的安全人員在安全態(tài)勢感知平臺上可以從魔力象限成熟度模型和歷史基線成熟度模型看到自身所處的象限以及基線偏離。安全態(tài)勢感知平臺會根據(jù)模型給出用戶安全運(yùn)營的提升意見。

a、魔力象限成熟度模型解讀

如圖2所示，所有用戶的殘余風(fēng)險(xiǎn)均偏弱了，并且中毒事件絕大多數(shù)都被處置，安全運(yùn)營工作有成效。其中，在第一象限內(nèi)的局點(diǎn)，又存在3個(gè)梯度，用不同的顏色和形狀表示，越靠近右上角的局點(diǎn)，安全事件運(yùn)營能力越強(qiáng)。圖2中第二象限的用戶安全事件的處置能力和查全能力不足，需要安全管理人員關(guān)注，檢查平臺模塊是否正常運(yùn)行，日志接入數(shù)量是否正常，配置是否正確合理，特征庫是否及時(shí)升級等，可使用安全態(tài)勢感知平臺運(yùn)營健康體檢工具輔助自動化分析。圖2第四象限殘余風(fēng)險(xiǎn)很高，需要重點(diǎn)關(guān)注，保持態(tài)勢感知平臺健康穩(wěn)定運(yùn)行，加強(qiáng)安全事件分析和處置?！拔业奈恢谩敝攸c(diǎn)標(biāo)識了當(dāng)前用戶所處位置，在圖2中處于第一象限靠后位置，可以理解為安全事件運(yùn)營能力較強(qiáng)，但仍存在提升空間，表現(xiàn)合格。

b、歷史基線成熟度模型解讀

在圖3所示的用戶歷史基線成熟度模型可以看出：該用戶整體表現(xiàn)良好，4項(xiàng)指標(biāo)全部符合安全事件運(yùn)營基線要求，事件查全率穩(wěn)定，事件查準(zhǔn)率穩(wěn)定，誤報(bào)逐漸降低，殘余風(fēng)險(xiǎn)逐漸下降。而從圖4所示的某用戶累計(jì)運(yùn)營13周的歷史基線成熟度模型可以看出，事件查全逐漸上升，事件查準(zhǔn)逐漸下降，前期沒有進(jìn)行誤報(bào)處置，當(dāng)前誤報(bào)事件較多，殘余風(fēng)險(xiǎn)逐漸上升，且多次超過運(yùn)營基線要求。需要及時(shí)分析處置安全事件，將風(fēng)險(xiǎn)控制在合理范圍之內(nèi)。

3 結(jié)語

實(shí)踐證明，面向安全態(tài)勢感知的統(tǒng)一運(yùn)營平臺能有效衡量和評估用戶的安全運(yùn)營能力，并很好指導(dǎo)安全服務(wù)人員有針對性的提升網(wǎng)絡(luò)安全運(yùn)營能力，進(jìn)而有效推動用戶的網(wǎng)絡(luò)安全建設(shè)健康有序發(fā)展。

1）隨勢而變

隨著用戶網(wǎng)絡(luò)安全運(yùn)營能力的提升，現(xiàn)有的衡量指標(biāo)和衡量方法未必能繼續(xù)適應(yīng)統(tǒng)一安全運(yùn)營的形勢，后續(xù)統(tǒng)一安全運(yùn)營將繼續(xù)摸索和實(shí)踐更加合乎用戶實(shí)際情況的衡量指標(biāo)和衡量方法，繼續(xù)推動客戶的網(wǎng)絡(luò)安全建設(shè)。

2）更加注重隱私保護(hù)

隨著隱私保護(hù)的重要性提升，后續(xù)將混合多種隱私保護(hù)技術(shù)和安全訪問技術(shù)，確保用戶隱私保密。

3）支持涉密用戶的安全運(yùn)營工作

探索通過部署本地化的形式和其他技術(shù)來滿足無互聯(lián)網(wǎng)絡(luò)場景，數(shù)據(jù)只進(jìn)不出等涉密保密單位的安全運(yùn)營的需要。

參考文獻(xiàn)：

[1] 國家互聯(lián)網(wǎng)應(yīng)急中心CNCERT. 2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告[EB/OL].
http://www.cac.gov.cn/2021-07/21/c_1628454189500041.htm.
[3] 繆煬. 網(wǎng)絡(luò)態(tài)勢感知風(fēng)生水起[J]. 中國信息安全, 2011年02期.

[4] 范絮妍,吳小倩,馮立勝,王欣. 電子政務(wù)數(shù)據(jù)安全態(tài)勢感知平臺建設(shè)實(shí)踐探索[J]. 信息安全研究, 2021, 7(10):
954-.

[5] 崔光耀. 安全運(yùn)營為安全賦能[J]. 中國信息安全, 2019 (8): 3-3.

[6] 何丹寧,洪增榮. “人機(jī)共智”做好安全運(yùn)營工作[J]. 中國信息安全;2019年08期

[7] 呂毅. 從信息安全運(yùn)維向信息安全運(yùn)營進(jìn)化的探討[A].2018第七屆全國安全等級保護(hù)技術(shù)大會論文集[C],2018年

[8] Christopher Crowley, John Pescatore. A SANS 2021 Survey: Security
Operations Center (SOC)
[EB/OL].https://www.sans.org/white-papers/sans-2021-survey-security-operations-center-soc/

總結(jié)

以上是生活随笔為你收集整理的面向安全态势感知的统一运营技术研究的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。